jusbrasil.com.br
7 de Abril de 2020
    Adicione tópicos

    Principais Desafios da LGPD

    Por Mário Garcia Junior e Marcelo Brisolla Jordão Filho

    há 2 meses


    A Lei Geral de Proteção de Dados (“LGPD”)[1], que regula o tratamento de dados pessoais[2], por pessoa jurídica ou por pessoa natural, com o objetivo de proteger os direitos fundamentais e privacidade dos indivíduos, salvo maior juízo, entrará em vigor em 16 de agosto de 2020. Dessa forma, conforme o passar do tempo, o prazo para que as empresas se adequem à LGPD é cada vez mais curto e exige tomadas de decisão mais rápidas, bem como de ações mais céleres para que estejam em conformidade até agosto.

    Adicionalmente, é válido destacar que a LGPD traz uma série de desafios e riscos para as empresas caso as mesmas não se adequem às suas diretrizes até agosto. Com o objetivo de demonstrar a criticidade e importância do tema, apresentamos abaixo os principais pontos da Lei com os quais o empresariado deve se preocupar ao tratar do tema da LGPD.

    1. A LGPD abrange todas as empresas brasileiras

    A LGPD será aplicável para qualquer operação de tratamento[3] realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que[4]:

    · a operação de tratamento seja realizada no território nacional;

    · a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

    · os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

    Logo, salvo pelas exceções que indicaremos abaixo, percebe-se que todas as empresas brasileiras estão sujeitas à LGPD.

    Muitas vezes surgem dúvidas em empresas cujo modelo de negócio é B2B, principalmente em indústrias e usinas, se realmente a LGPD se aplicaria a elas. Para resolver essas dúvidas sempre lembramos que, por enquanto, as empresas são feitas de pessoas; então, mesmo que o público alvo não sejam efetivamente o consumidor final, minimamente, todas as empresas acabam tratando os dados pessoais de seus funcionários.

    Consequentemente, ao tratar dados pessoais dentro do território nacional, as empresas sujeitam-se às normas da LGPD, devendo adequar-se à mesma.

    Não obstante, é válido ressaltar que a LGPD traz algumas exceções à sua aplicabilidade[5], das quais apresentamos as principais no que tange ao empresariado brasileiro:

    · o tratamento de dados pessoais realizado para fins exclusivamente jornalístico e artísticos ou acadêmicos; e

    · o tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

    Assim, percebe-se que mesmo com as exceções previstas em Lei, as atividades mais básicas de tratamento de dados pessoais (e.g., contratação de funcionários) acabam sujeitas à LGPD.

    2. A Autoridade Nacional de Proteção de Dados (“ANPD”) não deve ser a única preocupação das empresas

    A ANPD é o órgão público criado pela LGPD cujas funções englobam, dentre outras[6]:

    · zelar pela proteção dos dados pessoais, nos termos da legislação;

    · fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação a regulamentação; e

    · editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade.

    Embora possua funções primordiais para o funcionamento da LGPD após sua entrada em vigor, a ANPD ainda não está efetivamente operando, estando ainda em fase de nomeação de seus membros.

    Com isso, muitas empresas acabam interpretando que como ainda não há uma ANPD operante, não deveriam se preocupar com a LGPD.

    Contudo, mesmo que ainda não tenhamos uma ANPD operante e a LGPD em vigor, existe um órgão da administração pública voltado para a fiscalização e aplicação de sanções voltadas para a proteção dos dados pessoais; o Ministério Público do Distrito Federal e Territórios (MPDTF).

    Com base na combinação da legislação vigente aplicável (i.e., Constituição Federal, Marco Civil da Internet), o MPDTF vem monitorando e processando as empresas que tenham violado as normas brasileiras no que diz respeito à privacidade e proteção de dados pessoais.

    Como principal exemplo, temos o Netshoes que após o vazamento de dados pessoais de quase 2 milhões de clientes em 2018, foi atuado pelo MPDTF e firmou Termo de Ajuste de Conduta (TAC)[7], por meio do qual a empresa se viu obrigada a pagar R$ 500.000,00 (quinhentos mil reais) a título de indenização e implementar medidas adicionais ao seu Programa de Proteção de Dados, dentre as quais está a realização de ações para adequação à LGPD, mesmo ainda não em vigor.

    Além do MPDTF, as empresas também devem se preocupar com os titulares[8] de dados pessoais, os quais possuem uma série de direitos[9] previstos na LGPD que deverão ser garantidos pelas empresas, tais como:

    · acesso aos dados,

    · anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;

    · portabilidade dos dados a outro fornecedor de serviço ou produto;

    · eliminação dos dados pessoais tratados com o consentimento do titular; e

    · revogação do consentimento.

    Adicionalmente, os titulares possuem o direito de peticionar em relação aos seus dados contra a empresa perante a ANPD[10].

    Portanto, percebe-se que não só a ANPD, mas também os próprios titulares poderão atuar como fiscalizadores individuais das empresas, podendo a qualquer momento denuncia-las para a ANPD caso entendam que exista uma não conformidade com a LGPD no tratamento de seus dados pessoais.

    Dessa forma, percebe-se que, mesmo com a ANPD ainda não estar operante e adicionalmente a ela, o MPDTF e os titulares de dados pessoais representam uma preocupação para as empresas, que deverão estar em conformidade com a LGPD para evitarem ações por parte do MPDTF e atender às solicitações dos titulares.

    3. Nomeação de um Encarregado

    Com o objetivo de criar um canal de comunicação nas empresas com a ANPD e os titulares, bem como de haver um responsável direto pelo tema da privacidade e proteção de dados pessoais, a LGPD criou a figura do Encarregado[11], o qual terá como atividades[12]:

    · aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

    · receber comunicações da autoridade nacional e adotar providências;

    · orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

    · executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

    É válido ressaltar que em sua redação a LGPD não indicou qualquer tipo de restrições para as empresas que precisam nomear um Encarregado, sendo essa obrigação, até o presente momento, aplicável a todas as empresas no Brasil independentemente do seu porte. Consequentemente, empresas de médio e pequeno e porte terão um custo adicional com a indicação e manutenção de um DPO, o qual poderá ser considerável considerando os encargos da legislação trabalhista.

    Dessa forma, com o possível objetivo de tentar reduzir os custos do Encarregado, a LGPD trouxe em sua redação a possibilidade de que esta figura seja tanto uma pessoa física quanto uma pessoa jurídica. Portanto, as empresas possuem a opção de contratar uma empresa especializada para exercer a função e não obrigatoriamente indicar ou contratar um funcionário para tal.

    4. Relacionamento com Terceiros

    No relacionamento de tratamento de dados pessoais entre empresas e titulares, a LGPD criou duas principais figuras, o controlador, a quem competem as decisões referentes ao tratamento de dados pessoais[13], e o operador, que realiza o tratamento de dados pessoais em nome do controlador[14].

    Assim, em toda operação de tratamento de dados pessoais em que haja transferência de dados pessoais para um terceiro tais figuras acabam se configurando. Para fins de exemplificação, trazemos uma empresa que contrata um terceiro para processar sua folha de pagamento; neste caso a empresa contratante seria o controlador e o terceiro seria o operador.

    O principal aspecto dessa relação é que controlador e operador respondem solidariamente pelos danos causados ao titular dos dados pessoais quando ambos estiverem envolvidos[15] no processo de tratamento de dados pessoais, salvo quando provarem[16]:

    · que não realizaram o tratamento de dados pessoais que lhes é atribuído;

    · que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

    · que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

    Consequentemente, é muito importante que as empresas tenham maior precaução ao contratarem terceiros que realizem o tratamento de dados pessoais em seu nome.

    Para mitigar possíveis riscos é importante que previamente à contratação seja feita uma análise prévia da conformidade da empresa terceira com a LGPD no tocante aos seus principais aspectos para um maior conforto da empresa contratante. Adicionalmente, para fins de se resguardar de possíveis prejuízos futuros, é recomendável que sejam incluídas cláusulas de responsabilidade relacionadas ao tratamento de dados pessoais nos contratos a serem celebrados para que seja garantido o direito de regresso em possíveis incidentes.

    5. Sanções Administrativas

    Por fim, mas não menos importante, destacamos abaixo as principais sanções administrativas trazidas pela LGPD aplicáveis pela ANPD[17]:

    · multa simples, de até 2% (dois por cento) do faturamento no último exercício, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

    · publicização da infração;

    · proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

    Percebe-se que a LGPD traz penalidades que não somente afetam as empresas no âmbito pecuniário ou reputacional, mas também colocam em risco a própria atividade das empresas, pois caso a principal atividade da empresa envolva o tratamento de dados pessoais, a mesma poderá ser proibida de exerce-la caso a ANPD aplique sanção nesse sentido.

    Não obstante, ressaltamos que as sanções apenas serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, e serão levados em consideração uma série de fatores na decisão final, tais como[18]:

    · a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; e

    · a adoção de política de boas práticas e governança.

    Logo, embora exista o risco de aplicações de sanções pela ANPD, caso as empresas demonstrem conformidade com a LGPD e boas práticas, esses fatores serão levados em consideração como atenuantes na decisão final da ANPD. Sendo, portanto, recomendável que as empresas coloquem a LGPD como prioridade em suas agendas e trabalhem para estar em conformidade com a Lei o quanto antes para mitigar possíveis riscos futuros.

    Diante do exposto, concluímos que embora ainda não esteja em vigor, a LGPD já se apresenta como um grande desafio para as empresas, que deverão ter a conformidade com a Lei como uma de suas prioridades considerando o elevado risco que a não conformidade poderá vir a trazer, bem como a abrangência das exigências trazidas pela LGPD.

    De todo modo, caso conduzido de forma planejada e responsável, a jornada de conformidade com a LGPD pode ser um processo rápido e ágil que não só trará a mitigação de riscos, mas também destaque e posicionamento de mercado para aquelas empresas que demonstrarem conformidade antes da entrada em vigor da Lei.

    [1] Lei n0 13.709, de 14 de agosto de 2018, conforme alterada.

    [2] Conforme definido no Art. 50, I, da LGPD: “informação relacionada a pessoa natural identificada ou identificável”.

    [3] Conforme definido no Art. 50, X, da LGPD: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

    [4][4] Art. 30 da LGPD.

    [5] Art. 40 da LGPD.

    [6] Art. 55-J da LGPD.

    [7] TAC n. 01/2019 - ESPEC

    [8] Conforme definido no Art. 50, V, da LGPD: “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.

    [9] Art. 18 da LGPD.

    [10] Art. 18, parágrafo primeiro, da LGPD.

    [11] Conforme definido no Art. 50, V, da LGPD: “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

    [12] Art. 41, LGPD.

    [13] Art. 50, VI, LGPD.

    [14] Art. 50, VII, LGPD.

    [15] Art. 42, parágrafo primeiro, LGPD.

    [16] Art. 43, LGPD.

    [17] Art. 52, LGPD.

    [18] Art. 52, LGPD, parágrafo primeiro.

    0 Comentários

    Faça um comentário construtivo para esse documento.

    Não use muitas letras maiúsculas, isso denota "GRITAR" ;)