Do que trata a Lei Geral de Proteção de Dados (LGPD)?
Antes de mais nada, convém dizer que a Lei Geral de Proteção de Dados (13.709/2018) entrou em vigor em 20/08/2020, dispondo em resumo, do tratamento, armazenamento e compartilhamento de dados pessoais de terceiros, como clientes, colaboradores e fornecedores. Isso inclui o dever de cuidado tanto de informações guardadas em ambiente digital quanto físico.
No Brasil, deste de fevereiro de 2022 o direito à proteção dos dados pessoais passou a ser compreendido como um direito fundamental (inciso LXXIX do artigo 5º da Constituição Federal do Brasil).
De acordo com a LPGD, a manipulação dos dados pessoais somente poderá ser feita na forma da lei e mediante consentimento do titular destes dados. Nada impede que a empresa use os dados para fins específicos, como enviar mensagem de parabéns ou definir um determinado perfil para uso interno, deste de que tenha o consentimento do titular. Por outro lado, não havendo o consentimento, não será possível se valer dos dados do titular, por exemplo, para compartilhar os referidos dados com terceiros sem autorização específica do titular. Outro fator que merece atenção são a coleta e tratamento dos dados chamados sensíveis, como raça e religião por exemplo, que demandam ainda mais cuidado.
Neste contexto denota-se que a LGPD deve merecer a atenção não somente de grandes organizações, mas também dos pequenos e médios empresários.
O que acontece em caso de descumprimento da LGPD?
A manipulação inadequada ou eventual vazamento dos dados de titulares pode acarretar: multa de 2% sobre o faturamento, multa diária, advertência entre outras penalidades.
- multa de 2% sobre o faturamento;
- multa diária;
- advertência entre outras penalidades.
Vale ressalta que, em caso de vazamento de dados, que podem advir tanto do ambiente interno da empresa quanto de ataque externo, o titular dos dados vazados ainda poderá entrar na Justiça para requerer a reparação por danos morais, materiais e outros. Sendo assim, além do adequado consentimento do titular dos dados, é necessário zelar pela correta proteção e sigilo dos dados pessoais de terceiros.
Quais são os agentes de tratamento de dados pessoais?
Outra novidade trazida pela Lei é a figura do encarregado pelo tratamento de dados pessoais, cargo semelhante ao Data Protection Officer – DPO, da regulamentação européia (GDPR). Esta importante função pode estar a cargo de um empregado com dedicação exclusiva, por um profissional externo ou por um comitê.
A norma ainda traz as figuras do controlador e do operador, no entanto, as atribuições de maior relevância na gestão de dados é do encarregado.
Etapas de tratamento de dados
A gestão de dados pressupõe algumas etapas:
- Inicialmente é necessário realizar o mapeamento ou inventário(data mapping) da situação atual da empresa;
- Em seguida vem a análise deste mapeamento, inclusive em comparação à LGPD (gap analyse);
- Num terceiro passo entra em campo o plano de ação com objetivos e ações afim de adequar a empresa em conformidade com a Lei, inclusive com treinamento de pessoal.
Ademais também é necessário realizar a elaboração do Relatório de Impacto de Proteção de Dados (RIPD), para aferição dos riscos relacionados ao tratamento de dados. Na verdade, este relatório deveria ter o nome de Avaliação de Risco. O RIPD deve indicar a descrição dos dados coletados, a metodologia utilizada para a coleta e para garantir a segurança informacional e a análise do controlador sobre as salvaguardas de mitigação de riscos adotada.
Conclusão
À primeira vista pode parecer que instituir um programa desta natureza é muito complexo. Contudo, a complexidade é proporcional ao tamanho da empresa.
Portanto, se você é um pequeno ou médio empresário procure se inteirar acerca da implementação da LGPD na sua empresa. Na dúvida, consulte um advogado empresarial que possa lhe assessorar.
