Reta final para as empresas se adequarem a LGPD
A Lei Geral de Proteção de Dados Pessoais – LGPD (13.709/18), que traz regras sobre como tratar e armazenar dados pessoais, entrará em vigor na prática, para 2021. Uma medida provisória (MP 959/2020) que adiava a vigência da legislação foi editada pelo governo federal em abril e aprovada pelo Senado, e pela Câmara dos Deputados. Contudo, muitos empresários não sabem o que nada sobre a nova lei.
Uma pesquisa conduzida pela empresa Akamai Technologies, de segurança em nuvem, feita com mais de 400 empresas/tomadores de decisão, revelou que 24% dos entrevistados ainda não sabem o que é LGPD, e dos que têm conhecimento sobre a lei, 43% não sabem quando ela entra em vigor.
“As empresas agora precisam retomar e acelerar os projetos de adequação em curso ou trabalhar com cenários de contingência, dependendo do grau de maturidade dos respectivos projetos”, orienta a especialista Claudio Baumann, Diretor Geral da Akamai.
O Blog FoxManager vai expôr a opinião de especialistas e publicar quatro diretrizes de compliance diante a Lei Geral de Proteção de Dados.
1º Defina controle e dados captados
Como e quais informações são captadas de clientes e funcionários? Pessoal, sensível, pública, anonimizada? Ela é captada por meio físico ou digital? Quem são os operadores internos e externos para mensuração de exposição da empresa à LGPD?
Crie uma equipe ou contrate um encarregado (Pessoa Física ou Jurídica) com capacitação para exercer as atividades previstas na LGPD.
2º Crie protocolos de consentimento
É fundamental exercer controle do consentimento e anonimização dos dados para atender possível solicitação do titular, além de revisar e criar documentos (contratos, termos, políticas) para uso interno e externo.
A criação de um banco de dados para auxiliar o controle dos pedidos dos titulares dos dados - acesso, confirmação, anonimização, consentimento, portabilidade, etc. - também é necessária.
3º Segurança dos dados
O objetivo da LGPD é proteger os usuários e seus dados de acessos não autorizados, em situações acidentais ou ilícitas. Para isso, é necessária a adoção de medidas de segurança para a conservação ou eliminação das informações, assim como a elaboração de documentos que evidenciem essas ações.
O acesso aos dados através da internet, seja de funcionários trabalhando remotamente, seja pelos clientes ou pelo público em geral cria uma potencial vulnerabilidade importante, devido à exposição às ameaças cibernéticas. Há soluções de mercado para implementar essas proteções.
4º Tratamento dos dados
Educar funcionários é fundamental quando falamos de LGPD. É preciso estabelecer regras de boas práticas ao captar, administrar e tratar os dados internos da empresa. Estabelecer procedimentos, normas de segurança, diminuição de riscos no tratamento de dados pessoais é um dos primeiros passos para manter informações de funcionários e clientes seguras.
Diretor-presidente da ANPD
O Executivo Federal também editou o Decreto nº 10.474/20 aprovando a estrutura regimental e o quadro demonstrativo dos cargos em comissão e das funções de confiança da Autoridade Nacional de Proteção de Dados (ANPD).
O decreto entrará em vigor na data de publicação da nomeação do diretor-presidente da ANPD no Diário Oficial da União e demais membros do conselho diretor do órgão, que devem ser escolhidos pelo presidente da República e nomeados após a aprovação pelo Senado Federal.
Apesar das sanções administrativas estarem postergadas para 2021, a entrada em vigor da lei torna suas obrigações exigíveis, inclusive permitindo a responsabilização civil dos agentes de tratamento em face dos titulares de dados pessoais. Além disso, outras sanções administrativas existentes no ordenamento jurídico, como as previstas no Código de Defesa do Consumidor ou no Marco Civil da Internet, estão em vigor e podem ser aplicadas de maneira plena quando haja conexão a violações relacionadas a dados pessoais.
“Será relevante para o mercado acompanhar os desdobramentos da implementação da ANPD nos próximos dias, incluindo o perfil do Conselho Diretor. A LGPD entrará em vigor sem maiores regulamentações por parte da ANPD e com chances de não contar com seu corpo diretivo nomeado”, destaca a advogada Sheila Shimada.
Tipos de sanções
Com a aprovação, a medida passará a vigorar sem adiamentos, em todo o território nacional, da forma como havia sido publicada em agosto de 2018, exceto com relação às suas sanções, que ainda passarão a valer somente em agosto de 2021.
No entanto, o adiamento das sanções não é motivo para as empresas não implementarem a legislação internamente. “As sanções são apenas reflexo da responsabilidade administrativa da empresa. A lei ainda traz questões de responsabilidade civil, criminal e até trabalhista”, afirma a advogada Gabriela de Ávila Machado, com certificação em DPO (Data Protection Officer).
Gabriela cita, por exemplo, o possível vazamento de dados de um consumidor. “De acordo com a lei, ele tem direito à proteção de dados. Se isso não ocorre, pode ser que a empresa não sofra uma sanção administrativa, mas o titular dos dados pode entrar com uma ação civil de danos contra a empresa”, explica. “As empresas estavam apostando no adiamento da lei e já é possível observar uma correria para se adaptar às pressas. O cumprimento da lei deve sempre estar no topo da lista de prioridades das empresas”, concluiu.
Valores aplicados
As punições em casos de descumprimentos, que chegam a até 2% do faturamento (com limite de R$ 50 milhões por infração), não valerão neste primeiro momento, pois foram adiadas até agosto de 2021 pela Lei nº 14.010.
Apesar de não citar especificidades relacionadas ao contexto de disseminação de dados pessoais entre empregador e empregado, essa regulamentação afeta, também, as relações de trabalho, tanto na fase pré-contratual quanto depois de firmado o contrato. Agora, uma simples ficha cadastral, por exemplo, passa a se tornar um agrupamento de informações sujeitas à proteção da lei.
“É inevitável que o Brasil siga os passos de países europeus ao discutir a segurança de dados pessoais, principalmente com o número de roubo de informações acontecendo nos últimos anos. Vale lembrar que a lei europeia aplicou mais de R$ 684 milhões em multas desde que entrou em vigor. O quanto antes as empresas entrarem em conformidade, menos suscetíveis estarão à penalidades”.
Claudio Baumann
Os dados pessoais
As organizações têm acesso a inúmeros dados sobre seus funcionários e, até mesmo, sobre pessoas aleatórias, como as que participam de processos seletivos, por isso, é crucial traçar diretrizes claras com foco na privacidade e na segurança.
O nome, endereço, e-mail, CPF, escolaridade, religião, grupo sanguíneo, nomes dos pais, valor do salário, motivos de faltas, doenças, filiação a sindicato e situações conjugais (como pagamento de pensão e inclusão de dependentes em plano de saúde) são alguns exemplos de dados pessoais. Alguns desses inclusive, são considerados sensíveis pela lei e sujeitos a tratamento específico.
Todas as pessoas poderão invocar a proteção da lei, e nas relações sociais a aplicação da LGPD
É dever do empregador, portanto, tratar essas informações de forma adequada, captando apenas o que for relevante às finalidades desejadas, e jamais compartilhá-las com terceiros.
É necessário um novo olhar sobre as políticas de uso de dados das instituições, principalmente no que se refere aos dados sensíveis, que muitas vezes sequer são essenciais à relação de emprego e, por isso, não precisam ser coletados.
Conclusões
Em resumo, a LGPD chegou para reforçar a percepção de que as empresas devem proteger as informações e respeitar o direito à privacidade de seus colaboradores, o que é, de fato, extremamente importante.
“As empresas poderão ser responsabilizadas caso seus fornecedores ou parceiros comerciais não estejam adequados às mudanças na proteção de dados. Há uma linha de responsabilidade solidária das empresas, então as grandes corporações só deverão contratar outras empresas fornecedoras que estejam em conformidade com a lei. Por exemplo: se eu fiz minha parte conforme a LGPD, amanhã, quando for contratar outra empresa, estarei assumindo um risco muito grande se a empresa não estiver em conformidade com a LGPD também. E isso já acontece com empresas exportadoras, já que o Regulamento Geral de Proteção de Dados na União Europeia, ou GDPR, está em vigor desde 2018 e cobra esta responsabilidade das empresas”, finaliza Hermes de Assis, especialista em Direito Digital.