A LGPD entrou em vigor no dia 18 de setembro de 2020 e as empresas já podem enfrentar riscos.
A Lei Geral de Proteção de Dados Pessoais (LGPD), que regula as atividades de tratamento de dados pessoais, já está em vigor e, para que as empresas compreendam melhor o conteúdo da LGPD, o Sinproquim promoveu o webinar “Os principais riscos práticos e as implicações legais que as empresas poderão enfrentar caso não se adequem à LGPD”, ministrado pela advogada especializada em Proteção de dados, Giovanna Feres Crotti, e mediado pelo diretor jurídico do Sinproquim, Enio Sperling Jaques.
Na abertura do evento, o diretor jurídico do Sinproquim destacou que agora é para valer, uma vez que a LGPD está em vigor, como desdobramento do Direito à Privacidade, e sua chegada implicará em inúmeros cuidados e inovações no que se refere ao tratamento de dados pessoais pelas empresas com relação aos seus clientes, seus consumidores e seus empregados, que são os titulares e o fornecimento de dados pessoais. Registrou, também, que se a LGPD for praticada de maneira inadequada poderá propiciar danos à imagem e à reputação das empresas no mercado em que atuam, serem acionadas judicialmente e criarem um custo operacional não previsto, em virtude de autuações que poderão impactar em seus resultados.
A LGPD regula a forma de tratar dados pessoais (digitais ou físicos), o que significa coletar, usar, acessar atualizar, arquivar, eliminar, modificar ou transferir qualquer informação que identifique ou torne identificável uma pessoa natural, incluindo os dados pessoais sensíveis. A Lei deve ser cumprida por qualquer pessoa física ou jurídica localizada no Brasil e que ofereça serviços e bens no país ou trate de dados de pessoas situadas no território nacional.
A norma se sustenta em quatro pilares: princípios, direitos dos titulares, hipóteses legais e dados sensíveis que envolvam crianças e adolescentes. Os princípios são: finalidade, prevenção, não discriminação, qualidade dos dados, segurança, adequação, livre acesso, necessidade, transparência e responsabilização.
São direitos dos titulares a confirmação de tratamento, o acesso aos dados, a correção e atualização, a anonimização, bloqueio ou eliminação de dados excessivos, a revisão de decisões automatizadas, opor-se ao tratamento, a revogação do consentimento e a eliminação de dados tratados com consentimento, entre outros. Por consentimento, para os fins estabelecidos na LGPD, entende-se como manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
Um outro ponto relevante que foi observado é a “anonimização”, que se refere à utilização de meios técnicos razoáveis e disponíveis, por meio dos quais um dado perde a possibilidade de associação com seu titular. “Aqui, a LGPD não se aplica. A partir do momento em que eu tornei um dado anônimo, a LGPD não se aplica mais. Se o processo puder ser revertido eu tenho que considerar que talvez a LGPD se aplique mesmo assim”, explicou Giovanna. Importante não confundir dados anonimizados relativos ao titular que não possa ser identificado com a pseudonimização, em que é possível ser identificado.
A regra de ouro é a seguinte: colete o menor número de dados possíveis para uma finalidade específica e guarde pelo menor tempo possível.
Mesmo com a aplicação de sanções administrativas previstas pela LGPD suspensas até o dia primeiro de agosto de 2021, as empresas que negligenciarem a implementação da LGPD, desde já poderão ser acionadas judicialmente, no caso de acontecer algum vazamento de dados. Assim, se forem condenadas por danos morais e materiais deverão ter que desembolsar valores vultosos.
A Autoridade Nacional de Proteção de Dados (ANPD) terá a responsabilidade de impor sanções administrativas estipuladas na LGPD, que são as seguintes: advertências e medidas corretivas, multa diária ou simples de até 2% do faturamento da pessoa jurídica, podendo alcançar até R$ 50 milhões por infração; publicização da infração, bloqueio dos dados pessoais, suspensão parcial do funcionamento do banco de dados por até seis meses, suspensão da atividade de tratamento por até seis meses, proibição parcial ou total das atividades de tratamento e eliminação dos dados pessoais.
No que concerne à responsabilidade, isto é, quem causar o dano patrimonial, moral, individual ou coletivo ao violar a LGPD, portanto, controladores respondem solidariamente. O operador é solidário se descumprir a LGPD ou se não seguir as instruções do controlador, por sua vez, pode ser afligidos por ações coletivas e de direito de regresso
Fica a recomendação às empresas para a criação de um programa de governança robusto e eficaz, ou seja, Projeto LGPD, pois reduz o risco de sanções e o grau de penalidades e este projeto envolverá mudança de cultura, conscientização, mapeamento dos riscos e monitoramento, auditorias, melhoria dos canais de comunicação e orientações aos empregados, segundo as exigências da LGPD. As empresas que ainda não ingressaram na era da proteção de dados pessoais em conformidade com a LGPD passam a correr riscos.
As implicações da LGPD foram o último ponto abordado pela palestrante que ressaltou a forma de recrutamento de empregados, perguntas em entrevistas, anotações em documentos, arquivos de currículos dos candidatos sem o consentimento do titular, acesso a documentos sensíveis de empregados, como a saúde, e cláusula do ciclo de vida dos dados.
Nesse contexto, tratou da questão da adaptação do Regime de Teletrabalho sob a égide dos dispositivos da LGPD, esclarecendo que a empresa deverá rever suas políticas internas, cláusulas contratuais específicas, treinamento sobre segurança da informação e proteção de dados pessoais, fornecimentos das ferramentas, (meios telemáticos e informatizados) para execução do teletrabalho, cuidar da segurança (anonimização/criptografia e acessos remotos) e procedimento de armazenamento/eliminação de dados e informações na nuvem.
Para finalizar o webinar, o diretor jurídico do Sinproquim apresentou uma relação do que as empresas deverão fazer, tais como, due diligence sobre a identificação de dados (pessoal, sensível, criança, público e anonimizado), auditoria sobre as atividades de tratamento (coleta, controle e eliminação), gestão e anonimização (controle do consentimento e anonimização), gestão dos pedidos do titular (criação de bancos de dados), relatório de impacto (atendimento à ANPD e Procon), segurança dos dados (adoção de medidas de segurança da informação aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas), governança de tratamento (criação de regras de boas práticas e governança que estabelecem procedimentos, normas de segurança, ações educativas e mitigação de riscos no tratamento de dados pessoais), plano de comunicação (comunicação com os órgãos fiscalizadores, como ANPD e Procon, bem como com a imprensa sobre incidente de segurança que acarrete risco ou dano), validação do término do tratamento (adoção das providências necessárias à eliminação dos dados pessoais e verificação de eventual conservação de dados com a elaboração de documentos que evidenciem a eliminação), certificação (por auditoria especializada nas práticas relacionadas à LGPD), identificação do encarregado (pessoa física ou jurídica) e sua capacitação para exercer as atividades previstas na LGPD e prevenção de conflitos (mediação e arbitragem) para mitigação de contencioso judicial.
Quanto ao item LGPD nas relações de trabalho, Enio Sperling Jaques explicitou que para facilitar a proteção dos dados pessoais nas relações laborais, tecnicamente, pode-se dividir em quatro momentos: a pré-contratação e fase da seleção, quando ocorre a primeira coleta de dados pessoais do candidato e profissionais (currículo, provas de seleção, dinâmica de grupo); a contratação, fase do contrato de trabalho em que ocorre a coleta das informações necessárias para viabilizar a contratação, tais como, documentos pessoais, endereço, escolaridade, exame admissional (dados pessoais sensíveis), filhos e outros; o contrato de trabalho, fase das informações relacionadas à atividade laboral, como, por exemplo, jornada de trabalho e atestados médicos (dados pessoais sensíveis); e, por último, a rescisão e pós-contrato de trabalho, fase das informações inerentes ao desligamento, como exame demissional. Essa também é a etapa para abordar a eliminação ou anonimização dos dados.
As situações das relações de trabalho que demandam muita atenção pelas empresas são as seguintes: dados devem ser coletados tão somente quando necessários e fundamentais; o titular dos dados, o empregado, deve ter acesso de forma facilitada em qualquer tempo aos dados coletados e tratados pelo empregador, dados biométricos devem ter regras específicas para consulta, tratamento e armazenamento e quanto à responsabilização do titular é fundamental o treinamento para o encarregado e os agentes de tratamento (controlador e operador) seguirem regras específicas para acesso e compartilhamento, verificando se é necessário celebrar aditivos contratuais.
Com relação ao regime de teletrabalho em que a prestação de serviços é realizada preponderantemente fora das dependências do empregador, utilizando-se de tecnologias de informação e de comunicação, referente à aplicação da LGPD, o diretor jurídico do Sinproquim destaca que o cuidado deve ser redobrado com o empregado em regime de teletrabalho quanto à confidencialidade de dados e segurança da informação. O mesmo deverá ser o responsável pela preservação da integridade dos dados e pelo manuseio das informações estratégicas. Portanto, deverá assinar um termo de responsabilidade comprometendo-se a cumprir todas as orientações e determinações do empregador.