Após um longo período de debate sobre possíveis adiamentos, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020 e já está valendo em todo o território nacional.
Segundo o SERPRO (Serviço Federal de Processamento de Dados), para entender a importância do assunto é necessário saber que a nova lei fomenta um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção aos dados pessoais das pessoas naturais.
Objetivando clareza, a lei conceitua o que são dados pessoais, dados sensíveis, dados anonimizados etc. Além disso, estabelece que certos dados sensíveis estão sujeitos à cuidados mais específicos, bem como esclarece que dados tratados tanto nos meios físicos como nos digitais estão igualmente sujeitos à regulação pela LGPD.
Nesse sentido, todas as empresas que manipulam dados de pessoas naturais necessitam de adequação, sendo um desafio para aquelas que lidam com dados e informações estratégicas dos clientes, como é o caso da Confirp Consultoria Contábil, a qual manuseia informações de mais de 1.000 clientes.
“Com certeza essa lei é muito importante e tem grande complexidade para implementação, felizmente na Confirp não esperamos esse debate sobre adiamento e nos adiantamos a necessidade do cliente. Hoje, temos uma estrutura totalmente adequada à lei, mas foi realmente bastante trabalhoso”, explica Sheila Santos, coordenadora de qualidade da Confirp Consultoria Contábil.
Ainda segundo o SERPRO, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados está localizada no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.
Outro elemento essencial da LGPD é o consentimento. Entretanto, esta não é a única base legal que justifica e permite o tratamento de dados pessoais, visto que a lei disponibiliza outras diretrizes, por exemplo, na hipótese de cumprimento de obrigação legal ou regulatória; para a realização de estudos por órgão de pesquisa; para a proteção da vida ou da incolumidade física do titular ou de terceiros; por legítimo interesse ou qualquer uma das bases legais estabelecidas pela lei. Para entender melhor essa situação, André Damiani e Blanca de Albuquerque Brito Lima, sócios da Damiani Sociedade de Advogados, elencaram os principais pontos em relação ao tema:
Mudanças para as empresas
A Lei Geral de Proteção de Dados foi criada para a proteção dos direitos fundamentais de liberdade e de privacidade das pessoas físicas, recaindo obrigações para todos que coletam, armazenam e manipulam dados pessoais.
Desta forma, com a entrada em vigor da LGPD, as empresas devem mitigar os riscos de irregularidades no tratamento de dados pessoais. Assim, a implementação de um programa de governança de dados deverá ser capaz de documentar a boa-fé empresarial, evidenciando as medidas adotadas pela empresa no propósito de prevenir incidentes de segurança.
Principais pontos da LGPD
As empresas devem proceder a um inventário completo de dados pessoais e processos afetados. Isso permite o mapeamento de riscos e melhor aferimento da maturidade dos controles de TI. Tudo isso no sentido de se elaborar um Roadmap de ações para se atingir a conformidade legal.
No detalhe, para a melhor conformidade, deve-se investir na criação de uma política de privacidade; treinamento dos funcionários da empresa em relação à proteção de dados; elaboração de um plano de resposta a incidentes de segurança dos dados; e criação de um canal de contato para os titulares dos dados etc.
Adequação total
Uma empresa bem estruturada em relação à adequação legal deve priorizar um programa de governança de dados de acordo com os padrões exigidos pela LGPD, mediante a adoção de medidas de segurança técnicas e administrativas. Além disso, deve estabelecer regras internas de privacidade e governança de dados, bem como viabilizar o acesso e a comunicação do titular dos dados com a empresa, orientando-se funcionários.
Punições do não cumprimento
As sanções administrativas imputadas às empresas são proporcionais ao seu faturamento, podendo incidir em punição de até R$ 50.000.000,00 (cinquenta milhões de reais) para cada incidente; motivando-se, portanto, a urgente conformidade com a LGPD.
Apesar das multas administrativas impostas pela ANPD (Autoridade Nacional de Proteção de Dados) permanecerem suspensas até agosto de 2021, as sanções judiciais poderão ser atribuídas às empresas em procedimentos originados pelo PROCON, SENACON, assim como, pelas demais autoridades do país. Aliás, verifica-se forte tendência de que ações judiciais sejam ajuizadas diretamente pelos cidadãos, titulares de dados e, portanto, potenciais prejudicados pela inobservância da legislação.
Um exemplo: renomada construtora de abrangência nacional fora denunciada por um cliente (detentor de seus dados pessoais) e condenada ao pagamento de uma indenização de R$ 10 mil por danos morais, em uma das primeiras decisões judiciais por infração à Lei Geral de Proteção de Dados (LGPD).
Segundo a decisão: o cliente “foi assediado por diversas empresas pelo fato de ter firmado instrumento contratual com a ré para a aquisição de unidade autônoma em empreendimento imobiliário”. Recebendo contatos não autorizados de instituições financeiras, consórcios, empresas de arquitetura e de construção e fornecimento de mobiliário planejado.
Processo de adequação
As empresas que ainda não se adequaram devem buscar a conformidade com urgência, demonstrando assim, a boa-fé empresarial. Lembrando que os riscos existentes são diversos. Vale citar as demandas judiciais e administrativas que poderão advir caso a empresa não tenha se adequado, visto que há previsão legal para imposição de multas administrativas e possibilidade de indenização civil fixada no âmbito judicial.
Também é importante refletir sobre eventuais prejuízos intangíveis advindos de dano reputacional às empresas que se mostrem indiferentes à privacidade e intimidade alheia.
Com tantos desafios em relação à conformidade com a lei, a consultoria se mostra extremamente necessária para compor a melhor solução, com expertise jurídica, para a elaboração de um plano de ação e transparência que abarque as diversas áreas da empresa, visando a conformidade, pois a política de privacidade será obrigatória.
Seguros podem amenizar problemas relacionados à LGPD!
Nesse campo ainda cheio de dúvidas, uma alternativa para as empresas é contratarem uma apólice de seguro de riscos cibernéticos (cyber risks) que protege contra roubo e extravio de dados.
A diretora da Camillo Seguros, Cristina Camillo, revela que já existem seguradoras com este produto. “O seguro cyber, como é conhecido, oferece proteção às empresas no que se refere à responsabilidade pelo vazamento de dados, bem como eventuais prejuízos financeiros de ataques cibernéticos, incluindo aqueles trazidos à tona pela nova legislação, como a necessidade de notificação e monitoramento em caso de vazamentos, e as tão temidas multas que poderão ser aplicadas às empresas”, explica.
Sendo um produto da linha de Responsabilidade Civil (RC), o seguro cyber cobre danos a terceiros decorrente do vazamento e perda de dados, seja ele por causa externa ou interna, mas pode oferecer também coberturas para a própria empresa, como custos de restauração dos dados e contratação de especialistas do ramo. As coberturas não são apenas para dados digitais, mas também cobrem os dados físicos, como estoque de arquivos.
“São várias as proteções desse seguro. Malware e ransomware (softwares maliciosos), que têm sido cada vez mais comuns, por exemplo, estão entre as exposições cobertas no seguro cyber. Além dessas ameaças externas, causas internas podem causar o vazamento ou comprometimento de dados, o que a nova legislação traz consigo diversas novas obrigações e consequentemente eventuais prejuízos financeiros”, aponta Cristina.
O risco cibernético está fora da maioria das demais apólices e, portanto, o seguro cyber é, de fato, o mais indicado para cobrir tal exposição. No entanto, algumas seguradoras que atuam em Responsabilidade Civil, tanto no D&O (directors and officers – seguro para diretores) como no E&O (seguro contra erros e omissões) podem oferecer extensões a alguma parte restrita do risco, mas não são todas.
O seguro cyber é importante a qualquer tipo de operação. O número de ataques hacker aumentou mais de 200% desde o início da pandemia e com a LGPD em vigor os clientes estão ainda mais preocupados. A cotação é feita através de um questionário junto às seguradoras que atuam neste ramo e a empresa que tiver um sistema gerenciador e protecional se beneficiará de melhores taxas para a contratação.
Relações trabalhistas mudam com a LGPD?
Sancionada no último mês de agosto a Lei Geral de Proteção de Dados – LGPD, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, trará importantes impactos na relação das empresas com seus empregados. Segundo o advogado trabalhista Mourival Boaventura Ribeiro, da Boaventura Ribeiro Advogados, as empresas deverão adotar cautelas já na fase pré-contratual.
“Os departamentos de recursos humanos das empresas deverão ficar atentos aos processos seletivos, lembrando que o primeiro contato do empregado com o empregador pode ser realizado por terceiros (recrutador, departamento pessoal, empresas especializadas etc.) e, já nesse momento deverão se atentar para a proibição da coleta de dados que geram critérios discriminatórios, como exames toxicológico, antecedentes criminais e score de crédito”, explica o advogado, acrescentando que existem exceções legais para o tema.
As empresas deverão também informar os candidatos acerca das políticas de utilização dos dados por eles fornecidos e sobre sua utilização posterior. Já para os aprovados, no processo de contratação recomenda-se que as empresas apresentem aos mesmos sua política de privacidade e de tratamento de dados. Elas devem vir destacadas em documento, com a consequente solicitação de expressa ciência do profissional e sua anuência aos termos do documento.
Cabe lembrar que na ficha de dados cadastrais haverá necessidade de tratamento de dados com a correspondente limitação de acesso à ficha de registro do funcionário. A mesma preocupação e cautela deve ocorrer ma elaboração de aditivos contratuais e, em relação aos profissionais que já integravam o quadro de funcionários no início de vigência da Lei. Lembrando que dados biométricos e reconhecimento facial também são considerados dados pessoais.
Outro ponto que deve merecer atenção das empresas se refere à realização dos exames admissionais, periódicos e demissionais, efetuados por força de legislação específica, os quais devem ser feitos conforme termos legais como ocorre na NR-7. Entretanto, os dados dos resultados dos exames devem ser devidamente protegidos, não os tornando públicos, como forma de evitar exposição e discriminação do trabalhador, por exemplo, HIV, gravidez, câncer e outros. As políticas de guarda destas informações devem ser divulgadas de forma clara e objetiva.
Também em relação a entidades e benefícios deverá ter cuidados, segundo Mourival Ribeiro. Sendo que serão necessárias autorizações expressas dos titulares do compartilhamento dos dados com entidades sindicais, seguradoras, gestoras de VR, VA, VT e planos de saúde, por exemplo.
Sobre a formalização da contratação de jovem aprendiz, isso passará por mudança significativa, pois a legislação diz que o “tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico, em que destaque, dado por pelo menos um dos pais ou responsável legal”. Essa alteração se dá anteriormente à vigência da LGPD, a legislação apenas previa a assistência ao menor pelo responsável no momento da rescisão. A partir de agora, ela deverá ocorrer também no ato da contratação.
“Ponto importante é que como já ocorre em muitas empresas, o empregador poderá ter acesso às informações dos colaboradores como o caso de e-mails, geolocalização, redes sociais e outros dispositivos, mas para isso essa informação terá que ser passada de forma clara ao profissional, assinando sua ciência e deixando claro como dará os tratamentos dos dados”, detalha o sócio da Boaventura Ribeiro Advogados.
Mourival complementa que com a vigência do novo texto, todas as informações pessoais relacionadas ao empregado deverão ser tratadas com as cautelas necessárias, e que para a proteção será fundamental que se estabeleça de forma clara as informações que serão utilizadas, a finalidade e a justificativa legal.
