Abradisti
Abradisti Diretora executiva da Abradisti

Cinco coisas que toda empresa deve saber sobre a LGPD

Consultor jurídico da Abradisti, Leandro Pesoti Netto, fala ao nosso blog como se preparar para não enfrentar dificuldades desnecessárias quando a LGPD entrar em vigência

06/08/2019 17:23

Falta pouco mais de um ano para que entre em vigor a Lei 13.709/18, conhecida popularmente como Lei Geral de Proteção de Dados Pessoais ou, simplesmente, “LGPD”. Sancionada pelo então presidente Michel Temer com previsão de vigor inicial para agosto de 2020, a nova legislação altera alguns pontos fundamentais do Marco Civil da Internet.

Volta e meia, o tema acaba aparecendo com mais intensidade na mídia, justamente porque a norma tem o objetivo de proteger os dados de todos os cidadãos contra o mau uso de informações por empresas e entidades que atuam em algum tipo de atividade comercial. Adaptar-se à LGPD será algo pelo que toda empresa no Brasil deverá passar — e, como tudo no ambiente corporativo, quanto mais cedo se preparar, mais fluída e simples será o impacto da mudança.

Por isso, conversamos com Leandro Pesoti Netto, especialista em direito cibernético, sócio da LJD Advogados e consultor jurídico da Abradisti. Ele adianta aqui no Blog da Abradisti alguns dos pontos essenciais que todas as empresas do setor de distribuição de tecnologia precisam se atentar desde já. 

“Dado pessoal” é muito mais do que o CPF e o RG…

À primeira vista, há quem entenda por “informações pessoais do consumidor” os seus dados de cidadania: números do CPF e/ou RG, por exemplo. Havendo a preservação e o devido armazenamento destas informações, quando cabível, então uma empresa está coberta dentro do escopo da LGPD, correto?

Em parte! Segundo o consultor jurídico da Abradisti, as informações de uma pessoa vão bem além dos seus documentos pessoais, podendo contemplar até mesmo e-mail e número de telefone em um cartão de visita, por exemplo: “‘Dado pessoal’ é a informação que permite individualizar qualquer cidadão: o CPF faz isso? Sim, tanto quanto o nome completo ou um endereço de IP. Esse conjunto de informações constituem, pela LGPD, dados pessoais”.

Em outras palavras, empresas que trabalhem com mailings, por exemplo, terão que ter um cuidado maior em seus processos ainda que utilizem, em seus serviços e ofertas, informações públicas.

A LGPD regulamenta apenas informações online, de usuário…

Errado. Segundo Leandro Pesoti, toda informação é regulamentada e prevista dentro da Lei Geral de Proteção de Dados Pessoais, independente de ela ser online ou offline. Isso merece especial atenção em casos onde informações de um cidadão são armazenadas por empresas (como em formulários preenchidos à mão ou cadastros e abertura de contas em lojas de e-commerce): o trato oferecido a essas informações deve ser ainda mais cuidadoso (ver no item a seguir).

“Eu costumo dizer que a palavra ‘usuário’ em si não deve ser aplicada quando se discute a LGPD, pois ela traz um peso tecnológico que não é indicado para se interpretar a lei. Veja por exemplo um colaborador de uma empresa: os dados dele também são contemplados dentro dessa lei, como os dados pessoais contidos em um contrato ou matrícula de trabalho. Um fornecedor também tem dados pessoais no cadastro dessa empresa. A LGPD é totalmente agnóstica à tecnologia: uma empresa 100% offline será igualmente impactada pelo que rege a lei, da mesma forma que uma empresa online ou de TI”.

A grosso modo, a LGPD atua exclusivamente com dados de uma pessoa física, estejam eles onde estiverem. “Até mesmo um post it colado pelo colaborador em um monitor como lembrete de, digamos, ligar para uma pessoa via Skype — contendo a informação de contato nesse lembrete — funciona como algo protegido pela LGPD”, comenta o especialista.

Ajustes serão necessários, mas é o tipo de negócio que determina o quanto…

Em uma indústria tão heterogênea quanto a brasileira, é natural que algumas empresas se valham de informações dos usuários em maiores ou menores graus que outras. Algo que é perene a todas elas, porém, é a necessidade de ajustar alguns processos para que entrem em concordância com a LGPD.

“Há empresas que não possuem o uso de um dado pessoal como o seu principal negócio, como por exemplo áreas de manufatura e fabricação. Essas empresas terão que se adaptar por atuarem com colaboradores, dados pessoais incluídos em contratos e afins. Ou seja, os ajustes serão mais pontuais e técnicos, mas não necessariamente alterariam o negócio, o core business de sua atuação” explica Pesoti.

“Em contrapartida”, ele continua, “os ajustes serão maiores em empresas que dependem do tratamento de dados pessoais, pois além de serem claras quanto ao que exigem de seus consumidores, estas companhias também deverão ser transparentes em como elas resguardam tais informações e quais métodos empregam para protegê-la de acesso e uso indevido”.

A explicação do advogado vai ao encontro de casos globalmente conhecidos: vide o escândalo de privacidade do Facebook com a firma de análise de dados Cambridge Analytica. O acesso não autorizado a dados de 87 milhões de perfis de usuários da rede social veio, segundo relatos da imprensa, por apps de terceiros, conectados ao Facebook. Isso está na rotina de todos: lembra-se dos testes e brincadeiras veiculados nas redes sociais? Esse tipo de aplicação confere acesso a uma série de informações do perfil.

“Fala-se muito na questão do ‘operador’ e ‘controlador’, nestes casos: o primeiro trata os dados mediante condições estabelecidas pelo segundo. Em outras palavras, o operador trata tais dados mediante informação e autorização dada ao controlador, por seu consumidor. Se operador e controlador não possuem uma relação transparente, explicitamente detalhada no que é, pela lei, um dado utilizável ou um dado que deve permanecer anônimo, então há que se reavaliar o processo como um todo”, explica Leandro.

Existem punições — e elas não conhecem fronteiras…

“Há uma linha hierárquica de penalidades [para quem viola um ou mais termos da LGPD], que vai desde uma mera advertência até o pagamento de multa”, conta o consultor da Abradisti. Pelos termos da LGPD, a multa é de até 2% do faturamento da empresa, limitada a até R$ 50 milhões, dependendo do grau de ofensa ao que rege a lei e como a empresa respondeu a potenciais falhas na proteção dos dados de seus consumidores.

“O peso de uma penalidade vai variar conforme análise de diversos fatores: qual foi o erro? Qual foi o impacto que esse erro causou? Afetou quantas pessoas? A empresa teve algum benefício originado pela falha? Houve ganho de dinheiro proveniente dessa falha? A perícia indicou uma falha deliberada ou foi um acidente?”. Os exemplos posicionados por Leandro são vários, mas todos apontam para uma coisa: a adaptação completa e a transparência na segurança do manuseio das informações pessoais.

As punições previstas pela LGPD também contemplam empresas multinacionais. A partir do momento em que uma companhia opera no Brasil, seja presencialmente, com CNPJ e inscrição estadual/municipal; seja por fora do Brasil, mas com serviços disponíveis por aqui, como é o caso de diversas empresas de ofertas online, ela está automaticamente sujeita ao rigor da LGPD.

“Vamos pegar o exemplo do WhatsApp: um produto subsidiário ao Facebook, mas que não tem presença empresarial no Brasil; apenas o seu produto está aqui: ainda que não exista um escritório dele por aqui, ele pode responder segundo a tratativa da LGPD por qualquer problema do tipo”, explica.

Empresas estatais também responderão…

“No início das discussões sobre a LGPD, houve um debate sobre empresas estatais também responderem à lei ou não, se o impacto deveria ser diferenciado para a administração governamental — o que ficou decidido é que sim, empresas estatais responderão para a LGPD, da mesma forma que empresas privadas o farão”.

Para Leandro, enfaticamente, não há verdade alguma na noção de que a origem administrativa da empresa — ser do governo ou ser entidade privada — possa impactar na empregabilidade da LGPD. “Tal qual ela o é com a tecnologia, a LGPD também é agnóstica quanto a isso: empresas estatais ou de economia mista que trabalhem com a emissão, coleta e manuseio de dados também estão sujeitos à LGPD como qualquer outro caso”.

Há uma diferença para a Administração Pública apenas que, segundo o advogado, reside no exercício da punição em si: em caso de descumprimento pela Administração Pública, entretanto, seus gestores diretos podem acabar respondendo a acusações de improbidade administrativa, em casos mais extremos.

Em suma, a conclusão apontada por Leandro Pesoti é a de que as empresas busquem, o quanto antes, a revisão de seus processos. Em graus variados, dados pessoais percorrem a todo tipo de empresa, então há que se conhecer o funcionamento da LGPD a fim de que a obediência a ela seja completa. Consultas em compliance e ações legislativas podem ser de essencial ajuda nestas horas, a fim de apontar os caminhos corretos para que uma empresa se mantenha dentro da lei.

Quer conhecer mais sobre a consultoria jurídica da Abradisti e sobre a LGPD? Então, solicite aqui uma conversa com a Abradisti!

Leia também: A sua empresa está pronta para a LGPD? Veja o que dizem os especialistas.

0 COMENTÁRIOS

Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site. Se achar algo que viole os termos de uso, denuncie. Leia as perguntas mais frequentes para saber o que é impróprio ou ilegal.

Seja o primeiro a comentar