A prorrogação do início da vigência da LGPD (Lei Geral de Proteção de Dados – Lei 13.709/2018) para 1º de janeiro de 2021 foi aprovada na sessão deliberativa remota do Senado, realizada dia 03 de abril. O relatório da senadora Simone Tebet, do Projeto de Lei de autoria do senador Antonio Anastasia, defendia a data como um “meio termo”, já que o texto original do projeto de Anastasia propunha a prorrogação por mais 12 meses, ou seja, agosto de 2021. Foi também aprovada a prorrogação da aplicação das sanções por mais 12 meses – assim, as punições só poderão ser aplicadas a partir de agosto de 2021. A proposta agora segue para a Câmara dos Deputados.
Mas o que diz essa lei e como ela pode impactar as empresas de comunicação?
Já observamos várias notícias sobre episódios decorrentes da divulgação – não autorizada – de dados pessoais ou de uso indevido de informações disponibilizadas pelos cidadãos brasileiros. Quem nunca preencheu um formulário para efetuar uma compra ou realizou um cadastro para ter acesso a um site na internet sem saber o destino das informações?
Em virtude dos frequentes eventos de exposição irregular de dados pessoais e desvio de finalidade das informações disponibilizadas por clientes e usuários, fez-se necessária, no mundo inteiro, a elaboração de um dispositivo normativo que regulamentasse a forma com que as empresas devem utilizar, armazenar e prover os dados dos clientes, funcionários e usuários. Nesse cenário, foi instituída, no Brasil, a LGPD – Lei Geral de Proteção de Dados.
Segundo Cristiano Lobato Flores, diretor geral da Abert, a lei irá conceder aos agentes parâmetros legais para desenvolverem suas atividades sem infringir a privacidade e a proteção de dados. “Trata-se de uma lei que deverá ser observada por todos os segmentos econômicos, inclusive pela radiodifusão, na medida em que o nosso setor trata e utiliza dados de terceiros”.
Como as empresas podem se preparar?
Todas as empresas, sejam elas públicas ou privadas, que possuem em seus sistemas informações dos clientes e/ou consumidores devem respeitar os procedimentos e critérios previstos pela nova lei. Estão incluídos na categoria “dados” quaisquer elementos que permitam identificar ou descrever uma pessoa, de maneira direta ou indireta, inclusive as mais básicas informações dos usuários.
Para ajudar a entender o impacto da lei nas empresas, conversamos com o perito forense e diretor da ZR2, Antonio Rodrigues Filho.
De acordo com Antonio, os dados mais usados pelas empresas são e-mails, IP, e cookies de navegação, estas informações são as que independem do usuário da internet ter qualquer tipo de relação com a empresa, bastando acessar o seu site. “Já quando o usuário é cliente da empresa, os dados são mais sensíveis, como CPF, renda, CEP e profissão, essas informações têm maior valor no mercado de captação de clientes e instituições financeiras”.
Antonio explica que todas as empresas que possuem sites, de alguma forma fazem a utilização de cookies. “É necessário uma avaliação técnica do negócio e do site, para então definir o tipo de informação que deverá ser coletado do usuário. Com a lei, as empresas passam a ser obrigadas a solicitar o consentimento dos usuários, especialmente lojas virtuais, que precisam personalizar seus displays de anúncios conforme o perfil do visitante, sem este consentimento o uso de qualquer informação passa a ser ilegal”.
Mailing
A maioria das empresas adota uma estratégia de e-mail marketing. Se a sua emissora utiliza essa estratégia, será preciso atenção especial às suas listas de e-mails. Segundo Antonio, assim como os cookies, é necessário possuir o consentimento do usuário, tanto para captura, como para uso e venda das informações. “Atualmente o opt-in (solicitação de permissão de um cliente em potencial para enviar determinado tipo e conteúdo sobre uma marca) pode ser feito por meio de um campo no site da empresa. Já aquelas que possuem uma base de dados, precisam validar, normalmente enviando uma mensagem a todos solicitando a manifestação de aceitação ou recusa. Essa validação serve, tanto para limpar a lista, como para torná-la legal”.
Colaboradores
As empresas precisarão se adequar aos procedimentos da lei, visando o melhor uso e preservação dos dados. Assim como em outros departamentos que coletam dados, como o marketing ou o jurídico, por exemplo, o RH também precisará ter uma documentação de consentimento do uso dos dados do colaborador ou candidato, onde conste qual a finalidade da utilização e por quanto tempo será armazenado. Dentre as rotinas de RH, que irão exigir atenção redobrada, destacam-se: banco de currículos; dados fornecidos à seguradora do plano de saúde; dados compartilhados com a empresa responsável por fechar folha de pagamento; envio de dados para o sindicato e órgãos públicos e exames admissionais.
O perito explica que além do RH é preciso cuidado das empresas com o que os funcionários acessam. “As empresas, especialmente de médio ou grande porte, ou aquelas com atividade sensível já possuem algum tipo de controle de acesso às informações ou à internet. Com a LGPD as empresas devem possuir um sistema capaz de identificar um usuário ou funcionário. Desta forma, se a empresa fornece acesso à internet para visitantes ou colaboradores, deverá ela estar preparada para atender uma ordem judicial de identificação de um usuário que acessou determinado conteúdo ilegal, ou até praticado algum ato criminoso, isso deve se estender aos visitantes da empresa”.
Antonio esclarece que a empresa deve possuir uma política escrita de “Segurança de Informação” ou um “Código de Conduta”, normalmente isso é assinado no momento da contratação, porém, aquelas empresas que ainda não têm, podem fazer a qualquer momento.
Como a lei de dados na internet impacta as empresas de comunicação?
De acordo com Antonio, as empresas de comunicação serão afetadas apenas no ambiente digital, onde deverão pedir permissão de seus ouvintes/telespectadores/leitores para fazer a captura de informações. “É preciso também ter um departamento de TI e jurídico atualizados para realizar o tratamento correto, conforme a LGPDP determina. Outro ponto que devem se adequar é a forma de envio de e-mails de notícias e como a captura física destas informações podem ser validadas no mundo digital”.
O perito ressalta que as empresas precisam de uma autorização expressa para uso e tratamento dos dados de uma promoção ou evento, quando é pedido e-mail e telefone para participar, por exemplo. “As empresas de comunicação precisam escrever uma boa Politica de Gestão de Informação, algo um pouco diferente da PSI – Politica de Segurança de Informação, com isso estarão de acordo com a LGPD. As empresas comunicação que possuem um grande numero de acessos internacionais também precisam estar de acordo com a legislação dos principais países em que possuem ouvintes/telespectadores/leitores, no caso Estados Unidos e Europa, que possuem leis específicas e que não são difíceis de atender, o que na realidade até corrige algumas falhas da nossa LGPD”.
Dicas
De pequenos negócios a gigantes multinacionais, todas as empresas terão de obedecer à legislação sobre coleta e uso de dados pessoais. Antonio Rodrigues Filho diz que o mais importante para as empresas é entender a LGPD como uma mudança de processos e de cultura. “As empresas têm que ter em mente que a LGPD é uma inovação jurídica e não técnica, muito embora tenha que ser cumprida na prática com recursos técnicos. As empresas não devem procurar técnicos de informática, nem advogados generalistas, devem procurar especialistas para analisar os recursos técnicos e com isso levar ao responsável jurídico para elaboração da documentação que atenderá a LGPD”.
Antonio finaliza reforçando uma informação importante. “O atendimento da LGPD não é algo caro ou inacessível, porém, o não atendimento dela pode render multas milionárias capaz de fechar uma empresa, além de sanções civis e criminais”.