Olhar Jurídico

Terça-feira, 24 de novembro de 2020

Notícias / Geral

Advogada diz que LGPD não se aplica apenas a empresas e alerta sobre riscos

Da Redação - Vinicius Mendes

25 Out 2020 - 16:04

Foto: Reprodução

Advogada diz que LGPD não se aplica apenas a empresas e alerta sobre riscos
Em setembro deste ano entrou em vigor a Lei Geral de Proteção de Dados (Lei nº 13.790/18), cuja observância é obrigatória pelas empresas, sejam elas grandes, médias ou de pequeno porte. A LGPD, como é chamada, regulamenta a coleta, o tratamento e a eliminação dos dados pessoais, e institui penalidades severas. Em entrevista ao Olhar Jurídico, a advogada Luciana Serafim, que atua na área, esclareceu alguns pontos sobre a adequação das empresas à LGPD.
 
Leia mais:
Justiça condena Assaí por omissão em caso de empregado ameaçado por marido de colega
 
Olhar Jurídico - O que é a Lei Geral de Proteção de Dados?

Luciana Serafim – A Lei Geral de Proteção de Dados Pessoais, que deve ser cumprida tanto por pessoas físicas quanto jurídicas, entrou em vigência no dia 18 de setembro deste ano e veio para regulamentar o tratamento dos dados pessoais durante todo o seu ciclo de vida, ou seja, e em suma, desde a sua coleta, tratamento, armazenamento, compartilhamento e eliminação.
 
Com isso, qualquer informação que possibilite a identificação da pessoa titular do dado, está protegida pela LGPD, como o nome, RG, CPF, gênero, endereço, imagem, localização por GPS, impressão digital, raça, opção sexual, e-mail, prontuário de saúde, placa de carro, e até mesmo hábitos de consumo e preferencias de lazer. Se o dado possibilitar a identificação da pessoa de alguma forma, será considerado dado pessoal na forma lei.
 
É bom que se frise que a LGPD é aplicável não só para as empresas, mas para as pessoas físicas também. Assim, as anotações de dados pessoais feitas em uma agenda ou no celular pessoal, como nome, telefone e e-mail, também estão amparados pela lei, e a pessoa que o recebeu, em caso de vazamento ou utilização indevida, será responsabilizada.
 
E ao contrário do que muitos têm pensado, a existência de uma lei vidando a proteção de dados não é uma invenção do Brasil. Trata-se um caminhar mundial, sendo que hoje cerca de 120 países já possuem legislação a respeito, inclusive aqui na América Latina.
 
Olhar Jurídico - E porque ela é importante?
 
Luciana Serafim – A moeda de grande valia no mundo atual chama-se “dados”. Tendo acesso aos dados das pessoas é possível alavancar uma marca e destruir outra, influenciar relações de consumo, definir eleições e até mesmo criar uma guerra civil. Tendo acesso às informações reveladas por esses dados pode-se traçar o perfil do seu titular em todos os aspectos, um verdadeiro raio x, e com isso trabalhar mecanismos para influenciar suas decisões.
 
É indiscutível que vivemos num mundo digital, e que a incidência e a influência da tecnologia em nossa vidas tende a se intensificar. Assim, a LGPD vem para estabelecer mecanismos de preservação do indivíduo e de seus direitos fundamentais. Já existe até mesmo um mercado paralelo de vendas de dados, muitas vezes com ação de hackers. Em vários casos o valor de um mailing é altíssimo.
 
Olhar Jurídico - O que deve ser feito para estar de acordo com a LGPD?

Luciana Serafim – A implantação do sistema de gestão de proteção de dados pessoais não é um trabalho simples, e embora reporte a um trabalho jurídico, por estar vinculado ao cumprimento de uma lei, na verdade a adequação demanda ações multidisciplinares, com observância até mesmo a regras de compliance.
 
É imprescindível que se faça o mapeamento dos dados, a avaliação dos riscos, propositura de medidas mitigadoras, construção de políticas e procedimentos para todo o ciclo de vida desses dados, treinamentos, definição de estrutura de governança de tratamento dos dados.  A transparência sobre o tratamento dos dados ao seu titular também é uma medida necessária. Neste contexto é fácil observar a importância do compliance neste processo.
 
E esse sistema de gestão ou de tratamento dos dados, deve ser feito na base de dados da empresa, documentos, equipamentos, locais físicos, sistema, ou seja, em todos os campos e vertentes que lidam com dados pessoais, mesmo que de forma indireta. A atuação conjunta de profissionais da tecnologia da informação e segurança da informação é imprescindível.
 
Olhar Jurídico - Considerando que a lei já está valendo, as empresas que ainda não se adequaram devem fazer isso imediatamente? Quanto tempo leva para a implantação de todo esse processo de gestão dos dados?

Luciana Serafim – Sim, imediatamente, porque a lei já está valendo. Mas a adequação da lei à LGPD é um processo complexo, e o tempo de implantação vai depender muito do tamanho da empresa e do que chamamos de sua maturidade no que se refere ao tratamento de dados.
 
Não é um trabalho para ser executado em uma semana ou um mês. Há empresas que já possuem, por exemplo, um sistema de tratamento de dados desenhado, mecanismos de segurança, governança e compliance. Isso facilita e agiliza o trabalho. Entretanto, na prática, temos observado que a implantação tem variado de 6 a 12 meses.
 
Olhar Jurídico - De que forma o não cumprimento da LGPD pode impactar nas empresas?

Luciana Serafim – É fato que a observância ou não desta lei irá impactar diretamente nas relações comerciais da empresa e na sua reputação no mercado, seja positiva ou negativamente. Não resta dúvida que contratos comerciais poderão ser rompidos pela não adequação.
 
Não bastasse isso, as penalidades previstas na LGPD são pesadas, podendo resultar na aplicação de multa de 2% do faturamento total da empresa à R$ 50 milhões, e isso por infração. O reconhecimento público de não preservação dos dados pessoais daqueles com os quais se relaciona, não tenha dúvida, também impacta fortemente as empresas.
 
Outra penalidade, dentre outras tantas, é a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Imaginou o impacto disso para uma empresa em que sua atividade dependa basicamente desses dados? É devastador!
 
E é bom pontuar que as penalidades aplicáveis não se restringem às inseridas na LGPD, e que serão aplicadas pela Autoridade Nacional de Proteção de Dados a partir de agosto do próximo ano. Há também, e já aplicáveis, aquelas decorrentes de responsabilidade cível e criminal, além da administrativa por atuação do Procon. Já é realidade, por exemplo, ações por danos morais e ações civis públicas tendo por base a LGPD.

Olhar Jurídico - E quem é essa Autoridade Nacional?
 
Luciana Serafim – A Autoridade Nacional de Proteção de Dados, também chamada de ANDP, é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. Já possui sua estrutura definida e está vinculada diretamente à Presidência da República.
 
Recentemente foram designados os membros do seu Conselho Diretor, sendo que dos cinco membros, três são militares. Um ponto que me chamou atenção é que pela formação da maioria, deve haver um forte trabalho no que tange a segurança da informação e a fragilidade das empresas neste campo. A vigilância e a repressão aparentam ser o grande viés de atuação.
 
Olhar Jurídico - A lei fala em consentimento do titular do dado. Como isso funciona?

Luciana Serafim – Para que haja coleta e tratamento dos dados o seu titular deverá ser informado para qual finalidade isto está ocorrendo, e ele deverá consentir, por escrito. A transparência, linguagem clara e acessível nesta “conversa” é necessária.
 
Através do termo de consentimento, que tem sido muito utilizado por meio de cookies, há autorização para utilização dos dados pessoais informados. Mas a empresa não poderá dizer que está coletando estes dados para uma finalidade e utilizá-los para outra sem novo consentimento.
 
E além do termo de consentimento, a empresa deve disponibilizar mecanismos para que o titular do dado possa acessá-lo, fazer correções, solicitar sua portabilidade, obter informações sobre compartilhamento, retirar o consentimento, requer a eliminação, e até se opor ao tratamento que está sendo feito.
 
Olhar Jurídico - A empresa recebe os dados pessoais e em determinado momento pretende eliminá-los. A própria lei diz que essa eliminação deve ocorrer. Como isso deve ser feito?

Luciana Serafim – Coletados dos dados a empresa terá o prazo legal correspondente à sua natureza e finalidade para armazená-los. Muitas vezes este prazo está relacionado com o prescricional, o qual difere de caso a caso. E equivale dizer, em uma linguagem simples, que é aquele prazo que a pessoa tem para ingressar com a ação judicial relacionada.
 
Na prestação do nosso serviço de consultoria para adequação das empresas à LGPD, verificamos ser recorrente a inexistência de processos internos para a eliminação dos dados pessoais por elas coletados. Vai-se somente coletando e armazenando, mesmo que não haja mais a necessidade da sua utilização. E pela LGPD isso não pode mais acontecer.
 
E este ponto é um grande fator de risco para as empresas que continuarem agindo desta forma. Atendida a finalidade e observado o prazo legal para o armazenado, é preciso que o dado seja descartado, eliminado. E isto deve ser feito dentro da máxima segurança, para que esses dados não sejam expostos; não vazem.
 
Não é possível que um arquivo físico, por exemplo, seja simplesmente jogado em um terreno baldio, como já vimos em vários casos noticiados pela imprensa. Portanto, este é um dos pontos que merece uma atenção especial, vez que o risco e o impacto para a empresa é muito grande.
 
Olhar Jurídico - A LGPD também se aplica ao Poder Público?

Luciana Serafim –
Com certeza. E aqui também deve ser observada a transparência no tratamento dos dados ao seu titular, com informações claras, indicativo da finalidade, procedimentos e práticas adotadas. Essas informações devem constar, inclusive, no site dos órgãos públicos. E no âmbito do Poder Público essa questão deverá estar muito alinhada à Lei de Acesso à Informação e suas restrições.
 
As serventias notariais e de registro, que lidam com uma gama enorme de dados, e que mesmo tendo caráter privado atuam por delegação do Poder Público, são enquadrados pela LGPD como pessoas jurídicas de direito público, e devem se adequar a norma como tal.

Comentários no Facebook

Sitevip Internet