Publicado no Portal 6 em janeiro de 2021.
Muita gente não sabe, mas existe uma Lei Geral de Proteção de Dados para garantir a segurança de consumidores, empresários e profissionais liberais.
Com o avanço da tecnologia, é cada vez mais comum utilizar a internet para fazer compras, pagar contas, ou outras atividades que solicitam dados pessoais para cadastros.
Para explicar como funciona a lei, que é desconhecida por seis em cada dez pessoas, conforme pesquisa do grupo Gartner, o Portal 6 entrevistou o advogado especialista em Direito Digital, Dr. Alex Fernando Rodrigues.
Confira a seguir as perguntas e respostas:
Portal 6: O que é a Lei Geral de Proteção de Dados?
Dr. Alex: A LGPD é a lei brasileira criada para proteger os dados das pessoas físicas contra uso indevido e divulgação sem autorização, seja acidentalmente ou em virtude de algum ataque virtual. É muito parecida com a legislação europeia sobre o tema, a qual impõe multas até mais pesadas que a lei brasileira, sendo pré-requisito para que o Brasil seja aceito pela OCDE, o conhecido clube dos países ricos.
Embora as multas por aqui sejam menores que as adotadas pela união europeia, ainda pode chegar a 50 milhões de reais, a serem aplicadas a partir de agosto deste ano. A lei impõe ainda a obrigação de os controladores de dados adotarem as medidas técnicas necessárias para impedir qualquer tipo de acesso indevido aos dados.
Portal 6: O que vem a ser dados pessoais?
Dr. Alex: Dado pessoal é qualquer informação que identifique ou possa levar a identificação de uma pessoa, como nome, endereço, CPF, e-mail, telefone, dados biométricos, ou qualquer outro.
São divididos entre dados pessoais simples, como nome, telefone ou CPF, e dados pessoais sensíveis, que são aqueles relacionados a saúde, etnia, dados relativos à vida sexual ou orientação sexual da pessoa, preferencia política, convicções religiosas ou sindicais, ou dados biométricos, como impressão digital.
Portal 6: A quem se aplica a LGPD?
Dr. Alex: A lei se aplica a qualquer empresa pública ou privada, profissionais liberais, em qualquer situação de uso de dados pessoais com finalidade comercial, bem como órgãos públicos.
Com relação ao termo tratamento de dados pessoais, pode ser em papel ou meio eletrônico, e consiste em toda operação realizada com dados pessoais, como coleta, armazenamento, transmissão, eliminação, ou qualquer outra forma, conforme artigo 5º da Lei.
Cabe aqui uma observação: os dados pessoais não precisam ser necessariamente de clientes, uma vez que todos os colaboradores da empresa também possuem dados pessoais, e não existe empresa sem ao menos um funcionário.
Portal 6: Quais os direitos que a Lei criou para as pessoas físicas?
Dr. Alex: Ótima pergunta, e talvez o ponto onde as pessoas precisem de maior atenção. Quem nunca recebeu uma ligação de alguma empresa para quem não passou o telefone? Provavelmente quase nenhum dos leitores.
Tem também aquelas pessoas que recebem ligação de cobrança atrás de outra pessoa, e não adianta reclamar para que não voltem a ligar. E aquelas pessoas que precisaram da cópia do próprio prontuário medico ou odontológico, e teve o acesso dificultado pelo hospital ou clínica?
Para todos estes casos, a Lei criou os direitos dos titulares dos dados, no artigo 18 da Lei, que incluem o direito de saber se a empresa trata algum dado seu, bem como ter acesso a estes dados na integra, com a possiblidade de corrigir os que estiverem errados ou desatualizados, bem como solicitar a exclusão definitiva de tais dados.
Tem também o direito de solicitar a portabilidade destes dados para outra empresa, como já acontece com número de telefone e financiamento bancário.
Para garantir estes direitos, a empresa é obrigada a informar de maneira ostensiva os canais de comunicação para o atendimento dos titulares, devendo para tanto disponibilizar um Encarregado de Proteção de Dados para responder às requisições dos usuários, sob pena de ter que indenizar o titular do dado, além das multas previstas em Lei.
Portal 6: Como as pessoas devem fazer para ter seus direitos respeitados?
Dr. Alex: É importante esclarecer que todos os cidadãos podem e devem fiscalizar o cumprimento da Lei. Se a empresa possui um site na internet, ou alguma mídia social, é obrigatório que seja informado o contato de um responsável pela proteção de dados da empresa, conhecido como Encarregado de Proteção de Dados, para quem deve ser requerido qualquer um dos direitos incluídos no artigo 18 da Lei.
Nos casos da empresa não possui site ou mídia social, o mesmo contato deve ser informado no estabelecimento, cardápio e qualquer outro local que garanta que tal informação chegue ao titular dos dados, quer seja os clientes, quer seja os colaboradores da empresa.
A simples falta de tal informação já implica em penalização da empresa, o que pode ser denunciado para a Autoridade Nacional de Proteção de Dados (ANPD), pelo site https://www.gov.br/anpd/pt-br, bem como para o Procon da sua cidade, delegacias do consumidor e Ministério Público.
A falta de acesso a tal contato bem como a falta de resposta da empresa a qualquer solicitação do titular dos dados, no prazo de 15 dias, impõe o dever de indenizar o consumidor, devendo para tanto procurar um advogado de sua confiança.
Portal 6: Quais os riscos do não cumprimento da lei?
Dr. Alex: Como visto anteriormente, a Lei prevê multas para os casos de descumprimento, tal como a legislação europeia. Todavia, as penalidades não se resumem a multas administrativas, indo desde advertências, publicização da infração através dos veículos de imprensa, até condenações na reparação de danos morais e materiais causados aos titulares dos dados e aos parceiros comerciais que eventualmente sofram algum prejuízo em virtude de empresa terceira.
Portal 6: Por onde começar para atender a legislação?
Dr. Alex: A adequação aos requisitos da lei exige uma mudança de cultura da organização, incluindo a implantação de um programa de proteção de dados e segurança da informação na empresa, bem como o treinamento continuo dos colaboradores, de forma a se garantir que a proteção de dados faça parte de todos os processos da empresa de forma permanente.
E dependendo do tamanho da empresa, a quantidade de dados pessoais tratados e o nível de maturidade em segurança da informação, o custo de um projeto de adequação pode ser bem elevado.
Uma alternativa é começar pela contratação de um encarregado de proteção de dados, conhecido na legislação europeia como DPO. Este profissional é obrigatório para todas as empresas brasileiras que trate algum dado pessoal, nos termos do artigo 41 da LGPD, e a falta de tal profissional por si só já é uma infração a Lei Geral de Proteção de Dados.
Com a contratação de um bom DPO, a adequação da empresa certamente será menos traumática e com menor custo, uma vez que o mesmo se encarrega de mapear tudo o que precisa ser mudado na empresa, bem como realiza todo o treinamento da equipe interna.
Portal 6: O que faz um DPO?
Dr. Alex: As atribuições de um DPO estão no artigo 41 da LGPD, quais sejam:
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, ou seja, o DPO é um meio de comunicação entre o titular, controlador e terceiros;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, portanto, requer conhecimento de legislação e boas práticas de segurança da informação;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Portal 6: O encarregado de proteção de dados pode ser um funcionário que a empresa já possua?
Dr. Alex: A lei não traz qualquer tipo de proibição para tal fato. Todavia, o aprendizado adquirido pela União Europeia nestes 2 anos de vigência da Lei Europeia, é que um DPO interno, especialmente aquele que já trabalha na organização, pode trazer conflito de interesse, uma vez que uma das atribuições do cargo é exatamente monitorar o que está errado na organização, de forma a indicar melhoria continua reduzindo o máximo o risco de alguma violação de dados. E sendo funcionário da empresa, além de estar envolvido com o processo e com os demais funcionários, muitas vezes não vê o que um olhar externo consegue ver.
Ademais, o grupo de trabalho de proteção de dados da união europeia, em seu artigo 29, definiu o seguinte: O DPO não pode, em especial, exercer um cargo dentro da organização que o leve a determinar as finalidades e os meios do tratamento de dados pessoais. Cargos que podem levar a conflitos: diretor executivo, diretor de operações, diretor financeiro, diretor do departamento médico, diretor de marketing, diretor dos recursos humanos ou diretor de TI.
Outrossim, a Certificadora EXIN divulga uma série de vantagens do DPO externo em face do DPO interno, tais como menor custo, aproveitamento do conhecimento de outras empresas, neutralidade em alguma situação de conflito interno, além de uma maior facilidade em perceber os problemas internos das corporações.
Portal 6: Como selecionar um Encarregado de Proteção de Dados?
Dr. Alex: Conforme já falamos anteriormente, as atribuições de um DPO vão desde a parte técnica até a parte jurídica, ou seja, não há separação entre “jurídico” e “técnico” – há a proteção de dados. O profissional deve ter conhecimentos sólidos a respeito das duas áreas.
Desta forma, o DPO ideal é aquele com formação e experiência na área jurídica e tecnologia da informação, especialmente neste último caso, em segurança da informação. De acordo com o esquema de certificação de DPO proposto pelo CNIL (Autoridade da França), existem 17 conhecimentos específicos que um DPO precisa ter:
- Compreender e entender os princípios da legalidade do processamento, limitação de finalidades, minimização de dados, exatidão dos dados, retenção limitada de dados, integridade, confidencialidade e responsabilidade;
- Saber como identificar a base legal para um tratamento;
- Saber como determinar as medidas apropriadas e o conteúdo das informações a serem fornecidas aos titulares;
- Saber como estabelecer procedimentos para receber e gerenciar solicitações para o exercício dos direitos dos titulares;
- Conhecer a estrutura legal relacionada à terceirização do processamento de dados pessoais;
- Saber como identificar a existência de transferências de dados fora do país e como determinar os instrumentos legais de transferência que podem ser usados;
- Saber como desenvolver e implementar uma política ou regras internas de proteção de dados;
- Saber como organizar e participar de auditorias de proteção de dados;
- Estar familiarizado com o conteúdo do registro de atividades de processamento, a categoria do registro de atividades de processamento e a documentação de violações de dados, bem como a documentação necessária para comprovar a conformidade com os regulamentos de proteção de dados;
- Saber como identificar medidas de proteção de dados a partir do design e, por padrão, adaptado aos riscos e à natureza das operações de processamento;
- Saber participar da identificação de medidas de segurança apropriadas aos riscos e à natureza das operações de processamento;
- Saber como identificar violações de dados pessoais que exigem notificação à autoridade supervisora e aquelas que exigem comunicação com os titulares dos dados;
- Saber se é necessário ou não realizar uma avaliação de impacto na proteção de dados (DPIA) e sabe como verificar sua implementação;
- Fornecer consultoria sobre avaliação de impacto na proteção de dados (especialmente sobre metodologia, possível terceirização, medidas técnicas e organizacionais a serem adotadas);
- Saber como gerenciar as relações com as autoridades de supervisão, respondendo às solicitações e facilitando a ação (investigação de reclamações e controles em particular);
- Ser capaz de desenvolver, implementar e oferecer programas de treinamento e conscientização para a equipe e a gerência sênior sobre proteção de dados;
- Saber como garantir a rastreabilidade de suas atividades, principalmente com a ajuda de ferramentas de monitoramento ou relatório anual.
Portal 6: Quais os riscos de uma má escolha do encarregado de proteção de dados?
Dr. Alex: Bom, a LGPD impõe a empresa que controla os dados, o ônus de provar que atende a todos as obrigações legais, e quem responde a qualquer questionamento é justamente o DPO. Desta forma, a contratação de um profissional sem o devido conhecimento técnico e jurídico vai durar até a primeira fiscalização ou demanda judicial.
Neste momento, aquele profissional sem a devida formação e experiência, certamente vai levar a empresa a condenação do pagamento de indenização e, muito pior ainda, as multas milionárias impostas pela lei pela falta de conformidade.
Por fim, devemos nos atentar na lição aprendida pelas empresas europeias, que quanto mais a empresa demorar para contratar um DPO capacitado, mais difícil se torna tal tarefa, além de ir ficando mais caro à medida que a demanda aumenta, além de demandar tempo para que a empresa se adeque a Lei Geral de Proteção de Dados.