Com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados), a área de compliance é, sem dúvida, uma das mais afetadas nas organizações, já que é a responsável por garantir que a empresa esteja em conformidade com as leis.
A Nova Lei Geral de Proteção de Dados, também conhecida pela sigla LGPD, é a Lei nº 13709/2018[1] que finalmente entrou em vigor no dia 18 de setembro de 2020. O objetivo dela, basicamente, é proteger os dados pessoais e resguardar os dados físicos, sendo que a Lei se aplica a qualquer tipo de operação que envolva tratamento de dados pessoais por empresas privadas, órgãos públicos ou pessoas físicas, seja online ou off-line, independentemente do país onde os responsáveis pelo tratamento dos dados estejam ou do local de armazenamento físico dos dados.
Agora, com a aprovação da Lei, todo e qualquer cidadão poderá questionar as empresas sobre o tratamento dado às suas informações pessoais, questionamento esse que poderá ocorrer por meio de canais específicos de contato disponibilizados pela empresa, que deverá, portanto, nomear um “Encarregado”, um indivíduo ou setor responsável pelo atendimento das questões relacionadas à privacidade e proteção de dados pessoais.
Esse indivíduo ou setor encarregado fará a comunicação entre os agentes de tratamento de dados (controlador e operador), a ANPD (Autoridade Nacional Proteção de Dados), o titular dos dados pessoais (pessoa física) e, de vez em quando, entre estes e as autoridades públicas. O encarregado também deverá zelar pelo cumprimento da LGPD na empresa.
E o que tudo isso representa para as empresas? Uma das principais consequências dessa Lei é que os titulares dos dados pessoais poderão abrir ações judiciais referentes ao seu descumprimento; ainda que as sanções (incluindo multas) só tenham vigência a partir de 1º de agosto de 2021. E, enquanto a ANPD não é estruturada, o Ministério Público poderá cumprir o papel de fiscal da Lei.
Como adequar a sua empresa à LGPD?
O primeiro passo para que as empresas possam cumprir a LGPD é ter um programa de compliance independente, ativo e bem-estruturado, além de revisar todos os códigos de conduta e incentivar uma cultura organizacional em que a ética seja um dos pontos essenciais.
A partir daí é importante implementar os seguintes passos:
- Definir o cargo do Encarregado;
- Revisar os termos de uso e políticas de privacidade dos sites, aplicativos e portais, com menção ao Encarregado e contato do mesmo, além de avisar sobre as mudanças;
- Elaborar um plano de ação, um projeto de preparação;
- Revisar a documentação jurídica de modo que os colaboradores da empresa tenham seus dados protegidos;
- Garantir os direitos dos titulares dos dados;
- Conscientizar e treinar por meio da cultura interna para que a empresa como um todo entre em conformidade com a legislação.
Um detalhe importante na LGPD: Os “dados sensíveis”
Dados sensíveis se referem a opiniões políticas, origem racial ou ética, convicções religiosas, saúde, vida ou orientação sexual, convicções filosóficas etc. Esses dados se aplicam apenas às pessoas físicas e possuem alto nível de proteção para impossibilitar qualquer forma de discriminação e preconceito. Isso significa que a LGPD também se aplica às relações de emprego.
Outro ponto importante a se levar em consideração é a terceirização de mão de obra – esses contratos agora merecem atenção extra. Toda vez que o empregador transmitir qualquer informação de um empregado que promova sua identificação a um terceiro, nos termos da LGPD, isso poderá ser considerado como transmissão de dados pessoais.
Um exemplo desse tipo de situação seria um processo de cadastramento de convênio e de vale-refeição. Esses processos comuns também devem estar em conformidade com a Lei. A prestadora e a tomadora de serviços deverão atuar simultaneamente tomando as medidas necessárias em relação à proteção de dados.
Anteriormente à LGPD, o empregador já era considerado juridicamente responsável pelos dados do empregado, sendo que a empresa pode ser penalizada com uma reparação por danos morais, segundo os artigos 113, 186 e 927 do Código Civil[2].
No entanto, com a LGPD, o empregador deve prevenir eventuais vazamentos de dados dos candidatos a uma vaga na empresa, além de proteger os dados dos já empregados, sendo que o descumprimento da nova Lei Geral de Proteção de Dados ocasiona, dentre outras, as seguintes penalidades: advertências e multas simples de até 2% do faturamento da empresa, grupo ou conglomerado no seu último exercício, segundo artigo 52 da LGPD.
Conheça os serviços de Consultoria Regulatória: AML, BSA e LGPD da Bi2 Partners. Se preferir, entre em contato direto: [email protected] | +55 11 96476-9418.
E como garantir a proteção de dados nas situações de trabalho remoto?
Pelo fato de ainda estarmos passando pela pandemia, muitas empresas decidiram optar pelo home office por tempo indeterminado. Agora, com a aprovação da LGPD, elas precisam se adequar à Lei por meio de treinamentos online, criando e/ou atualizando políticas, fazendo uso de tecnologia segura (acessando a rede da empresa através de uma VPN e disponibilizando antivírus licenciado e atualizado) e por meio do bloqueio de tela, para não correr o risco de outra pessoa, não ligada à empresa, ver os dados de alguém e acabar divulgando.
Primeira ação da Nova Lei Geral de Proteção de Dados[3]
Tão logo foi aprovada a Lei, no dia 22 de setembro o Ministério Público do Distrito Federal moveu uma ação civil pública da LGPD contra dois empresários de Minas Gerais que estariam “comercializando” pacotes com listas de endereços, telefones, e-mails e outros dados pessoais pela internet.
No entanto, o juiz de Direito Wagner Pessoa Vieira, da 5ª vara Cível de Brasília, a ação civil pública ajuizada pelo MP/DF, observou que o site da empresa ré estava, na data da sentença, em manutenção. O fato de o site ter saído do ar para manutenção, segundo a análise do magistrado, provavelmente se deu por causa da entrada em vigor da LGPD, conforme seu próprio entendimento, “os responsáveis pelo sobredito sítio devem estar buscando adequar os seus serviços às normas jurídicas de proteção de dados pessoais.”[4]
Sendo assim, a primeira ação com base na LGPD foi extinta sem resolução do mérito. No entanto, para o MP/DF, o simples ato de ter colocado o site em manutenção não afasta a utilidade do processo, já que a base de dados continua intacta pronta para ser disponibilizada a qualquer momento e, portanto, a empresa deveria ser condenada a eliminar todos os dados pessoais sob seus domínios.
Como podemos constatar diante desse caso inicial, como toda nova lei, a LGPD também precisará amadurecer jurisprudência própria, com base nos processos que começarão a surgir no Brasil, e por semelhança, com base os que já ocorrem no exterior, visto que a LGPD se inspira em muitos aspectos na GDPR (General Data Protection Regulation), em vigência na Europa desde 25 de maio de 2018.
A LGPD e as Eleições 2020
Para as Eleições 2020, o candidato e seu partido são considerados controladores em relação a quaisquer dados pessoais que utilizarem. As empresas contratadas pelos partidos e candidatos que usam esses dados são consideradas operadoras.
Para que partidos, candidatos ou empresas contratadas possam usar dados pessoais de eleitores, será necessário o consentimento livre, prévio e informado por parte de cada pessoa com provas. No caso das listas de distribuição por WhatsApp, por exemplo, qualquer uso indevido dos dados já é uma abertura para punições, que podem chegar a multas de até R$50 milhões por infração à Lei.
Dessa forma, ficará mais difícil usar bases de dados sem que a pessoa física esteja ciente. Em médio e longo prazos, isso pode impedir o jogo de influência por meio de redes sociais nas eleições.
Conclusão
Com a aprovação da LGPD, agora as empresas têm mais um fator a gerenciar, além da adequação ao home office e dos cuidados com as colaborações e terceirizações para se evitar fraudes.
Como já foi dito no começo deste artigo, um programa bem estruturado de compliance é extremamente importante para as empresas conseguirem passar por todas as mudanças que o cenário externo de pandemia está demandando.
É por meio do compliance que uma empresa poderá atestar a necessidade de contratar alguém terceirizado para aplicar e manter a LGPD, pois esse especialista possui expertise e qualificações, é independente da empresa e tende a estar treinado e atualizado para implementar as políticas necessárias, lembrando que a terceirização do serviço é permitida pela Lei.
Na Europa, por exemplo, a terceirização é encarada de forma tão séria que uma empresa foi acusada de negligência ao apontar o chefe do departamento de compliance como Encarregado da adequação à LGPD[5], conforme retratado no artigo da Thinksetmag.
Aqui no Brasil ainda não sabemos como será de fato encaminhada a aplicação da Lei, mas tomando como exemplo o exterior, que já aplica a LGPD há anos, o melhor a se fazer é contratar um indivíduo ou empresa especializada para garantir um bom serviço.
Conheça os serviços de Consultoria Regulatória: AML, BSA e LGPD da Bi2 Partners. Se preferir, entre em contato direto: [email protected] | +55 11 96476-9418.
[1] Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em 23 de setembro de 2020.
[2] Disponível em http://www.planalto.gov.br/ccivil_03/leis/2002/L10406compilada.htm. Acesso em 23 de setembro de 2020.
[3] Disponível em https://veja.abril.com.br/blog/radar-economico/lgpd-ja-tem-sua-primeira-acao-civil-publica. Acesso em 23 de setembro de 2020.
[4] Disponível em https://www.migalhas.com.br/quentes/333866/primeira-acao-com-base-na-lgpd-e-extinta-sem-resolucao-do-merito. Acesso em 29 de setembro de 2020.
[5] Disponível em https://thinksetmag.com/insights/dpo-as-a-service. Acesso em 23 de setembro de 2020.
Referências
BISPO, Rafael Augusto. Entenda como funciona a LGPD na relação de emprego. Estadão, 23 de setembro de 2020. Disponível em: https://politica.estadao.com.br/blogs/fausto-macedo/entenda-como-funciona-a-lgpd-na-relacao-de-emprego. Acesso em 23 de setembro de 2020.
BOSA, Gabriel. Entenda o que muda com a LGPD, a nova lei de proteção de dados pessoais. Jovem Pan, 22 de setembro de 2020. Disponível em: https://jovempan.com.br/noticias/brasil/entenda-o-que-muda-com-a-lgpd-a-nova-lei-de-protecao-de-dados-pessoais.html. Acesso em 23 de setembro de 2020.
BRASIL. Lei nº 10.406, 10 de janeiro de 2002. Institui o Código Civil. Portal da Legislação, Brasília, 10 de janeiro de 2002. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/L10406compilada.htm. Acesso em 23 de setembro de 2020.
BRASIL. Presidência da República. Secretaria-Geral. Subchefia para Assuntos Jurídicos. Lei nº 13709, de 14 de agosto de 2018. Portal da Legislação, Brasília, 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em 23 de setembro de 2020.
CARDOSO, Fernando Sotto Maior. LGPD entra em vigor: quais são os primeiros passos que as empresas devem tomar? Estadão, 22 de setembro de 2020. Disponível em: https://politica.estadao.com.br/blogs/fausto-macedo/lgpd-entra-em-vigor-quais-sao-os-primeiros-passos-que-as-empresas-devem-tomar. Acesso em 23 de setembro de 2020.
COUTO, Marlen. Entenda como a Lei Geral de Proteção de Dados afeta as campanhas eleitorais. O Globo, Rio de Janeiro, 23 de setembro de 2020. Disponível em: https://oglobo.globo.com/brasil/eleicoes-2020/entenda-como-lei-geral-de-protecao-de-dados-afeta-as-campanhas-eleitorais-24655055. Acesso em 23 de setembro de 2020.
DA COSTA, Machado. LGPD já tem sua primeira ação civil pública. Veja, 22 de setembro de 2020. Disponível em: https://veja.abril.com.br/blog/radar-economico/lgpd-ja-tem-sua-primeira-acao-civil-publica. Acesso em 23 de setembro de 2020.
DA REDAÇÃO. Engajamento das empresas em relação à LGPD caiu 89%. IstoÉ Dinheiro, 31 de agosto de 2020. Disponível em: https://www.istoedinheiro.com.br/engajamento-das-empresas-em-relacao-a-lgpd-caiu-89. Acesso em 23 de setembro de 2020.
ESTHER. LGPD em vigor: Como garantir a proteção de dados no home office? Jornal Contábil, 8 de setembro de 2020. Disponível em: https://www.jornalcontabil.com.br/lgpd-garantir-a-protecao-de-dados-no-home-office. Acesso em 23 de setembro de 2020.
KIYOHARA, Jefferson. As pessoas e a LGPD: aqui mora o perigo. IstoÉ Dinheiro, 15 de setembro de 2020. Disponível em: https://www.istoedinheiro.com.br/as-pessoas-e-a-lgpd-aqui-mora-o-perigo. Acesso em 23 de setembro de 2020.
LEMOS, Ronaldo. A Lei de Proteção de Dados e as eleições. Folha de S. Paulo, 20 de setembro de 2020. Disponível em: https://www1.folha.uol.com.br/colunas/ronaldolemos/2020/09/a-lei-de-protecao-dados-e-as-eleicoes.shtml. Acesso em 23 de setembro de 2020.
MEINEL, Matt. A Compliant and Cost-Effective Way to Protect Your Company’s Personal Data. Thinkset, 25 de junho de 2020. Disponível em: https://thinksetmag.com/insights/dpo-as-a-service. Acesso em 23 de setembro de 2020.
PORTAL LGPD, c2020. Disponível em: https://www.protiviti.com/BR-por/protecao-de-dados-pessoais. Acesso em 23 de setembro de 2020.
SILVA, Reinaldo Marques e SZTAJN, Rachel. A relação entre compliance e a LGPD. Consultor Jurídico, 8 de setembro de 2020. Disponível em: https://www.conjur.com.br/2020-set-08/sztajn-marques-silva-relacao-entre-compliance-lgpd. Acesso em 23 de setembro de 2020.
TRUZZI, Gisele. A LGPD entrou em vigor: o que as empresas devem fazer agora? IstoÉ Dinheiro, 22 de setembro de 2020. Disponível em: https://www.istoedinheiro.com.br/a-lgpd-entrou-em-vigor-o-que-as-empresas-devem-fazer-agora. Acesso em 23 de setembro de 2020.
WESLEY. LGPD: Como se dá a concretização da proteção de dados no Brasil? Jornal Contábil, 22 de setembro de 2020. Disponível em: https://www.jornalcontabil.com.br/lgpd-como-se-da-a-concretizacao-da-protecao-de-dados-no-brasil. Acesso em 23 de setembro de 2020.
