LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) E OS IMPACTOS SOBRE AS EMPRESAS E OS NEGÓCIOS: COMO NOS PREPARAR

 

1. LGPD: Por que proteger os dados pessoais se tornou um assunto importante?

A Lei n. 13.709/2018, Lei Geral de Proteção de Dados (LGPD), estabelece uma série de regras que as organizações atuantes no Brasil terão que seguir para garantir controle sobre os dados particulares das pessoas. As obrigações são inúmeras e complexas e as multas por infração são altíssimas. No momento atual as empresas estão correndo para adequar seus processos e serviços para entrarem em conformidade com as regras da nova lei. A Medida Provisória 869/18 foi aprovada recentemente pelo Senado e depende da sanção da presidência, estabelecendo que a LGPD entrará em vigor em agosto de 2020, o que pode ser pouco tempo diante das alterações.

A pergunta é: qual a necessidade de proteger os dados das pessoas?

Diante de constantes notícias de vazamento de dados (exemplo: https://epocanegocios.globo.com/Empresa/noticia/2018/12/os-21-maiores-casos-deviolacao-de-dados-de-2018.html) cabe a reflexão se cada um gostaria de ter seus dados pessoais, às vezes sensíveis e particulares, circulando fora dos negócios das empresas. Todos trocariam o conforto e acesso a serviços pela privacidade e acesso a seus dados? Todos trocariam sua privacidade em troca de segurança (ver caso Snowden, história real que rendeu um filme com o mesmo nome), ou facilidade, praticidade ou maior conforto no dia a dia (recomendações de filmes pelo Netflix baseada no perfil de uso, anúncios de promoção baseado em buscas em redes sociais etc.)? Nesse cenário em que cada um tem um posicionamento particular, incluindo movimentos a favor e contra, com respostas divergentes para estas perguntas, legisladores pelo mundo tem adotado posturas mais restritivas visando ao menos garantir que cada pessoa possa ter a liberdade de dispor sobre como e quais dados seus poderão circular e serem disponibilizados fora da empresa.

Além disso, um dos grandes motivos que levou o Brasil a adotar uma lei que trata da privacidade de dados tem origem na sistemática mundial que trata do assunto. Após a aprovação da ainda recente legislação europeia, as discussões internacionais sobre o tema tornaram-se assunto de interesse na Organização para a Cooperação e Desenvolvimento Económico (OCDE) e também uma exigência de mercado. Vários países já estão adaptando suas leis internas para proteção de dados e há o perigo de a empresa ou país que não estiver com a legislação interna adequada ficará de fora do mercado global: contratos poderão ser rescindidos e outros tantos nem chegarão a ser concluídos, pois uma empresa em um país que adota legislação de proteção de dados não fechará contrato com outra em uma jurisdição que não disponha de uma lei que cuide do assunto, dentro da rigidez e necessidades da primeira.



2. A LGPD e seu impacto nas empresas: papeis e responsabilidades

Antes de entrar na questão propriamente dita da organização dos dados, vale a pena mencionar os entes envolvidos diretamente nas questões de privacidade de dados, tanto do lado da empresa que coleta e trata quanto do agente fiscalizador, quais sejam:

(i) controlador: pessoa física ou jurídica, pública ou privada, responsável pelas decisões acerca do tratamento de dados;

(ii) operador: pessoa física ou jurídica que efetivamente atua no tratamento de dados;

(iii) encarregado: pessoa física, agente no tratamento de dados como se verá mais adiante, porém com fins e orientação e diretrizes (DPO), recebe as notificações da autoridade nacional);

(iv) titular: pessoa natural a quem se refere os dados pessoais objeto do tratamento; e

(v) autoridade nacional de proteção de dados (MP 869/18): órgão governamental, aplicador das sanções e que criará as diretrizes da Política Nacional de Dados.

Na medida que a legislação de proteção de dados toma forma e passa a gerar consequências concretas aos atores envolvidos com o tratamento de dados, esses atores devem passar a realizar ações igualmente concretas para garantir que tal utilização está dentro dos conformes legais adotados pelo governo local. Para isso, é inevitável que as empresas realizem a alocação de alguns de seus recursos humanos para ocupar-se desse papel.

De fato, tal alocação é inerente à conformidade no tratamento de dados, tendo em vista que a LGPD adotou, em seu artigo 41, a figura do Encarregado pelo Tratamento de Dados Pessoais, inspirado no Data Protection Officer da General Data Protection Regulation (GDPR) europeia. Esse encarregado, conforme o termo adotado pelos legisladores, será responsável pela interface direta da empresa com os titulares de dados pessoais e com a Autoridade Nacional de Proteção de Dados (ANPD - órgão da administração pública indireta que ficará responsável por zelar, implementar e fiscalizar o cumprimento da LGPD), sendo então figura indispensável para a devido cumprimento desta lei.

Cabe às empresas, então, elencar quem exatamente será essa figura centralizadora, além de munir essa pessoa de recursos suficientes para adequadamente cumprir esse papel. É certo, por exemplo, que uma empresa que lide com expressivo volume de dados pessoais necessitará de uma equipe que possa auxiliar o controlador nesse seu papel. Além de ser possível contratar pessoas com formação específica nos nascentes cursos para o cargo de controlador de dados, as empresas também podem contar com recursos atuais que estão bem posicionados para cumprir o quanto exigido.

Dentre as diversas áreas aptas à contribuir com esse objetivo, destacam-se as seguintes: a área de compliance, que costumeiramente tem conhecimento íntimo dos processos da empresa e já está inserida em fluxos que visam garantir o cumprimento de normas legais, além de políticas e diretrizes internas; a área jurídica, similarmente, atua garantindo os interesses da empresa ao mesmo tempo que visa atender requerimentos da legislação, além de ter experiência na busca de soluções com base em estudos da lei e jurisprudência; e, a área de tecnologia da informação, por possuir grande proximidade com as técnicas utilizadas pela empresa para a coleta e tratamento de dados, fornece insight essencial para a conformidade com a LGPD.

Para garantir que a empresa alcance o melhor nível de adequação à referida legislação, a formação de um comitê multidisciplinar de apoio ao controlador mostra-se como um bom caminho, visto que permitirá a abordagem mais completa em relação aos dados a serem tratados através de contribuições baseadas em práticas já estabelecidas dos profissionais das diversas áreas da empresa que vierem a formar o referido comitê. 


3. Confidencialidade e proteção de dados: instrumentos e procedimentos

Muito embora a LGPD só entre em vigor em agosto de 2020, muitas empresas já estão se movimentando no sentido desse preparar para sua entrada em vigor. Algumas ações que já podem ser tomadas são:


(i) formalizar em seus instrumentos jurídicos a previsão de cumprimento da referida Lei, seja firmando aditivos aos contratos de trabalho ou revisando seus acordos de serviços com terceiros que lidam com tratamento de dados;

(ii) implementar formas, procedimentos e condutas sobre segurança da informação e proteção de dados nas políticas internas corporativas;

(iii) treinar os funcionários para já pensarem em suas rotinas quando lidam com dados pessoais; e, talvez mais importante,

(iv) realizar um mapeamento do processo produtivo da empresa para checar quais dados costumam ser coletados e de que forma estes dados são obtidos a fim de listar as adequações necessárias.

Vale sugerir que a obrigatoriedade de cumprimento da LGPD conste nos Acordos de confidencialidade (também conhecido como Non-Disclosure Agreement - NDA) das organizações atuantes no Brasil com o fim de resguardá-las em eventual descumprimento, pois trata-se de um contrato legal entre ao menos duas partes que destacam materiais ou conhecimentos confidenciais que as partes desejam compartilhar para determinado propósito, mas cujo uso generalizado desejam restringir e que comporta a previsão de cumprimento da LGPD justamente por ser possível que essas informações confidenciais contenham dados pessoais.

Um NDA cria um relacionamento confidencial entre as partes para proteger qualquer tipo de segredo comercial, que podem envolver dados pessoais, o que torna seguro incluir no texto a obrigatoriedade do cumprimento da LGPD.

É recomendável, independente da nova lei, que o funcionário assine sempre um NDA assim que ingressar na empresa, além de tomar ciência e alinhar seu compromisso com o código de ética e de conduta da organização e que estes documentos estejam disponíveis sempre para consulta. É recomendado que nesses instrumentos haja a observação sobre a necessidade de cumprimento da LGPD, intencionado para que o funcionário assuma a responsabilidade na condução de seus negócios e preze pelas informações confidenciais da empresa, dos funcionários e parceiros, ou responsabilizando-se em caso de conduta imprópria.

Um acordo de confidencialidade deve proteger realmente o que agrega valor ao negócio, sendo totalmente aplicável que em seu conteúdo seja feita a proteção de dados pessoais, que são tão elegíveis à proteção quanto as referidas informações confidenciais.


4. Instrumentos da LGPD

Os Termos de Uso e Política de Privacidade são os instrumentos jurídicos que regulamentam a relação entre um software e seus usuários, sendo imprescindível sua publicação dentro destas plataformas. Esses dois documentos podem estar consolidados em um único arquivo/link ou em instrumentos separados e é importante que sejam de fácil e compreensão para garantir que o titular tenha seu consentimento claro quanto à finalidade e destino dos dados pessoais tratados.

As informações contidas nos Termos de Uso devem trazer esclarecimentos quanto ao objetivo do programa e suas funções, bem como informar suas regras de conduta, ou seja, demonstrar como eventuais conflitos serão solucionados, limitar as responsabilidades e definir direitos e deveres tanto do fornecedor quanto do usuário, entre outras questões.

Já a Política de Privacidade trata principalmente de como serão utilizadas as informações inseridas por usuários (dados de cadastro, itens postados, mensagens armazenadas, etc.), ou seja, trata principalmente da privacidade dos dados de usuários e outras informações presentes no banco de dados do software, por exemplo, se estas serão compartilhadas com sites/empresas parceiras ou utilizadas para pesquisas para melhorar o desempenho da plataforma.

Diversos aplicativos e programas necessitam de dados do usuário para funcionar, ou seja, sem informar os dados e dar o consentimento para uso dos dados, o software simplesmente pode não servir a seu propósito. Como garantir a privacidade e proteção dos dados uma vez que o usuário os conceda?

Uma parcela de proteção já havia sido introduzida no Marco Civil da Internet, mas agora a LGPD traz maior rigidez, já que o Brasil busca estar o mais próximo possível das regras de proteção de dados da União Europeia, de onde surgiu a motivação para o trabalho e proteção dos dados.

De acordo com a nova regulamentação da Lei Geral de Proteção de Dados Pessoais, tratamento de dados é toda operação realizada com informações pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração. Ou seja, uma vez que estes dados (pessoais ou formas de identificação, o IP também é uma forma de identificação, vale ressaltar) ou sensíveis (orientação sexual, religião, etc.) a empresa deverá dar a proteção necessária.

Quando houver transferência de dados para local no exterior, a exemplo do servidor dos dados em país estrangeiro, a empresa deverá se certificar que o país onde se encontra este servidor também deve aderir a regramento compatível com a LGPD.

Uma forma de tratar da conformidade com a LGPD com parceiros de negócios é dispor sobre a necessidade de adequação à legislação em um texto contratual, evidenciando assim que, caso haja algum descumprimento, a parte infratora deverá indenizar o parceiro. Segue abaixo um exemplo de cláusula nesse sentido:

Havendo tratamento de dados pessoais, obrigam-se as partes a observar integralmente a legislação vigente sobre a proteção de dados, sobretudo, mas não exclusivamente, a Lei 13.709/2018, respondendo cada qual, na medida de sua culpabilidade, por eventuais penalidades e condenações. 


Quando lidando com termos e condições de uso e coleta de dados, é importante esclarecer quais dados são coletados e a finalidade desta coleta para os serviços/ aplicação, sendo que o usuário deve ter total liberdade para dar ou não seu consentimento. Um exemplo da forma de divulgar essa informação seria:

Nossa empresa coleta, processa, transfere e protege seus dados conforme nossa Política de Privacidade e de acordo com as leis de proteção de dados aplicáveis. Você não é obrigado a nos fornecer informações pessoais e qualquer informação coletada será fornecida com o seu consentimento explícito concedido por meio do aceite neste contrato. Caso você não aceite fornecer seus dados pessoais, algumas funcionalidades dos serviços ou aplicativos poderão ser prejudicadas ou as próprias funcionalidades principais dos serviços poderão ficar impedidas de serem fornecidas.




Por fim, considerando que as empresas portarão dados de seus funcionários, incluindo dados considerados sensíveis, para todos os contratos de trabalho deverão existir autorizações para as empresas portarem os dados pessoais dos funcionários, considerando a integração das áreas de Recursos Humanos e todas as prestadoras que utilizam os dados dos funcionários para prestarem serviços, como os bancos, planos de saúde, empresas de controle de ponto, entre outras. Exemplos de cláusulas nesse sentido:

Considerando a Lei n. 13.709/2018 e inciso XII do Artigo 5º da Constituição Federal, o Empregado ora signatário, autoriza expressamente a coleta dos dados tais como, nome, data de nascimento e/ou idade, sexo, nacionalidade, estado civil, número e cópia dos documentos de identificação profissional, CPF, RG, RNE, PIS, CTPS, habilitações, contrato de trabalho, função/cargo, matrícula, remuneração, local de trabalho, fotografia, dados de familiares e/ou dependentes, endereço de residência, e-mail, telefones para contato e repasse dos dados para a devida execução do Contrato de Trabalho firmado com a empresa ora Contratante perante os Órgãos Públicos, incluindo os Judiciais e Administrativos, Bancos, Seguradoras e Planos de Saúde, Instituições de Ensino e/ou Aprendizados, Empresa de Transporte, Parceiras e Convênio da empresa Contratante no pacote de benefícios, em território nacional e estrangeiro, visando o fiel cumprimento das obrigações de natureza trabalhista, previdenciária, tributária, cível.

Em caso de revogação da autorização e/ou alteração dos dados, o Empregado deverá efetuar a comunicação por escrito, expressamente e informando quais os dados autorizados devem ser excluídos e/ou quais foram alterados.

As partes acordam que, os dados não descritos nas cláusulas acima e fornecidos ao longo do Contrato serão autorizados expressamente através de Termo de Autorização integrando os Termos firmados no presente Contrato, sem necessidade de celebração de aditivo ao Contrato de Trabalho.



Um ponto a considerar é o que aconteceria caso não houvesse o consentimento pelo funcionário para compartilhamento dos seus dados pessoais com a empresa que o contrata. O contrato de trabalho se extinguiria indiretamente? Alguns dos serviços e prestações que o empregador realiza não poderiam ser utilizadas para aquele funcionário em específico? Como seria se, por exemplo, não fosse autorizado o compartilhamento dos dados para a prestadora de folha de pagamento? Ora, se o funcionário for obrigado a consentir a disponibilizar seus dados pessoais sob pena de manter o emprego, esse consentimento não estaria viciado? Estas e outras são situações que precisarão ainda ser pensadas ao decorrer da implementação da LGPD na rotina das empresas.



5. Conclusão

As empresas estão no processo de adequarem suas rotinas, práticas e negócios para estarem em conformidade com os requisitos da nova LGPD. Muitas mudanças estão previstas e levam tempo para serem implementadas, por isso as empresas, independente do porte, devem o quanto antes se adequar à lei. Em caso de descumprimento, as multas podem chegar a 50 milhões de reais (por infração), além dos prejuízos à imagem e reputação de uma empresa noticiada como negligente no tratamento de dados.

O assunto é complexo e ainda existem várias questões que precisam ser esclarecidas. Trata-se de uma nova era para o Brasil, seguindo a tendência mundial relativa à proteção dos dados. As regras são rígidas e as empresas precisarão de organização, pessoal capacitado e comprometimento de toda a cadeia envolvida no fluxo da informação, mesmo com parceiros de negócios, para que haja efetividade nas ações adotadas. Será um processo de adequação não só à lei, mas também à uma cultura de proteção e responsabilidade quanto às informações pessoais. Caberá a toda sociedade o empenho na construção dessa nova realidade. 


Texto obra de estudos pela Comissão de Direito Contratual e Propriedade Intelectual da OAB-Santana

Por

Thiago Nascimento

Juliana Valle

Daniel Rejman

Vinicius Rampazzo

Victor Cerri

 


Cadastre seu e-mail e receba nosso boletim eletrônico:

Facebook