Matéria de Capa

Dados pessoais na lupa

Com penalidades previstas a partir de agosto, especialistas recomendam acelerar o passo na adequação da Lei Geral de Proteção de Dados

por Rúbia Evangelinellis

lupa-db323
Reproduzir vídeo

A Lei Geral de Proteção de Dados, em vigor desde 18 de setembro de 2020, está movimentando os bastidores das empresas que buscam se enquadrar às exigências legais e escapar de penalidades. Entre elas está a multa, que pode chegar a 50 milhões de reais ou 2% do faturamento bruto, que pode ser aplicada a partir de agosto próximo.

Cabe à ANPD (Autoridade Nacional de Proteção de Dados), criada em 2019, regulamentar, orientar as empresas e ter o olhar fiscalizador. Tem autoridade inclusive para aplicar multas.

Também conhecida como Lei 13.708, de 2018, regulamenta o direito dos cidadãos (com conjunto de regras, princípios e sanções) no que tange ao tratamento de dados pessoais. A legislação mira em empresas públicas e privadas, de todos os setores, e pessoas com interesse econômico. E permite, inclusive, ao titular, acesso, revogação, consentimento de uso e respectiva suspensão da autorização para o tratamento.

Renato Ópice Blum: em caso de vazamento de dados, a lei fala que se foi um dano
importante tem de informar a autoridade nacional

Segundo Renato Ópice Blum, advogado e coordenador de cursos de Direito Digital e Proteção de Dados da FAAP (Fundação Armando Álvares Penteado) e do Insper, a LGPD traz regras de segurança à chamada autodeterminação informativa, ou seja, ao direito das pessoas físicas decidirem o que será feito com os seus dados.

Inspirada no modelo europeu, ou melhor, no GPDR (sigla em inglês do Regulamento Geral de Proteção de Dados), implementado em maio de 2018, a versão brasileira chega com um protagonismo por vir na esteira de uma tendência mundial. E, a exemplo da legislação internacional, cria a figura do controlador de dados, ainda identificado pela nomenclatura estrangeira, com DPO (Data Protection Officer), o qual atuará na empresa e ficará responsável pelo atendimento titulares dos dados, às questões relativas ao tema e ainda fará a interface com a agência regulatória.

Tratamento de dados

Para o especialista, a lei deve ser dividida em dois momentos, considerando primeiramente as regras para tratamento dos dados (tudo o que pode ser feito com eles). E, em seguida, o gerenciamento dos mesmos. A legislação informa as hipóteses de tratamento de dados. Entre as quais, o especialista destaca quatro: consentimento, obrigação legal, execução do contrato e legítimo interesse. “Na fase de adequação, as  empresas têm de encaixar as suas fontes de coletas nesses quatro requisitos para evitar infrações”.

Por exemplo, sites de compras têm de avisar se possuem ou não cookies, porque ali já se caracteriza uma coleta de dados pessoais. Dado pessoal deve ser entendido em todas as situações identificadas, como ip (endereço de protocolo da internet), versão de computador e até mesmo uma referência culinária. Outra situação pode ocorrer na finalização da compra pelo site, quando a empresa pede o consentimento de uso de dados, que tem de ser por meio de um documento objetivo, simples e de linguagem didática.

Na possibilidade do consentimento, a lei determina que ele tem de ser livre, inequívoco e devidamente informado. E cita em seu rol dados sensíveis, importantes, como os relativos à saúde (exames médicos, patologias), raça, religião, opção político partidária e vida sexual. “Dados de compra – como nome, endereço, telefone, CPF e forma de pagamento -, em tese, não precisam de consentimento, mas para serem usados apenas para esse fim ou de exigência legal, como fins fiscais”, informa. Em caso de vazamento de dados, a lei fala que se foi um dano importante tem de informar a autoridade nacional, que vai avaliar o que deve ser feito. 

Canal indireto

Patrícia Fiore, advogada especializada em LGPD do escritório Dessimoni & Blanco Advogados, ressalta que as empresas têm a obrigação legal de se adequarem, o que torna a medida impositiva. Especificamente em relação às companhias do canal indireto, como os negócios são predominantemente B2B, a maior atenção deve estar em recursos humanos, onde se coleta e concentra dados pessoais dos empregados, muitos dos quais sensíveis.

Patrícia Fiore ressalta que as empresas têm a obrigação legal de se adequarem,
o que torna a medida impositiva

“No caso de um plano de saúde coletivo, por exemplo, é preciso obter e compartilhar dados sensíveis dos empregados e dependentes. E para isso  o controlador ( in casu o empregador) precisa garantir informações claras e precisas sobre o tratamento de dados aos seus titulares ( empregados). Nossa orientação é que sejam revistos todos os novos contratos de trabalho. Para os vigentes, estamos elaborando aditamentos ”, observa.

Para a advogada, a figura do DPO é importante para que a empresa tenha um canal exclusivo para tratar da privacidade de dados. E destaca que a LGPD exige treinamento, por implicar  sobretudo em uma mudança cultural, tendo como prioridade o repudio ao uso “desproporcional e indiscriminado de dados”. Tomando como referência a experiência obtida na consultoria às empresas, Patrícia explica que, não raro, as empresas acabam acumulando um volume de  informações desnecessárias. E, por isso, recomenda que na avaliação dos dados é importante ter em mente se existe o interesse legítimo em tratá-los.

DB DigitalReceba no seu email

DB DigitalReceba no seu email