Onde se aplica a LGPD para empresas?

1. Relacionamento com clientes e fornecedoresA utilização de dados pelas empresas não está proibida na LGPD, sobretudo porque é um fato essencial para atividades de diversos segmentos dos setores público e privado. O que se busca é regulamentar a atividade de tratamento de dados para que os direitos individuais dos titulares sejam protegidos, legitimando o uso de dados pessoais pelas empresas que ocorrer dentro da lei.Assim, o usuário, na figura de cliente ou fornecedor, é uma fonte de dados pessoais muito importante nos dias atuais, e tais dados devem ser tratados de acordo com todas as diretrizes legais a ele concedidas na LGPD.

2. Maior segurança jurídicaA definição das regras e preceitos sobre a proteção de dados fixada pela Lei Geral de Proteção de Dados Pessoais também acarreta maior segurança jurídica para os agentes de tratamento de dados, na medida em que a partir da legislação podem se adequar às normas e preparar a estrutura interna das empresas, visando a minimização e prevenção de incidentes de segurança e preservação dos direitos individuais dos titulares.

3. Segurança cibernética aprimoradaEm função disso, há a necessidade de investimento das empresas em segurança de tecnologia da informação como forma de prevenção de danos com incidentes de vazamento de dados.Deve-se primar por uma estruturação de equipe de segurança competente e capacitada para acompanhar e monitorar a evolução dos sistemas e ferramentas de proteção de tecnologia, como a utilização de criptografia e softwares modernos, uma vez que no meio digital a evolução de técnicas de segurança e prevenção precisam sempre acompanhar e combater o desenvolvimento de novas ameaças e crimes cibernéticos.

4. A importância da revisão de contratosA coleta, uso e armazenamento de dados são práticas antigas e não se limitam ao meio digital. Como muitos contratos foram celebrados em data anterior à vigência da LGPD, é essencial a adequação destes contratos às novas disposições, evitando responsabilizações e penalizações das partes celebrantes dos contratos – incluindo a responsabilização de uma parte devido a uma violação cometida pela outra.A revisão contratual permite que as empresas promovam a conformidade com a Lei Geral de Proteção de Dados Pessoais e rediscustam a manutenção ou extinção do acordo, caso a outra parte não esteja consoante com ou demonstre estar tomando medidas de adequação aos padrões de proteção de dados.Cláusulas como de confidencialidade das informações, de definição das responsabilidades e medidas de segurança aplicáveis ao tratamento de dados, de procedimentos em caso de incidentes de segurança e de resolução de conflitos são primordiais a serem acrescentadas.A ausência de revisão contratual (e, especialmente,  de contratos celebrados antes da LGPD) pode causar problemas judiciais, financeiros e até danos à imagem e reputação da empresa ao mercado de atuação. Vale lembrar: sua empresa pode ser responsabilizada por violações cometidas por outras empresas (especialmente se essas empresas tratam dados pessoais em seu nome, ou seja, são operadoras) e a responsabilidade prevista na LGPD é entendida por muitos como objetiva, isto é, independendo de culpa ou dolo de sua empresa ou da empresa contratada.E finalmente, mesmo para os futuros contratos a serem celebrados pela empresa é necessário que haja cuidados com a cláusulas de proteção de dados e adequação à LGPD, uma vez que a Autoridade Nacional de Proteção de Dados (ANPD) tem elaborado novos regulamentos e o judiciário deverá também começar a preparar sua jurisprudência. Além disso,  tais contratos não podem ser genéricos, e sim ter cláusulas adequadas para cada tipo de operação à luz de todas as normas procedimentais da LGPD.

Regras especiais para Startups e Microempresas

A Autoridade Nacional de Proteção de Dados – ANDP aprovou em janeiro de 2022 a Resolução CD/ANPD Nº 2, que flexibilizou a aplicação da Lei Geral de Proteção de Dados Pessoais a agentes de tratamento de pequeno porte, facilitando sua adequação à lei.

Dentre as principais alterações, estão:

• A simplificação do registro das operações de tratamento de dados pessoais, que poderá ser feito de acordo com modelo que será elaborado pela ANPD;
• A criação de procedimento simplificado de comunicação de incidentes de segurança para agentes de tratamento de pequeno porte;
• A desobrigação de nomeação do encarregado pelo tratamento de dados pessoais (DPO), bastando a disponibilização de um canal de comunicação com o titular de dados para aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências (embora a nomeação passe a ser vista como uma boa prática, o que é um dos parâmetros que são considerados pela ANPD na aplicação de sanções);
• A possibilidade de estabelecer política simplificada de segurança da informação, contemplando apenas os requisitos essenciais e necessários para o tratamento de dados pessoais (em outubro de 2021, a ANPD publicou um guia orientativo sobre segurança da informação para agentes de pequeno porte); e
• A concessão de prazo em dobro para
  • o atendimento das solicitações dos titulares (bem como o prazo de 15 dias para fornecimento da declaração simplificada de confirmação de existência ou o acesso a dados pessoais prevista no artigo 19, I, da LGPD, enquanto que para demais agentes tal fornecimento deve ser feito imediatamente);
  • a comunicação à ANPD e ao titular da ocorrência de incidentes de segurança (exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos regulamentares); e
  • c) demais prazos estabelecidos em normativos próprios para a apresentação de informações, documentos, relatórios e registros solicitados pela ANPD.

As medidas trazidas pela Resolução constituem, assim, necessária simplificação das normas de proteção de dados de modo a torná-las adequadas e não excessivamente onerosas à realidade de tais agentes. No entanto, a Resolução CD/ANPD 2 não afasta, de modo algum, a obrigação de os agentes de tratamento de pequeno porte de cumprirem a LGPD, incluindo a de cumprir os seus princípios e garantir aos titulares seus direitos relacionados a seus dados pessoais.

A quem se aplicam as regras especiais?

A Resolução CD/ANPD Nº 2 se aplica a agentes de tratamento de pequeno porte. isto é, microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.Microempresas e empresas de pequeno porte, por sua vez, são sociedades empresárias, sociedades simples, sociedades limitadas unipessoais, e o empresário, incluído o microempreendedor individual, registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas, que aufiram renda igual ou inferior a R$ 4.800.000,00 no ano-calendário.

Já startups são organizações empresariais ou societárias nascentes ou em operação recente cuja atuação caracterize-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados e que a) tenham receita bruta de até R$ 16.000.000,00 no ano-calendário; b) tenham até dez) anos de inscrição no Cadastro Nacional da Pessoa Jurídica (CNPJ); e c) ou tenham em seu ato constitutivo ou alterador declaração e utilização de modelos de negócios inovadores para a geração de produtos ou serviços, ou se enquadrem no regime especial Inova Simples.

No entanto, é preciso ter atenção que não basta preencher os requisitos acima para se valer destas novas regras! Isso porque o artigo 3º da resolução explicitamente veda que agentes de tratamento de pequeno porte que a) realizem tratamento de alto risco para os titulares, ressalvada a hipótese prevista no art. 8º; ou b) pertençam a grupo econômico de fato ou de direito cuja receita global ultrapasse os limites referidos acima ser beneficiam da Resolução.

O que é tratamento de alto risco?

A ANPD considerou de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico indicados no artigo 4º da Resolução.

Os critérios gerais são a) tratamento de dados pessoais em larga escala, isto é, que abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos e a duração, a frequência e a extensão geográfica do tratamento realizado; e b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares, em outras palavras, casos em que a atividade de tratamento possa impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade, dentre outras situações.

Já os critérios específicos são a) uso de tecnologias emergentes ou inovadoras; b) vigilância ou controle de zonas acessíveis ao público; c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; e d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

Por um lado, caberá ao agente de tratamento de pequeno porte, quando solicitado pela ANPD, comprovar em até quinze dias que se enquadra nas disposições acima. Por outro lado, a ANPD deverá disponibilizar guias e orientações com o objetivo de auxiliar os agentes de tratamento de pequeno porte na avaliação do tratamento de alto risco.

Recomenda-se ainda a controladores e operadores que entendam se enquadrar nas regras acima realizar uma avaliação jurídica que permita esta confirmar se este entendimento é correto ou não.

Como aplicar a LGPD na empresa

1. Equipe técnica dedicada à proteção de dadosA equipe técnica responsável pela proteção de dados dentro da empresa é formada por um profissional (ou, em empresas maiores, por um time) de privacidade, responsável pela construção de um programa capaz de proteger dados pessoais dentro da empresa e impulsionar a criação de uma cultura interna de privacidade.No entanto, a proteção de dados não pode ser tarefa exclusiva de um profissional. Assim, é recomendável que as empresas estabeleçam um comitê gestor com profissionais de diferentes áreas (como do jurídico, TI, RH, marketing, operações, etc.) capazes de contribuir com e apoiar as iniciativas de proteção de dados dentro da empresa. Tais profissionais também precisam ter uma compreensão do tema, pois são os profissionais mais aptos a entenderem os desafios e necessidades de proteção de dados em suas áreas dentro da empresa, bem como auxiliam na criação de uma política de privacidade por toda a organização. Afinal, vale lembrar: dados pessoais transitam por toda a empresa.Por fim, há um profissional específico que merece ser mencionado: o encarregado, também, também conhecido como DPO (Data Protection Officer, profissional de perfil similar na legislação europeia). O encarregado é a pessoa indicada para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Entre suas tarefas, destacam-se a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; b) receber comunicações da ANPD e adotar providências; e c) orientar os funcionários e os contratados da empresa a respeito das práticas de proteção de dados pessoais, além de outras atribuições que poderão ser determinadas pela própria empresa ou futuramente estabelecidas em normas complementares.Embora não haja hoje requisitos para esta função, é recomendado que o encarregado seja um profissional com conhecimento sobre a LGPD e tecnologia da informação, auxiliando, desta forma, a empresa a cumprir a legislação e adotar boas práticas dentro da organização.

2. Identificar os dados que a empresa já possui.A empresa deve fazer uma análise de todas as atividades que envolvem a rotina da empresa, como prospecção de clientes, comercial, marketing, contratação de funcionários, etc, de modo a identificar e mapear todos os tratamentos de dados pessoais que realiza, incluindo informações sobre quais tipos de dados pessoais que coleta e trata, para quais finalidades, com quem os compartilha e quando os exclui, entre outras informações.Mapeando tais atividades de tratamento, torna-se possível identificar suas fragilidades e vulnerabilidades, permitindo, assim, aprimorá-los e adequá-los às regras de proteção de dados impostas pela LGPD.

3. Criar mecanismos para coletar e monitorar o consentimento de titularesA obtenção e gerenciamento do consentimento do titular com a LGPD passa a ter requisitos adicionais que devem ser cumpridos por todas as empresas. Por exemplo, passa a ser ônus da empresa comprovar que obteve o consentimento na forma determinada da LGPD, sob pena de ser penalizado com alguma das sanções previstas na lei.O consentimento pode ser obtido por escrito ou por outro meio que demonstre a sua manifestação de vontade, como no caso dos meios eletrônicos quando o usuário seleciona a opção confirmando a leitura e a sua concordância com as políticas de privacidade da empresa, onde consta a política de gestão de dados pessoais.Outra forma é por meio de um Termo de Consentimento, por escrito e assinado pelo titular dos dados, sendo recomendável que seja específico para fins da LGPD, ou ao menos, a cláusula esteja em destaque para melhor identificação e compreensão, em observância ao princípio da transparência.É considerada uma boa prática que no consentimento exista a possibilidade do titular dos dados optar quais dados podem ser tratados, como uma forma de evitar que negue na sua totalidade.

4. Exclusão dos dadosTodos os dados que não forem necessários, bem como aqueles que já não são utilizados pela empresa devido ao término do tratamento, devem ser descartados, em observância aos ditames dos artigos 15 e 16 da LGPD.Além de não trazerem qualquer lucratividade para empresa (pelo contrário, tais dados tornam-se um ônus e um risco), dados pessoais que não forem mais necessários ou utilizados ocupam espaços em servidores e nuvens que poderiam ser utilizados de forma mais produtiva para a empresa.

Desafios e implicações da LGPD para as empresas

Outra obrigação imposta pela lei é a realização do chamado relatório de impacto à proteção de dados pessoais, prevista no artigo 38 de forma geral e, em relação a tratamento com base no legítimo interesse, no artigo 10º, §3º da LGPD.  Trata-se de documentação de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como um detalhamento das medidas, salvaguardas e mecanismos de mitigação de tais riscos.

Outro ponto de atenção é a criação de um canal de comunicação entre o titular dos dados e controlador de modo a permitir o exercíciode todos os direitos elencados na LGPD (e, principalmente, aqueles contidos nos artigos 9º e 18 a 20 da lei). As empresas podem focar em um canal que traga uma experiência ágil e agradável para as pessoas, visando uma melhor experiência dos seus clientes e colaboradores titulares de dados, refletindo no seu valor e reputação de marca. Como bônus, as empresas podem utilizar os gastos com implementação e manutenção de programa de proteção de dados, como crédito de PIS/COFINS.

Além disso, boas práticas e processos humanizados, pautados da ética, transparência e sustentabilidade, em observância ao indicador ESG – Enviromental, Social and Governance, elevam os padrões de imagem da empresa perante o mercado e a sociedade, refletindo, ainda, no aumento de sua rentabilidade.

Por essa razão, a adequação à LGPD precisa ser uma realidade na rotina e cultura das empresas. A mudança com ações preventivas implementadas servirá para reduzir os impactos à imagem e prejuízos da empresa em face de eventuais incidentes de segurança, bem como será levada em consideração pela ANPD e possivelmente pelo Judiciário como um critério de mitigação de penalidades impostas. Em suma, a adequação à LGPD se revela como um investimento.

O conteúdo apresentado está de acordo com estratégias de SEO, feito para ranqueamento no Google. O conteúdo será complementado com outras publicações.