A LGPD – Lei Geral de Proteção de Dados, que entrou em vigor no mês de setembro, ainda traz muitas dúvidas em relação à sua aplicação. Para esclarecer algumas questões e facilitar no seu uso no ambiente corporativo, o advogado Dr. Rafael Barioni, sócio do escritório Sanchez & Sanchez Sociedade de Advogados, presidente da Comissão de Direito Digital, Internet e Tecnologia Jurídica da OAB/RP, membro da Comissão de Direito Digital da OAB/SP e representante local da AB2L – Associação Brasileira de LawTechs e LegalTechs, respondeu algumas perguntas sobre o tema para ajudar os empresários, confira:
1 – Quais os riscos para uma empresa em caso de descumprimento da LGPD?
Apesar da vigência das sanções ter sido prorrogada para Agosto de 2021 por meio da Lei 14.010/20, as responsabilizações já podem ser conduzidas ao Poder Judiciário que por sua vez está legitimado a enfrentar a matéria e aplicar penalidades.
No que tange a esfera de atribuição da ANPD, além de multa simples no valor de até 2% do faturamento do exercício anterior e multa diária até adequação, uma empresa que não está adequada à LGPD está sujeita a ter a divulgação de uma possível infração, suspensão do funcionamento do banco de dados e, em último caso, proibição total de atividades quem envolvem tratamento de dados.
2 – Quais os impactos da LGPD nas relações trabalhistas e como as empresas devem lidar com o armazenamento de dados? Já que muitas recebem currículos de candidatos.
Os impactos sofridos nas relações trabalhista são os mesmo de toda relação “Empresa X Titular”. Toda empresa precisa ter total controle sobre os dados que trata, sendo o titular cliente, fornecedor, colaborador ou tenha qualquer outra relação com a empresa.
Ao realizar o tratamento de dados, a empresa precisa respeitar 10 princípios descritos no artigo 6º da lei, entre eles estão o princípio da “Necessidade”, que diz que a empresa deve se limitar a tratar o mínimo necessário de dados para realização de suas atividades, o princípio do “Livre Acesso” que garante ao titular uma consulta facilitada e gratuita sobre quais dados estão sendo tratados e a duração do tratamento, e o princípio da “Finalidade”, que diz que o tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e que esses propósitos tem que ser informados ao titular. O recebimento de currículos de candidatos precisa respeitar esses princípios.
3 – A consultoria jurídica sobre o assunto é fundamental para as empresas?
Acreditamos que sim. Trata-se de um tema extremamente técnico com sanções elevadas e, portanto, a condução por parte de profissionais habilitados e preparados é fundamental para evitar surpresas.
Isto porque a implementação requer a observação de uma metodologia adequada, envolvendo todas as áreas da Corporação (conscientização e adequações), tais quais, alguns exemplos, Recepção, Recursos Humanos, Financeiro, Vendas, etc.
4 – Explique como o escritório se adequou junto aos clientes e quais os procedimentos adotados:
Desde de 2018 com a implementação do Regulamento Geral sobre Proteção de Dados (GDPR), documento regulatório europeu e, no mesmo período em 2018, com a publicação da Lei Geral de Proteção de Dados (13.709/18), se prepara para estar aderente as exigências em respeito aos dados de todos os que se envolvem diariamente com o Escritório.
E, evidente que o papel da área jurídica, de tecnologia e de pessoal é fundamental para eliminar ou mitigar eventuais impactos e riscos.
Enfim, de lá para cá foram muitas as mudanças e adequações realizadas, algumas delas:
• Mudanças no atendimento ao cliente, pois todos os dados pessoais alheios precisam ser tratados de forma a manter a conformidade com a nova legislação;
• Reavaliamos os processos gerenciais relativos ao tratamento de informações dos clientes, readequando os canais de relacionamento e comunicação;
• Correção de dados incompletos, inexatos ou desatualizados;
• Políticas para anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
Enfim, este modelo está disponível para implementação em qualquer outra Corporação de pequeno, médio e grande porte, seja ela de prestação de serviços ou de produtos.
6 – Quais dados estão inseridos na proteção trazida pela LGPD?
a. Aos dados pessoais de indivíduos localizados no Brasil
b. Quando o tratamento se dá no Brasil
c. Quando houver oferta de bens e serviços para indivíduos no Brasil
7 – Quais dados não estão inseridos na proteção conduzida pela LGPD?
a. Para dados provenientes e destinados a outros países que apenas transitem pelo território nacional
b. Uso pessoal
c. Uso não comercial
d. Fins jornalísticos
e. Fins acadêmicos
f. Segurança Pública
8 – Então não posso mais tratar dados dentro da minha Empresa:
Pode sim, desde que observados um dos itens abaixo, quais sejam:
a – consentimento pelo titular;
b – cumprimento de obrigação legal ou regulatória;
c – execução de políticas públicas;
d – para a realização de estudos por órgão de pesquisa;
e – para a execução de contrato;
f – para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
g – para a proteção da vida;
h – para a tutela da saúde;
i – interesses legítimos ou
j – para a proteção do crédito.
9 – Quais as recomendações fundamentais para a implementação da LGPD?
a. Nomear um comitê interno de segurança e proteção de dados pessoais como responsável pelas tarefas exigidas para um plano de implementação, incluindo a classificação das informações, a revisão dos provedores de tecnologia, a definição das políticas de comunicação e tratamento de dados, bem como a utilização de medidas razoáveis de segurança;
b. Compreender o cenário existente dentro do Escritório/Empresa e quais os níveis de risco e criticidade que o tratamento dos dados pessoais apresentam;
c. Definir equipe multifuncional para desenvolvimento e implementação do projeto de adequação;
d. Nomear DPO: recomenda-se que haja uma equipe de suporte à pessoa designada para o cargo. Necessária independência do DPO perante as demais áreas, inclusive perante a Diretoria executiva;
e. Compartilhamento de risco: entre as áreas envolvidas, sobre tudo Legal e TI;
f. Elaborar um projeto de avaliação de maturidade dos controles e processos internos existentes referentes à privacidade e à proteção de dados;
g. Elaborar plano de adequação e novas políticas aplicáveis, interna e externamente (também aos fornecedores);
h. Atualizar as políticas de compliance.
Comentários