Notícias

30.06.2021

LGPD: aplicação das sanções inicia no mês de agosto. Saiba como adequar a sua empresa.

Compartilhe: WhatsApp

O termo LGPD já é bastante conhecido dos brasileiros. Mas, na prática, a Lei Geral de Proteção de Dados Pessoais (em vigor desde 18/09/2020) ainda gera dúvidas, especialmente aos empresários que precisam se adaptar tanto em relação aos clientes quanto aos colaboradores. São inúmeros processos a serem cumpridos até agosto deste ano, quando inicia a aplicação das sanções.

A lei afeta todos os setores e ramos de atividades que tratam dados de pessoas físicas, tanto no setor privado como no público, independentemente do porte da empresa. Por isso, o único caminho é se adequar à lei e fazer proveito dos benefícios que ela traz.

Os inúmeros termos técnicos costumam ser um empecilho para a maioria dos empresários, que tem o dia a dia direcionado aos assuntos do próprio negócio. Por isso, o advogado João Felipe Nogueira Alvares, do escritório Nemetz, Kuhnen, Dalmarco & Pamplona Novaes Advocacia, explica tópicos da lei de forma simples e cita exemplos. Confira os principais itens.

Dado pessoal
Informação relacionada à pessoa, como CPF, RG, telefone, e-mail, endereços de IP, localização de dispositivo móvel (geolocalização). Ou seja, qualquer informação que permita identificar um indivíduo, seja de forma direta ou indireta.

Dado pessoal sensível
São dados como origem racial ou étnica, convicção religiosa, opinião política, se há filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e informação genética ou biométrica.

Em geral não há necessidade de se obter e manter esses dados, seja sobre seus clientes ou colaboradores.  Se não há justificativa legal para tratar estes dados, você deve excluí-los.

Coleta e armazenamento de dados
Coleta é o simples ato de obter dados do titular, enquanto armazenar é mantê-los no computador, nuvem, arquivo físico etc. da organização.

Exemplo
Em uma loja de vestuário, uma das situações mais comuns de coleta de dados do titular ocorre no crediário. Para ter acesso às condições de parcelamentos o cliente terá que fornecer seus dados à loja (Nome, CPF, e-mail etc.), e que serão armazenados no seu sistema (físico ou digital).

Outro exemplo é a coleta de dados que ocorre na contratação de um funcionário para esta loja, ocasião em que são fornecidos dados por este (Nome, CPF, e-mail etc.) para elaboração do contrato de trabalho.

Tratamento de dados
Consiste na manipulação destes dados, como os citados acima.  A manipulação ou tratamento ocorre de várias formas, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, eliminação, avaliação, controle da informação, análise, modificação, comunicação, transferência, difusão ou extração.

Importante! Qualquer atividade que realize a manipulação de informações de clientes e funcionários está sujeita às regras da LGPD. Exemplos: lojas, farmácias, mercearias, padarias, supermercados, centros comerciais, shoppings, estacionamentos rotativos etc.

Você sabia?
Os dados não precisam estar armazenados em um sistema, em um site ou em nuvem para que seja obrigatório o cumprimento das regras sobre proteção de dados pessoais. Aqueles arquivos físicos ou aquela gaveta onde estão guardados os currículos de candidatos ou fichas impressas preenchidas por clientes também precisarão ser tratados de acordo com a LGPD!

Agentes de tratamento de dados
São as pessoas que têm envolvimento com os dados do titular, que é a pessoa física a quem se referem os dados, ou seja, a proprietária dos dados. Confira quem pode tratar os dados:

Controlador e Operador: chamados também de “agentes de tratamento”, ambos podem ser pessoa jurídica ou natural, sendo o controlador responsável pela tomada de decisões sobre o tratamento de dados que estão sendo coletados, e o operador pela execução deste tratamento em nome do controlador.

Encarregado de Dados: pessoa jurídica ou natural, responsável pela comunicação entre o controlador e o operador (empresa), o titular e a Autoridade Nacional de Proteção de Dados.

Exemplo
Numa loja de vestuário, mais de um indivíduo pode ser o titular de dados, como clientes e funcionários em geral, considerando que ambos fornecem dados à loja em determinado momento. Os funcionários, por exemplo, forneceram dados ao empregador quando contratados, e o cliente, ao informar seus dados ao crediário.

De outro lado, o funcionário também pode ser o Operador, pois realiza a coleta de dados (tratamento) dos clientes sobre as ordens da loja. O estabelecimento, por sua vez, se enquadra como Controlador, pois é em nome dele e sob suas ordens e diretrizes que os funcionários realizam o tratamento.

Já o Encarregado poderá ser qualquer pessoa designada pelo dono da loja, inclusive empresa terceirizada. Ele terá a função de realizar a gestão dos dados a que o Controlador tem acesso, armazena e realiza o tratamento.

A regra diz que o titular dos dados precisa ceder os dados e autorizar o uso deles, porém, existem possibilidades de tratamento que dispensam esta autorização, tais como: (i) cumprimento de obrigação legal ou regulatória pelo controlador; (ii) uso pela administração pública; (iii) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (iv) execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; (v) exercício regular de direitos em processo judicial, administrativo ou arbitral; (vi) proteção da vida ou da incolumidade física do titular ou de terceiros; (vi) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (vii) legítimos interesses do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e (viii) proteção do crédito.


Dia a dia

Diz o ditado que na teoria é fácil, difícil é a prática. Mas, vamos combinar que quando o assunto é LGPD, nem a teoria é simples. Por isso, trouxemos aqui dúvidas e situações comuns dos associados à CDL para o advogado João Felipe Nogueira Alvares responder. Confira!

advogado João Felipe Nogueira Alvares Há diferença na coleta e na utilização dos dados dos clientes de acordo com a finalidade e a situação? Por   exemplo, para a abertura de cadastro para crediário ou a coleta de informações no momento do     pagamento   por um produto.
 Deve-se ter em mente que qualquer coleta de dados está sujeita ao regramento imposto pela LGPD.

  Diante disso, a coleta de informações no crediário, bem como no ato do pagamento de uma mercadoria, deve atender     uma finalidade específica, e com fundamento em uma das hipóteses legais de tratamento acima, que dispensam o   consentimento do titular.

 Caso a coleta não tenha fundamento em nenhuma das referidas hipóteses legais, o estabelecimento deve obter o   consentimento expresso do titular, e que contenha a finalidade específica do tratamento.

  Assim, o estabelecimento estará autorizado a fazer uso dos referidos dados, desde que, evidentemente, dentro dos limites   estabelecidos no termo. Recomenda-se que a coleta esteja restrita aos dados estritamente necessários para a finalidade   proposta.


Como a minha empresa pode provar que a coleta e uso de dados foi autorizado?
Ainda utilizando como exemplo a loja de vestuário, no caso de coleta de informações para envio de promoções, o cliente deverá assinar um termo consentindo expressamente com o fornecimento dos seus dados para esta finalidade. Assim, quando necessário, o estabelecimento poderá apresentar o referido termo para provar que a coleta foi autorizada.

Caso o cliente queira excluir seus dados armazenados pela loja, esta poderá manter todos aqueles que sejam essenciais para uma futura cobrança, na eventual inadimplência do cliente, tendo em vista que se trata de uma das hipóteses de tratamento de dados sem a autorização do cliente, e excluir os demais que não são essenciais.

O cliente pediu para ver quais dados a empresa tem sobre ele, o que fazer e como?
O comerciante deverá fornecer um relatório de todos os dados do titular que são por ele armazenados. Tal relatório deverá ser fornecido no menor tempo possível, em formato simplificado. Caso seja requerido o relatório em formato detalhado, isto é, contendo a origem dos dados, finalidade de tratamento etc., o lojista terá até quinze dias para fornecê-lo, a partir da data de requerimento do titular. O relatório poderá ser fornecido a critério do titular, seja pela via digital (meio seguro) ou de forma impressa.

Se o cliente, titular dos dados, pedir para excluir alguma informação ou todo o cadastro, qual a orientação?
O comerciante deverá excluir apenas os dados que são tratados mediante consentimento do titular, como aqueles para fins de marketing. Os dados tratados com fundamento nas demais hipóteses de tratamento, como aqueles necessários para cumprimento de obrigação legal, realização de cobranças, defesa de seus interesses em juízo ou processos administrativos (Procon) podem ser mantidos no banco de dados da empresa.

Sobre a “finalidade dos dados”, posso usar os dados utilizados na abertura de crediário para enviar promoções?
Sim, desde que o titular tenha conhecimento desta possibilidade quando da abertura do crediário, ou seja, mediante consentimento expresso.

Minha empresa usa as redes sociais e o site para se relacionar com os clientes. Quais os cuidados em relação à LGPD?
As redes sociais possuem políticas de privacidade e sistema de cookies próprios, assim, as empresas devem estar atentas às regras lá estabelecidas. No caso de um site próprio, além da adequação dos termos de uso, políticas de privacidade e cookies às regras estabelecidas pela LGPD, as organizações precisam se atentar à transparência destas informações, isto é, as políticas de privacidade, por exemplo, devem ser de fácil visualização e com redação simples. No caso dos cookies, o site deve possibilitar ao visitante a escolha pela sua utilização.

Como usar e-mail marketing de acordo com as regras da LGPD?
É necessário sempre o consentimento expresso do titular para uso do seu e-mail para esta finalidade. A opção de descadastro da ferramenta “newsletter” é uma boa opção para facilitar ao cliente a revogação do seu consentimento em relação ao e-mail marketing.

Lembrando que a compra de base de dados é ilegal, tendo em vista que na grande maioria das vezes, o titular de tais dados não consentiu com o compartilhamento das suas informações.

O que devo exigir dos fornecedores para me garantir à LGPD?
De acordo com a LGPD, os fornecedores são considerados como Operadores no tratamento de Dados Pessoais. Diante disso, deve ser exigido destes a adequação dos contratos existentes às disposições da lei.

Importante ressaltar que os fornecedores apenas poderão tratar referidos dados de acordo com o que estiver estabelecido no contrato firmado com a empresa.

Quais cuidados minha empresa deve ter em relação aos dados dos colaboradores?
A empresa deve analisar a necessidade de cada informação solicitada ao colaborador, com objetivo de apurar se o tratamento dos dados coletados na contratação está previsto em uma das hipóteses que dispensam o consentimento do seu titular.

Por outro lado, sendo imprescindíveis na entrevista, algumas informações podem ser coletadas e, logo após, eliminadas.

Deve-se evitar a coleta de dados sensíveis como: religião; posicionamento político e/ se é filiado a partido político; informações sobre condição de saúde; etnia etc. Ademais, a empresa também deve se atentar aos dados coletados em sistemas de ponto por biometria e face.

Os colaboradores são responsáveis pelos dados dos clientes?
Em regra, a empresa é responsável pelos dados do cliente e dos seus colaboradores. No entanto, o colaborador poderá responder pessoalmente pelos danos que vier a causar em relação a terceiros em conjunto com a empresa, independentemente da responsabilidade da empresa.

Fala-se em fazer e revisar o mapeamento de todos os processos internos e rotinas da empresa. Há um exemplo de como fazer isso?
No mapeamento dos processos e rotinas é necessário apurar quais são os dados (sensíveis ou não) que a empresa opera; quem os opera; se há restrição para operação por pessoas não autorizadas; qual é a frequência com que esses dados são operados; se há anuência por parte dos titulares dos dados pessoais para sua operação; e se há compartilhamento de dados pessoais com terceiros. Apenas com base nessas informações, é que se passa para a etapa de implementação.

Lembrando que estas são apenas algumas dentre as mais importantes providências a serem tomadas pelas empresas com relação à LGPD e as boas práticas de proteção de dados de uma maneira geral.

Plano de ação para a implementação da LGPD: como fazer e o que deve constar nele?
O Plano de Ação deve estabelecer as responsabilidades e atribuições de cada um dos sujeitos no processo de tratamento, bem como os procedimentos que serão criados ou modificados.

Além disso, deve conter o Relatório de Impacto à Proteção de Dados (RIPD), onde devem estar descritos todos os processos de tratamento de dados que podem gerar riscos, bem como as medidas para mitigação dos riscos existentes.

Material de apoio

A CDL Blumenau tem disponibilizado diversos materiais de suporte aos associados para que possam se informar e se organizar sobre a LGPD. São conteúdos de texto e vídeos. No Portal do Associado estão disponíveis cartilhas, e-books check lists e uma série exclusiva com o advogado João Felipe Nogueira Alvares em vídeos, disponíveis também no YouTube. CLIQUE AQUI e confira.

LGPD: aplicação das sanções inicia no mês de agosto. Saiba como adequar a sua empresa.

 

Newsletter

Sistema CNDL
©2016-2022 - CDL Blumenau - Todos os direitos Reservados - Desenvolvido por SEDIG

Política de Privacidade
Topo