JB News

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigência no dia 18 de setembro de 2020 e o órgão fiscalizador denominado Autoridade Nacional de Proteção de Dados(ANPD), já está sendo formado.

 Assim, apesar de discussões quanto a sua vigência e eficácia, a lei se encontra vigente, fazendo com que todas as empresas no país precisem se adaptar à LGPD e necessitem comprovar seu cumprimento e pelo que poderá ser observado a seguir, não se trata de um ato apenas, mas do cumprimento de uma norma que exigirá interpretação legal e adequação de procedimentos para o seu correto cumprimento.

 A proteção dos dados pessoais não é uma lei criada no Brasil, pois já existe regulamentação semelhante em mais de 126 países no mundo, tornando o Brasil um dos últimos países considerados como grandes players comerciais a ter uma norma que proteja os dados privativos das pessoas físicas, sejam consumidores, empregados ou terceirizados, estando esses dados armazenados em papel ou virtualmente.

 Para entendermos o impacto da LGPD nos negócios e no dia a dia das empresas, temos que visualizar melhor sua abrangência, que é ampla, passando pela recepção da informação pessoal, arquivamento, processamento e descarte, resumidamente, desta forma, estar em conformidade com a LGPD não é um ato, mas um processo, que deve ser delineado por meio de um projeto de mudança de paradigmas com o foco no respeito à privacidade e a segurança da informação de seus clientes, colaboradores e parceiros terceirizados, mediante o tratamento de seus dados pessoais, de forma legal, sem inviabilizar o negócio da empresa.

 Assim, as empresas devem direcionar suas estratégias de mercado, baseado no chamado “privacy by desgin”, ou seja, qualquer projeto já deve ser desenvolvido pensando na garantia dos direitos à privacidade e proteção de dados pessoais, não apenas em termos de sistema ou arquivo, mas principalmente em termos jurídicos, pois seus impactos são legais e geram sanções financeiras e danos desde a imagem até a viabilidade de manutenção do negócio.

 O processo de adequação à Lei requer um exame detalhado do ingresso, do fluxo e da saída dos dados da empresa. Portanto, todos os processos que envolvam dados pessoais precisam ser mapeados, tratados, com a devida definição da base legal, da necessidade e da finalidade de sua coleta, uso e descarte.

 Assim, a LGPD deverá ser implantada em todas as empresas e em todas as áreas nas quais haja dados pessoais, tais como: governança, recurso humanos, financeira, logística, jurídica, segurança de informação, marketing, análise de dados, contratos e serviços para citar algumas áreas. Uma análise simples da área de recursos humanos das empresas, que muitas das vezes é executada pela própria empresa ou é terceirizada, demonstra a complexidade e criticidade para implantação da LGPD, pois quem tem empregado deverá tratar seus dados cumprindo todos os requisitos exigidos pela Norma.

 A LGPD permite que o tratamento dos dados pessoais, que é a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, somente pode ser realizada nas seguintes hipóteses: consentimento do titular; cumprimento de obrigação legal ou regulatória pelo controlador; administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas; estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; quando necessário para execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; para exercício regular de direitos em processo judicial, administrativo ou arbitral; para proteção da vida ou da incolumidade física do titular ou terceiro; para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; quando necessário atender interesses legítimos do Controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam proteção dos dados pessoais, e por fim, para proteção do crédito.

 Em qualquer outra possibilidade, além das acima listadas, não poderá haver tratamento de dados pessoais no Brasil. Restando claro, que não há uma supremacia – entre as bases legais – é preciso verificar em cada caso – qual é a regra mais apropriada e adequada para utilização, o que somente pode ocorrer com base em um estudo jurídico, interdisciplinar e adequado.

 Assim, no caso do departamento pessoal, todos os contratos de trabalho precisarão ser revistos, sem exceção, demonstrando a complexidade que as empresas terão para adequar-se às novas exigências legais.

 Depois, todas as operações que envolvam transmissão de dados pessoais dos empregados à terceiros devem ser mapeadas e tratadas, com base em uma das 10 bases legais acima descritas, neste contexto, os dados repassados para plano de saúde, vale transporte, seguro de vida, devem ser analisados no departamento pessoal, sendo que é considerado pela norma tratamento de dados desde o recebimento dos currículos até a manutenção de dados ocorrida após o período de demissão do empregado.

 Por isso, deverá ser desenvolvida uma política clara de contratação, manutenção e descartes de dados, após a rescisão, pois nem todos os dados poderão ser descartados após 2 anos de extinção do contrato de trabalho, por exemplo para o FGTS, as informações deverão ser mantidas por 30 anos, mas somente poderão ser usados para as finalidades e bases legais específicas que necessitem do armazenamento, jamais para fazer propaganda ou marketing, pois nesse caso há claro desvirtuamento da finalidade, o que poderá acarretar em punição.

 E, quando mencionamos as punições pelo não tratamento dos dados dos empregados da empresa, em caso de vazamento, podem ser judiciais e administrativas. Sendo que nesse momento, a lei se encontra vigente, por isso as empresas poderão ser demandadas na justiça, em inquérito e/ou ações pelo Ministério Público, fiscalização do PROCON, e a partir de agosto de 2021, poderão receber punições administrativas da ANPD, que vão de sanções administrativas à advertências; podendo acarretar em aplicação de multas que podem atingir até 2% do faturamento da empresa, limitado ao valor de R$ 50.000.000,00 (cinquenta milhões de reais), bem como em apreensão do banco de dados da empresa ou suspensão do uso do banco de dados, por pelo menos 6 meses.

   Por isso, as empresas devem se adaptar o quanto antes à LGPD para preservar o seu negócio, sua imagem e resguardar seus empregados, clientes e usuários do mal uso dos seus dados.

Autoras:  Cláudia Aquino de Oliveira

Advogada, atuante no Estado de Mato Grosso, Palestrante, Autora de Livro e Artigos

([email protected])

e 

Lirian Sousa Soares Cavalhero

Advogada atuante em território nacional pela Ope Legis Consultoria, Mestre em direito, Palestrante, Autora de Livro e Artigos.