LGPD - Preocupações e Ponderações Iniciais

O Brasil, com a Lei Geral de Proteção de Dados, Lei nº 13.709, de 14 de agosto de 2018 (“LGPD”), buscou alinhamento aos principais marcos regulatórios mundiais, representando um importante e ambicioso passo para adequação ao movimento internacional. Ambicioso porque ao lado da regulação, empreendedores e empresários nacionais deverão adequar-se sem ressalvas ao novo modelo.

Vale lembrar que muitos pontos importantes já eram tratados e regulados pelo Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014), que fixa princípios, garantias, direitos e deveres para o uso da internet no Brasil. Mas foi necessário e coube à LGPD inovar e ampliar a proteção a dados tanto no meio eletrônico quando no meio físico “off-line”, incluindo as startups em qualquer nível de maturidade.

O que você vai ler neste artigo ocultar
1 A LGPD entra em vigor em agosto de 2020
1.1 A Lei Geral de Proteção de Dados e O Tratamento de Informações
1.2 Tratamento de Dados de Pessoas Naturais
2 Análise dos Meios de Coleta de Informações na LGPD
3 As 3 Pessoas Chave na Lei Geral de Proteção de Dados
3.1 Recaptulando As Definições
4 Cuidados Que O Empresário Deve Ter Para Não Cometer Infrações
5 A Adequação do Negócio ou Entidade à LGPD
6 Conclusão

A LGPD entra em vigor em agosto de 2020

Com isso, é necessário e importante que, individualmente, empreendedores e empresários identifiquem se estão em compliance (de acordo – estar em conformidade com leis e regulamentos externos e internos) com todas as disposições legais impostas pelo novo normativo, avaliando meios e modos de coleta de informações e dados pessoais (e até se existem dados sensíveis coletados), formas de tratamento e armazenamento, até mesmo casos de compartilhamento e meios de eliminação.

Leia Também:  LGPD, ANPD, GDPR - Dados e Siglas Que Impactam Na Atividade Empreendedora

A Lei Geral de Proteção de Dados e O Tratamento de Informações

Enfim, devem avaliar onde será necessária adequação, dado que o conceito de tratamento de dados na LGPD é demasiadamente amplo e não permite “descuidos”, pois envolve toda operação realizada com dados pessoais, tais como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Tratamento de Dados de Pessoas Naturais

E tais cuidados e revisão envolvem dados de pessoas naturais (pessoas físicas), sejam dados pessoais (informação relacionada a pessoa natural identificada ou identificável) ou dados pessoais sensíveis (dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural).

O titular é sempre a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Análise dos Meios de Coleta de Informações na LGPD

A investigação interna deve envolver profundamente os meios de coleta e banco de dados (conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico), que tenham relação com titular dos mesmos.

Isso porque, distintamente do que pode parecer a primeira vista, a LGPD tem aplicação sobre todas as relações jurídicas que envolvam qualquer manuseio de dados pessoais, eletrônicos ou físicos, nas mais distintas áreas da empresa, seja no universo comercial e nas relações de consumo, seja no departamento de RH e relações trabalhistas, e até mesmo no primeiro contato com escritórios, por meio de controle de acesso e portarias.

As 3 Pessoas Chave na Lei Geral de Proteção de Dados

Para a LGPD, existem 3 (três) importantes pessoas chave relacionadas à proteção de dados pessoais, afora o titular dos mesmos, naturalmente.

Deve ser identificado quem é o controlador (que pode ser pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais), quem é o operador (pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador) e quem será nomeado encarregado (ou DPO no conceito estrangeiro) (que é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)).

Recaptulando As Definições

  1. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  2. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  3. Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Caberá ao controlador dos dados, visando a proteção da reputação, bom nome e imagem do empresário e empreendedor, afastá-lo e protegê-lo de ações ilícitas, por meio de condutas lastreadas em elevados padrões éticos e morais. No tocante aos dados, deverá manter tais informações seguras e comprovadamente demonstrar que está “em compliance” com a LGPD.

Cuidados Que O Empresário Deve Ter Para Não Cometer Infrações

Existem diversas situações práticas que podem ser enquadradas no contexto de necessidade de adequação à nova legislação e que muitas vezes nem mesmo o empresário imagina incorrer. Por exemplo:

  1. Hipótese mais comum, na qual uma pessoa natural (física) ou jurídica, com finalidade econômica, solicita informações de seus clientes, tais como nome, CPF, RG, endereço, e-mail, ou qualquer outro tipo de informação pessoal ligada a uma pessoa identificável;
  2. Situações nas quais os dados solicitados são armazenados em papel ou meio físico, e não eletrônico;
  3. Pessoa natural (física) ou jurídica, com finalidade econômica, solicita de clientes dados pessoais sensíveis, tais como dados relativos a saúde (ex: tipo sanguíneo, tratamentos já realizados, exame laboratorial, anamnese ou mesmo opção sexual ou de identidade de gênero);
  4. De posse de dados de clientes, pessoa natural (física) ou jurídica, realiza estruturação ou complemento de banco de dados, coletando informações de diversas fontes, e compilando os mesmos – o que significa operações de algum tipo de tratamento de dados;
  5. Ausência de preocupação com local de armazenamento de dados. Tais dados estariam em banco de dados seguro? Meio físico seguro? Meio eletrônico seguro?
  6. Após a coleta, as informações ou dados pessoais são “circulados”? Existe algum transporte ou envio para terceiros? Os dados deixam a posse da pessoa jurídica ou física por alguma razão ou finalidade?

Importante pontuar que sempre será essencial uma pontual diligência e auditoria para levantamento das fraquezas e fragilidades do negócio do empresário e/ou empreendedor.

A Adequação do Negócio ou Entidade à LGPD

Caso seja verificada ou identificada alguma hipótese cotidiana no exercício das atividades, ressaltamos que será necessário tomar medidas pontuais para adequação do negócio ou da entidade – inclusos condomínios edilícios, startups e todos aqueles que lidem com dados pessoais – às novas normas impostas pela LGPD, que a partir de agosto de 2020 exigirá a demonstração do cumprimento de todas as obrigações cabíveis.

O Art. 6º da norma estabelece que as atividades de tratamento de dados pessoais deverão observar a boa-fé e diversos princípios, dentre eles, da responsabilização e prestação de contas.

Por este último, o agente deve demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas, sob pena, dentre outras, de multa simples de 2% do faturamento da empresa/pessoa física que exerce atividade econômica limitado a 50 milhões por infração.

A LGPD, inclusive, determina a instituição e manutenção de boas práticas e de governança, tanto para controladores quanto para operadores, no âmbito de suas competências, pelo tratamento de dados pessoais.

Estes poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

É vital ter sempre em mente que a adequação legal e o planejamento são essenciais para manter a atividade regular e minimizar riscos jurídicos.

De forma pontual, algumas medidas impostas pela LGPD podem ser exemplificadas:

  1. Elaboração de uma política de proteção de dados, informando minuciosamente ao titular do dado pessoal qual a finalidade da solicitação de suas informações, qual tratamento será feito e por quanto tempo e quais são os meios de defesa caso suas informações sejam vazadas;
  2. A demonstração cabal de que foi colhido o consentimento expresso e inequívoco do titular da informação pessoal para que seus dados fossem fornecidos. Frisamos que cláusulas genéricas serão consideradas nulas;
  3. A emissão de relatório de demonstração de regularidade emitido pelo “Controlador de Dados” à autoridade responsável pela fiscalização. Este ponto certamente será regulamentado pela Autoridade Nacional – ANPD;
  4. A demonstração cabal de que são adotados meios possíveis para proteger e evitar o vazamento de informações pessoais;
  5. A elaboração de uma política interna de dados para que as empresas/pessoa física que exerce atividade econômica passem a solicitar apenas as informações necessárias e que o tratamento dessas informações passem por todo o procedimento adequado sempre informando o titular da informação e a autoridade nacional.

É essencial que empresários e empreendedores, no curso de atividades de suas empresas, mesmo que o modelo de negócios não esteja alavancado ou direcionado para o mercado online, seja de produtos ou serviços, estabeleçam regras claras de gestão e governança de dados, em sintonia com melhores práticas de governança na internet e com a legislação em vigor.

Um novo cenário que começará em 2020 e o preparo exige cuidado e tempo.

Conclusão

Essas foram breves considerações, dentre outras, que podem ser extraídas da LGPD, que como advertimos, ainda deverá ser estruturada e mais detalhadamente regulamentada pela Autoridade Nacional – ANPD.

Finalizamos apontando a importância de que o empresário e empreendedor busquem apoio para desenvolver uma estrutura básica de compliance digital (monitoramento e controle).

Este artigo também foi escrito por Aline Cruvinel, Advogada Associada de Cruz & Creuz Advogados. Pós-Graduanda em Direito Corporativo e Compliance pela Faculdade Escola Paulista de Direito – EPD; Bacharel em Direito pela Pontifícia Universidade Católica de Goiás.

IMAGENSPexels
Artigo anteriorMínimo Produto Viável (MVP) – Entenda Esse Conceito
Próximo artigo7 Estratégias Para Divulgar Seu Negócio em 2020
Luís Rodolfo Cruz e Creuz
https://lrcc.adv.br/
Luís Rodolfo Cruz e Creuz, Advogado e Consultor em São Paulo, Brasil. Sócio de Cruz & Creuz Advogados. Doutor em Direito Comercial pela Faculdade de Direito da Universidade de São Paulo – USP (2019); Certificate Program in Advanced Topics in Business Strategy University of La Verne – Califórnia (2018); Mestre em Relações Internacionais pelo Programa Santiago Dantas - UNESP/UNICAMP/PUC-SP (2010); Mestre em Direito e Integração da América Latina pelo PROLAM - USP (2010); Pós-graduado em Direito Societário - LLM - Direito Societário, do INSPER (São Paulo) (2005); Bacharel em Direito pela PUC/SP. Autor, dentre outros, dos livros “Acordo de Quotistas”. São Paulo : IOB-Thomson, 2007. “Commercial and Economic Law in Brazil”. Holanda: Wolters Kluwer - Law & Business, 2012. “Defesa da Concorrência no Mercosul – Sob uma Perspectiva das Relações Internacionais e do Direito”. São Paulo : Almedina, 2013. E coautor de “Temas Contemporâneos de Direito Administrativo Econômico da Infraestrutura e Regulatório”, sendo autor do Capítulo “Definição do Mercado Relevante na Análise Antitruste em um Bloco Econômico Regional”. São Paulo : Évora, 2019.
Linkedin Twitter

ARTIGOS RELACIONADOSMAIS DO MESMO AUTOR