Por Anna Bastos
Por que eu tenho que implementar a Lei Geral de Proteção de Dados na minha empresa?
A resposta parece simples, mas o tema chama a atenção para a importância de avaliar as ações necessárias à proteção de dados de pessoas naturais, regras exigidas pela Lei nº13.709/2018 (“LGPD”), que vigora desde setembro de 2020, por outro lado, as penalidades aplicáveis para o não cumprimento da LGPD passaram a vigorar em agosto do ano passado e podem variar desde aplicações mais brandas à penalidades mais rigorosas, com multas de até 2% (dois por cento) do faturamento da pessoa jurídica a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
O objetivo da Lei Geral de Proteção de Dados é “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, conforme infere-se no artigo 1º da Lei.
Muitos administradores imaginam que em se tratando de ambientes corporativos, especialmente àqueles que lidam apenas com pessoas jurídicas, não devem se preocupar com a proteção de dados pessoais. Ledo engano, pois mesmo nas relações organizacionais, tem sempre uma pessoa física responsável por alguma ação da empresa e que envolve dados pessoais diversos.
O que exatamente são dados pessoais?
Em conformidade com o artigo 5º, inciso I, da LGPD, dado pessoal é toda “informação relacionada a pessoa natural identificada ou identificável”, diante disso, eles não configuram apenas o nome completo, RG e CPF, consiste em toda informação que possa identificar a pessoa natural e individualizá-la.
No meio digital, os dados pessoais vão além de e-mail e localização do usuário, podemos destacar que a partir dos dados de navegação (informações armazenadas pelo navegador quando usamos a web, como dados digitados e sites visitados) as empresas podem gerar impacto por meio de publicidade online, como por exemplo em anúncios de sites. Sendo assim, os gestores precisam agir – e treinar seus colaboradores – de forma a respeitar os dados e sua integridade, pois estes não são propriedade das empresas, mas tão somente das pessoas físicas, sejam elas quem for (clientes, colaboradores, parceiros).
Todos os departamentos de uma empresa devem estar atentos para a troca interna e externa de informações, para que não haja o vazamento de dados de quem quer que seja. Vamos a alguns exemplos práticos:
- Um colaborador entrega um atestado médico à empresa onde consta uma doença grave da qual ele não deseja compartilhar com os demais colaboradores. O RH da empresa por sua vez compartilha a impressora com outros departamentos e não tem o cuidado de imprimir o documento de forma segura, permitindo a informação ser vista por mais pessoas.
- Um comerciante recebe insistentes ligações e mensagens de diversas empresas de prestação de serviços depois de ter seu número de telefone vazado por uma construtora onde adquiriu um imóvel.
Para evitar esse tipo de situação vamos ao que muda, na prática, para as empresas quanto à ligação efetiva com clientes:
- Formulários digitais e físicos com dados de clientes, funcionários e quaisquer outros públicos devem estar armazenados de forma segura;
- A coleta de dados pessoais precisa respeitar o princípio da minimização de dados e a finalidade de uso.
- Dados pessoais sensíveis devem ter tratamento diferenciado. A LGPD considera sensível os seguintes dados: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico;
- A empresa que teve o consentimento do cliente para o tratamento de dados pessoais para uma finalidade, caso necessite utilizar os dados para finalidade diversa, deverá obter novo consentimento do titular para isso, com ressalvas para as outras bases legais previstas na LGPD.
Mas, diante de tantas mudanças, como se proteger? Algumas dicas são importantes para evitar o vazamento de dados e seguir a LGPD à risca: - Seguir critérios que envolvem as exigências da Lei como a observância aos princípios norteadores de finalidade, necessidade, livre acesso, qualidade de dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
- Adotar uma cultura de proteção de dados – É importante investir na conscientização das pessoas em relação à segurança, especialmente de quem está na linha de frente, manuseando dados pessoais nas rotinas de trabalho. As empresas precisam dar atenção às pessoas, não apenas aos processos e tecnologias.
- Manter registro das operações de tratamento de dados pessoais – Mapear o fluxo de dados na empresa é importante para manter a conformidade com a Lei, mas também para a empresa entender, por exemplo, quais dados pessoais são coletados e por meio de quais canais, além do local em que ficam armazenados e a forma que estão sendo manipulados.
- Adoção de processos para definir políticas e procedimentos em torno da implementação e gerenciamento contínuo de controles de segurança da informação.
- Analisar cada atividade de tratamento e se há embasamento legal para isso – é importante diminuir os riscos quanto à legalidade da atividade, além de avaliar a real necessidade da coleta e tratamento de determinadas informações.
- Ter comunicação clara, transparente e eficaz com os donos dos dados pessoais – é importante que o cliente, colaborador ou parceiro seja informado sobre como seus dados pessoais solicitados são utilizados e a razão deles serem necessários para a empresa.
São algumas dicas que evitam futuras responsabilizações administrativas perante a ANPD (Autoridade Nacional de Proteção de Dados) e judiciais, em razão de deslizes que podem parecer pequenos na visão empresarial, mas causam prejuízos enormes para os titulares vítimas dos vazamentos. Inclusive é válida a orientação, no caso de empresas de médio e grande portes, a criação de um comitê de adequação à Lei Geral de Proteção de Dados envolvendo áreas como TI, RH e Marketing, para acompanhar de perto as ações que envolvem dados pessoais, de clientes e quaisquer pessoas contatadas.
Importante também ressaltar que se dados forem vazados indevidamente ferindo a LGPD, é necessário comunicar à ANPD – Autoridade Nacional de Proteção de Dados e aos titulares de dados, especialmente em casos de risco ou dano relevante.
Criado pelo Executivo Federal para implementação no serviço público, o Guia de Boas Práticas para a Lei de Proteção de Dados, oferece um bom direcionamento para quem quiser entender mais sobre a LGPD.
Em suma, tratar a segurança dos dados pessoais deve ser sempre uma prioridade, principalmente quando pensamos nos mais variados tipos de fraudes praticados atualmente em razão do massivo uso de dados pessoais, sobretudo em meios digitais. Portanto, se sua empresa ainda não está adequada aos parâmetros legais da LGPD, procure se informar com profissionais especializados e assegure a sua integridade e a de seus clientes.
Anna Bastos
Advogada especialista em Direito Internacional e Compliance.
