PERGUNTAS E RESPOSTAS SOBRE LGPD, POR RAPHAEL DI TOMMASO

Quando entrou em vigor e de que forma as empresas devem se adequar?

A LGPD está valendo desde 18 de setembro e, a partir dessa data, as empresas já deveriam estar adequadas. Dentre as exigências que a lei traz, a mais fácil de atender é nomear um encarregado de proteção de dados, que é a pessoa que vai fazer a ponte entre a empresa, a autoridade nacional e o titular de dados (consumidor), e divulgar uma forma de contato com ele no site da empresa. A lei não exige conhecimento específico, pode ser qualquer pessoa da equipe, especialmente agora, no meio da pandemia, em que sabemos que contratar uma pessoa só para isso pode ser complicado. Pode ser, por exemplo, alguém do RH, em uma empresa que tenha muitos funcionários, do comercial, em uma empresa que coleta muitos leads, ou mesmo alguém que está com mais disponibilidade de tempo. É interessante que seja alguém que conheça a dinâmica da empresa e que se disponha a aprender mais sobre a lei.

Para a nossa prática do dia a dia, como o comerciante que quer divulgar uma promoção deve proceder a partir de agora e riscos?

A lei não proíbe o tratamento de dados, mas traz exigências para isso. É importante ter um fundamento para fazer os tratamentos de dados, que deve ser avaliado conforme o caso. Sabemos que, muitas vezes, as pessoas que estão nessas bases de dados não deram consentimento para o envio de promoções, então precisamos usar uma outra base legal para isso. Uma possibilidade é o legítimo interesse, que pode fundamentar tratamentos com a finalidade de promoção das atividades da empresa. No caso de um cliente que já fez uma compra anterior ou assinou uma Newsletter, penso que o legítimo interesse é uma base apropriada. No caso específico do e-mail marketing, penso que o maior risco seria a aplicação de uma multa, caso se tratasse de um envio abusivo, mas as multas da LGPD só podem ser aplicadas a partir de 1º de agosto de 2021. O risco de uma ação judicial, nesse caso, é baixo, e não acho que o envio de um e-mail promocional possa gerar dano moral e muito menos material. O processo de adequação à LGPD sempre vai passar por escolhas e, muitas vezes, a empresa vai ter que aceitar correr riscos. Esse é um que acho que vale a pena correr, especialmente considerando a importância da Black Friday e do Natal para o setor.

O que é um dado pessoal sensível?

Dado pessoal é qualquer informação vinculada a uma pessoa física identificada ou identificável. Informações sobre comportamento de consumo, histórico de compras, CPF e endereço são exemplos de dados pessoais. Já os dados pessoais sensíveis são aqueles que se referem a saúde, religião, opção sexual, orientação política, dados biométricos ou genéticos e merecem preocupação especial em razão das restrições que a lei traz. Uma dica que eu sempre dou é pensar para que eu preciso desses dados. Se não tenho uso, o ideal é não coletar. É importante o comerciante começar a se perguntar pra que usa o dado e se precisa realmente usar, porque hoje há cultura de guardar tudo.

Tratamento de dados, o que é?

Tudo o que é feito com dado pessoal é tratamento de dado. Desde a simples coleta, quando registramos o nome e o CPF para emissão da nota fiscal. Isso não quer dizer que eu não possa fazer isso, até porque, em muitos casos, a empresa é obrigada por lei a fazer esses tratamentos. E é muito importante nos assegurarmos que os tratamentos de dados que realizamos estão de acordo com a lei. Algo que ajuda bastante é nos perguntarmos: eu gostaria que fizessem isso com meus dados pessoais? Se a resposta for não, é possível que algo esteja errado. Creio que a palavra-chave dessa lei é bom-senso.

A Lei protege dados de PJ?

Não, é voltada para Pessoas Físicas. Pode haver casos pontuais que a gente precise observar, mas não quanto aos dados específicos da empresa, mas de pessoas físicas relacionadas a um contrato, como sócios e testemunhas, por exemplo.

De que forma e qual o planejamento em relação aos birôs de crédito?

Uma das bases legais para o tratamento de dados é a proteção do crédito. Pode fazer a consulta sem problemas, até porque, em regra, são bancos públicos. Esses cadastros são autorizados, incluindo o cadastro positivo. São permitidas as consultas.

Quais hipóteses em que a lei não se aplica?

Do ponto de vista do comerciante, o único caso é se os dados estiverem anonimizados, usando de forma estatística. Pode tratar os dados, mas sempre observando a lei.

Dados antigos, o que fazer?

A lei prevê a possibilidade de uma adequação progressiva, mas é um ponto que pode ser questionado. Aí eu volto à pergunta: se eu não uso, por que guardar esses dados? Qual a probabilidade de ter um problema com esses dados e o impacto disso para minha empresa? Preciso ter esse banco de dados? Uma maneira de reduzir o prejuízo em caso de um incidente é eliminar os dados que não estão sendo usados. Mas devemos ter cuidado para não eliminar os dados que precisamos manter. Às vezes, há obrigação legal para guardar, especialmente de funcionários ou dados fiscais. Precisamos sempre entender qual a finalidade daqueles dados e por qual razão eu devo ou não devo mantê-los.

Uma loja consegue se adequar à lei ou precisa de um suporte para isso?

A lei é nova, se adequar sozinho é arriscado. Mesmo advogados especializados que estudam o assunto há anos ainda têm dúvidas, até porque muitas coisas dependem de regulamentação. Se quem lida com o tema todos os dias tem dúvidas, imagina o lojista. Mas, para quem quer pelo menos começar, recomendo nomear o encarregado, identificar os dados que a empresa trata e começar a desenhar o fluxo desses dados na empresa. Entender o caminho que os dados fazem dentro da empresa e por que são utilizados é um bom ponto de partida.

Cadastro de cliente pode ser repassado?

Não recomendo, porque tem grande chance de ser considerado uso indevido de dados. Dependendo do motivo, pode gerar problema no futuro. Na dúvida, não ultrapasse, porque é um tratamento irregular se não houver consentimento ou alguma outra base legal que justifique.

A quais outras questões o lojista deve ficar atento?

Um problema comum é o armazenamento de currículos, que é um enorme pepino, até porque não há consenso sobre a base legal para esse tratamento. Outra dica importante é evitar usar o consentimento como base legal nos contratos de trabalho, porque dificilmente vai ser considerado livre e, se não for livre, não será válido.

O tratamento de dados coletados na internet é um problema?

Atualmente, esse é o maior motivo para existir essa lei. Temos casos famosos em que foi feito tratamento abusivo de dados pessoais na internet. Um deles foi o caso Facebook-Cambridge Analytica, em que foi feita a coleta e o uso irregular dos dados de mais de 80 milhões de pessoas. Por isso precisamos tomar cuidado com os termos de uso que aceitamos sem ler no acesso aos aplicativos. Um dos primeiros alvos da lei vai provavelmente vai ser o setor de publicidade online.

Quais os primeiros passos para a adequação?

Definir o responsável da empresa, divulgar a forma de contato dessa pessoa, identificar os dados que a empresa coleta, o que faz com eles e onde estão armazenados. Também é importante identificar as bases legais para esses tratamentos. Outra coisa essencial é atualizar os contratos de trabalho, fazer aditivos nos contratos que já existem, formalizar contratos com fornecedores que lidam com dados de clientes da empresa e tomar cuidado com todos os processos internos da empresa que envolvem tratamento de dados. E, como eu disse antes, bom-senso é a palavra-chave da lei.

Compartilhar em
Share on facebook
Share on twitter
Share on linkedin
Share on print
Share on email

Conteúdos anteriores

Open chat