Ela está chegando…
A Lei Geral de Proteção de Dados (LGPD) está em vigor desde agosto de 2020, contudo, os artigos que tratam das penalidades somente entram em vigor em agosto de 2021. Em resumo, agora é para valer!
O ser humano é protelador por natureza, e o brasileiro levou a técnica ao estado da arte.
Sem o risco de multas, poucas empresas se ocuparam da nova norma; isso vale também para as grandes empresas. Pesquisas mostram que mais de 50% das companhias listadas na B3 ainda não se adaptaram. “Nova norma” é um eufemismo: a lei n° 13.709 é de 2018, e a maior parte dos seus artigos entrou em vigor em 2020, ficando as penalidades para 2021 (artigos 52, 53 e 54).
Os jornais noticiaram na semana passada ações de sindicatos contra empresas já exigindo penalidades para aquelas que expuseram os dados de seus funcionários. Como já esperávamos, a lei será um motivador de litígios – alguns legítimos, muitos unicamente pecuniários.
Leis protetivas ajudam hipossuficientes eventualmente injustiçados, mas também atraem arrivistas e gananciosos, outro esporte no qual contamos com recordistas olímpicos em profusão. De maneira que recomenda-se dar atenção à lei e preparar a empresa para isso.
Nos processos recém ajuizados sobre o tema, livraram-se aquelas empresas que demonstraram a adoção de medidas e boas práticas no intuito de cumprir as determinações legais; as outras estão sendo obrigadas a se adaptar em custo espaço de tempo, sob pena de multas diárias impostas pelo judiciário.
Para relembrar alguns pontos da lei, colocamos abaixo alguns conceitos relevantes e cuidados que toda empresa deve ter:
- Os dados protegidos pela lei são aqueles das pessoas físicas somente, não das PJ.
- Dado pessoal não se restringe àqueles mantidos em sistema de informática, mas é qualquer informação da pessoa física que seja controlada por uma pessoa jurídica: vai do atestado médico admissional ao boletim escolar, passando pela caderneta de vacinação dos filhos, dados de sócios em um contrato social, e o histórico de crédito, dentre outros.
- Toda empresa precisa ter um encarregado de dados pessoais, pessoa assim nomeada para atuar como canal de comunicação entre o controlador dos dados e os seus titulares, bem como a ANPD – Autoridade Nacional de Proteção de Dados.
- A utilização de dados pessoais deve ser precedida de consentimento por escrito do titular dos dados.
- Exclui-se da necessidade de consentimento a utilização para fins jornalísticos, acadêmicos, cumprimento de obrigações legais, utilização judicial, execução de contratos, proteção do crédito dentre outros.
- O compartilhamento dos dados deve também ser precedido de consentimento.
- Encerramento o tratamento dos dados, os mesmos devem ser eliminados.
- O titular dos dados pode, a qualquer momento, acessar os dados, confirmar a sua existência, portar os dados para outro fornecedor, revogar o consentimento e solicitar a sua eliminação.
- Pode o controlador dos dados implementar programa de governança com regras próprias para o tratamento dos dados e seu acesso por terceiros, bem como o cumprimento da lei.
- As penalidades por descumprimento da lei podem chegar a até 2% do faturamento, limitada a R$ 50 milhões por infração.
Como dito, tudo já estava valendo, menos as penalidades, que entram em vigor em agosto/2021. Para quem ainda não se adaptou, passou da hora.
Claro que gasta-se alguma energia, tempo e dinheiro; mas empresas pequenas e médias conseguem realizar um programa de governança de dados de maneira acessível.
O programa começa por um diagnóstico com a indicação dos pontos críticos, ou seja, identificando processos internos nos quais dados são tratados; em seguida, é hora de criar regras para esses processos. Por fim, é o momento de adaptar seus documentos, contratos, e políticas internas para o atendimento da lei: inserção de cláusulas em contratos padrão, adoção de um termo de consentimento padrão, criação de uma política de privacidade, dentre outros.
Quem quiser, pode ainda realizar a certificação da ABNT específica para a LGPD, o que lhe garantirá, além da consultoria espontânea que todo processo de certificação acaba causando, uma prova documental da implementação de boas práticas.
Ela está chegando!