Lei Geral de Proteção de Dados ainda tem autarquia e processos de fiscalização incipientes, apesar de já estar vigorando oficialmente.
Por Germano Assad
A LGPD (Lei Geral de Proteção de Dados) tem gerado muita preocupação no empresariado brasileiro, desde agosto de 2018, data da sua publicação. Como toda lei no Brasil, ela passaria a vigorar, automaticamente, dois anos depois de publicada, ou seja, a partir de agosto de 2020.
Mas pela abrangência, altos valores de possíveis autuações e dificuldades operacionais na adequação de processos, a LGPD acabou unindo empresas de praticamente todos os portes e segmentos da economia, gerando iniciativas diversas, de cartas abertas a medidas provisórias, na demanda por mais tempo para adequação.
Associações de classe reconhecem a necessidade de uma política ampla de proteção de dados, para aproximar o Brasil de países desenvolvidos na questão. Entretanto, entendem que é preciso mais tempo e orientação para que as implementações sejam viabilizadas de maneira justa e eficiente.
“A LGPD carece de detalhamento e regulamentação em temas como: legítimo interesse, subcontratação de parceiros para tratamento de dados pessoais, compartilhamento de dados por empresas de um mesmo grupo econômico, mas de setores distintos, e, diferenciação das exigências para Micro e Pequenas Empresas”, diz trecho de carta enviada ao presidente da Câmara, Rodrigo Maia (DEM-RJ), por um coletivo de 14 entidades ligadas à comunicação social.
Para o advogado, consultor e professor, William Julio de Oliveira, é preciso compreender que a LGPD trata de questões que tendem a se tornar direitos fundamentais, e em escala global. “Este é um movimento mundial, e aqui no Brasil já existe proposta de emenda à constituição neste sentido. Então precisamos criar uma cultura, seja empresa, associação, todo mundo que coleta, trata e possui dados pessoais, no cuidado com o compartilhamento e exposição desses dados, para não acabar incidindo em aspectos punitivos da lei”.
William Julio explica que, independente da data oficial para que a lei entre em vigor, medida provisória e demais tramitações legais que visam adiar essa data, multas e suspensões ainda estão em um horizonte relativamente distante. Isto porque a Autoridade Nacional de Proteção de Dados, autarquia responsável pela fiscalização da LGPD nas empresas ainda está sendo estruturada. A primeira diretoria foi nomeada e aprovada pelo senado federal recentemente, dia 15 de setembro.
Entidades como o Ministério Público e o Procon, além dos próprios titulares de dados, poderão encaminhar denúncias relativas a uso indevido de dados pessoais para o recém-criado órgão. O advogado elenca todo o processo que se dará antes de eventuais autuações. “O primeiro alerta será com advertência, depois, multa simples, que pode chegar a até 2% do faturamento bruto da empresa, limitado a 50 milhões, seguido por multa diária e publicização, uma etapa que ainda não está bem regulamentada por portarias mas pode gerar prejuízo mais danoso que o financeiro, já que se trata da imagem da marca”.
“Depois ainda tem as infrações, que são o bloqueio dos dados pessoais utilizados por esta empresa e até mesmo a eliminação destes dados pessoais. Temos ainda possibilidade de suspensão do funcionamento deste banco de dados, suspensão parcial, definitiva e em último grau até mesmo a proibição total das atividades da empresa com utilização de dados pessoais”, completa.
William acredita que teremos cerca de dois ou três anos para amadurecer a mudança de cultura imposta pela Lei, que, segundo ele, deve começar a fiscalização pelas empresas que tem por hábito a troca de mailings e bancos de dados com fins comerciais, os famosos telemarketings ativos.
Estas empresas, que lidam com big data e volumes imensos de dados pessoais terão que identificar em suas estruturas internas três colaboradores que serão os responsáveis legais pelo tratamento dos dados: um controlador, um operador e um encarregado. Mas no universo das micro e pequenas empresas, onde a contratação de pessoas para lidar especificamente com a LGPD se torna inviável, o Dr. William sugere muita atenção com alguns pontos essenciais, que vão ajudar muito na necessária mudança de processos internos.
Um destes pontos é entender a diferença entre dados pessoais e dados pessoais sensíveis. O artigo quinto da lei diz que dado pessoal é toda informação relacionado a uma pessoa física, identificável. Ou seja, se for possível identificar a pessoa por este dado, ele é pessoal. Exemplos: Nome completo, RG, CPF, CNH.
Os dados sensíveis dizem respeito aos hábitos de consumo e gostos particulares da pessoa, etnia, gênero, opções em relação a determinado produto, bem ou serviço que ela habitualmente consome.
“Essa determinação conceitual do que é dado pessoal e dado pessoal sensível é um fato que precisamos diferenciar para poder dar o tratamento adequado a cada um dos tipos, conforme a Lei”, explica. Tanto clientes como ouvintes e funcionários são titulares de dados, logo a LGPD vale para todos e a empresa precisa aplicar as adequações em todos os casos que envolvem conjuntos estruturados de dados pessoais.
Não existem exceções que permitem compartilhamento sem anuência do titular, a não ser pedidos do poder público, justificados, por questões de segurança ou eventuais investigações.
A lei traz consigo um novo nicho de mercado, que já atende empresas que desejam terceirizar ou automatizar as adequações necessárias. Para tanto, é preciso mapear os processos internos quanto à segurança de informação e coleta de dados e o que se faz com eles. William Julio dá três dicas essenciais para quem optar por este caminho:
- Atenção especial com a questão do consentimento. A obtenção do consentimento, de maneira clara, expressa e inequívoca em todos os termos de política de privacidade, uso de sistemas e sites, termos de uso de serviços prestados de maneira eletrônica, e mesmo na contratação de funcionários, é essencial. Todos os documentos desta natureza terão que contemplar cláusulas específicas quanto à proteção de dados pessoais do titular, explicando em pormenores o que será feito com os dados, que destino eles terão, como serão tratados, filtrados, para que, se houver compartilhamento ou exposição, a empresa tenha respaldo com a anuência do titular;
- Criar cultura de cuidado com dados coletados na empresa, mesmo com consentimento, para minimizar risco de uso indevido;
- Buscar respaldo com bons profissionais, boas empresas que prestam serviços de consultoria e assessoria para estruturar os processos internos e elaborar documentos que proporcionem segurança jurídica.