LGPD abrange de grandes a pequenas empresas, além de startups, e merece atenção

Alex de Souza e Solange Sólon Borges, Agência Indusnet Fiesp

A Fiesp realizou nesta quarta-feira (2/12), a primeira etapa de um evento dedicado à Lei Geral de Proteção de Dados (LGPD). A programação terá mais um dia de atividades (3/12) e vários debates e com foco em questões relevantes da Lei. Também foi apresentado o curso gratuito sobre a LGPD na modalidade de ensino a distância (EAD), cujo objetivo é disseminar conhecimento sobre a proteção de dados pessoais e privacidade.

Confira neste link a programação de amanhã, 3/12.

Não se trata de discussão nova. Toda a sociedade debate o tema desde 2010, que culminou com a aprovação da Lei em 2018. De acordo com o diretor do Departamento de Defesa e Segurança (Deseg) da Fiesp, Rony Vainzof, o evento foi pensado de forma estratégica e conjunta: “Nesses dois dias serão abordados os conceitos de adequação da Lei, as etapas de sua implementação, questões trabalhistas e outros assuntos correlatos. Nossa legislação não está inventando a roda. Tínhamos várias leis setoriais, mas agora temos um mapa a ser seguido e com mais segurança jurídica para as empresas, o que é relevante para o ambiente de negócios”, contextualizou Vainzof, que coordena o Grupo de Trabalho de Segurança e Defesa Cibernética do Deseg.

Ele ainda acrescentou que embora a Lei tenha entrado em vigor em setembro deste ano, as sanções administrativas serão válidas apenas em agosto de 2021. “Trata-se de um avanço importantíssimo, e agora temos uma Lei relevante para o Brasil, há muito tempo aguardada. A Fiesp tem papel importante em relação à segurança jurídica da Lei, pois sempre mostrou preocupação com o tema”, completou o expositor da Oficina.

Senai-SP lança curso gratuito on-line sobre LGPD de 4h e certificação

E, por meio do Senai-SP, um dos braços educacionais da indústria paulista, um curso foi estruturado para disseminar as informações mais relevantes sobre a LGPD. “Em princípio seria um curso para atender apenas o público relacionado à indústria, mas, por iniciativa do presidente Paulo Skaf, esse conteúdo será ofertado gratuitamente para toda a sociedade”, anunciou durante a abertura do evento o diretor regional do Senai-SP, Ricardo Terra.

Terra apresentou os principais aspectos do curso, com duração de quatro horas, privilegiando as informações relevantes sobre a LGPD. “Em apenas três dias, mais de 3.500 pessoas já concluíram o programa, que tem vídeos e outros conteúdos interativos, em formato EAD, acessível de qualquer lugar e com certificação no final do Curso”.

Saiba mais sobre o curso neste link!

A aplicação da LGPD e a abrangência do conceito de dado pessoal versus dado pessoal sensível foi abordado por Coriolano Aurélio de Almeida Camargo Santos, diretor-titular adjunto do Departamento Jurídico (Dejur) da Fiesp. Para o expositor, temos diversos tipos de microdados – em celulares e e-mails – e dados sensíveis a serem considerados, tais como matrícula de alunos, prontuários médicos, que envolvem o princípio de direito à honra, à privacidade e deve estar em consonância com a Lei.

“As empresas vão precisar de manuais técnicos para se adequar; e esses dados às vezes interessam à segurança pública”, afirmou Santos, reforçando que não existe um sistema 100% seguro, mas frisou algumas especificidades, como os documentos jurídicos das empresas, que permanecem em regramento anterior, e os dados bancários que contam com legislação própria. Ele também conceituou o dado como qualquer tipo ou registro que permita identificar alguma característica de uma entidade ou evento; a informação que é o significado que um conjunto de dados tem para alguém; e o conhecimento, que vai além da informação, pois ele além de ter um significado tem uma aplicação.

Em termos de conceitos e definições, Camargo Santos lembrou que o Art. 5º traz em seu inciso que titular é a pessoa natural (do nascimento à morte) a quem se referem os dados pessoais que são objeto de tratamento e dados pessoais a informação relacionada à pessoa natural identificada ou identificável. Nesse aspecto, identificação direta reúne nome completo, CPF, RG, CNH, foto, biometria, número do passaporte, DNA. Já a informaçao indireta necessita de dados adicionais, tais como endereço IP, placa de veículo, cookies, geolocalização etc.

Se por um lado os dados pessoais configuram identificação, é preciso ter cuidado com a discriminação de dados sensíveis (opção sexual, convicções religiosas, filosóficas ou políticas, dados genéticos).

O passo a passo da LGPD

Rony Vainzof, diretor do Departamento de Defesa e Segurança (Deseg) da Fiesp e coordenador do Grupo de Trabalho de Segurança e Defesa Cibernética do Deseg, ressaltou a importância da segurança jurídica e da informação que necessitam de harmonização e atualização de conceitos. Para ele, a LGPD não impede o tratamento de dados pessoais. Na verdade, é um mapa a ser seguido, a guiar as organizações quanto ao uso ético, responsável e seguro dos dados.

Vainzof explicou que, pelo fato de centenas de países terem legislações correlatas, vislumbra a possibilidade de desburocratização do fluxo internacional de dados, além de maior possibilidade de investimentos no exterior. Outro efeito esperado é o cultural, com maior conscientização da sociedade quanto à privacidade e proteção de dados: “Quem é titular dos dados precisa ter controle sobre eles”, alertou, observando ainda o efeito ‘viral’ da Lei, ou seja, uma empresa cobrando outra quanto à sua adequação, e quem não estiver em consonância com a LGPD estará fora do mercado.

Entre os dez passos apresentados, o primeiro deles é perguntar-se quais os tipos de tratamento de dados que há em sua empresa, em quais áreas, com quais finalidades e quais os riscos existentes. O passo seguinte é confirmar se há fundamento legal para cada uma das atividades de tratamento de dados pessoais do seu negócio e compreender quem é o controlador, o operador e o co-controlador de tais informações.

Os dados fornecidos podem ser condicionantes da execução de um serviço – como informações de cartão bancário e endereço para entrega – quando se trata de e-comerce por exemplo, ou B2B, conforme exemplificou o participante. Quanto aos hospitais há dados sensíveis, mas existe base legal para tutela da saúde, pois se uma pessoa sofre um acidente, são necessários os dados para salvar-lhe a vida. Vainzof também citou outra situação, quando se pode guardar os dados para o exercício legal do direito, defender-se em um processo, de um cliente. Portanto, há várias bases legais previstas na LGPD, segundo enfatizou, mas o fundamental sempre é, para cada atividade, avaliar o tripé finalidade, adequação, necessidade [de se manter ou não os dados].

Outro passo se trata de estabelecer confiança com o titular dos dados e priorizar a transparência, evitando-se aqueles contratos com textos longos, que todos concordam mas ninguém lê, utilizar-se de algo mais simples e visual, aconselhou, tal como “não li e concordo” e “entendo, logo concordo”. Outro passo também essencial é a garantia dos direitos dos titulares de dados, que não podem ser excluídos se houver uma previsão legal, mas isso precisa estar claro no portal das organizações.

Não menos importante é “a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, desde a fase de concepção do produto ou do serviço até a sua execução, ou seja, o circuito completo”, afirmou Vainzof.

Assim, é preciso estabelecer regras de governança (normas internas, tecnologia e educação) e atuar de forma preventiva (privacy by design), além de se lembrar, como décimo passo, que não existe blindagem 100% segura, mas “quanto maior a diligência, menor o risco”, observou. Por isso, deve-se demonstrar a adoção de medidas eficazes e capazes de comprovar a observância da LGPD e da sua eficácia. “Estamos vivenciando um novo compliance”, concluiu Vainzof.

LGPD no âmbito empresarial

A LGPD também impacta as empresas e seus departamentos de Recursos humanos, há implicações trabalhistas, observou Luciana Nunes Freire, diretora-executiva Jurídica da Fiesp. O empregado é titular dos dados em razão do contrato de trabalho e o empregador assume o papel de controlador destes dados; o operador se dá na figura de um setor do empregador, o RH, a controladoria, o serviço médico, por exemplo.

Na fase pré-contratual, quando se recebe o currículo de um pretendente a uma vaga de trabalho, é necessário o consentimento expresso do candidato para a coleta e o uso dos dados com prazo determinado para seu posterior descarte. Nessa fase não se podem coletar dados que gerem discriminações, com exceção do que é previsto na CLT (exame toxicológico para motorista profissional é atestado de antecedentes criminais para vigilantes).

Quando contratado, o empregado precisa ter conhecimento da política de tratamento de dados da empresa e dar seu consentimento expresso em um documento, atendendo aos princípios de finalidade, transparência e segurança com as informações, sobre o uso compartilhado de dados pelo empregador (planos de saúde, vale refeição, seguro de vida, convênio com farmácia, etc.). Para os contratos em vigor, é necessária a celebração de um aditivo contratual.

Luciana Freire faz um alerta sobre dados considerados essenciais, como estado civil do funcionário – para inclusão ou exclusão de dependente no plano de convênio médico, por exemplo – e a biometria para a marcação de ponto, além do cumprimento de cota que incluirá informações relacionadas à deficiência do candidato.

No ato de desligamento do funcionário, a LGPD também deverá ser observada. A regra é que os dados sejam eliminados, exceto os que têm amparo legal e dever de guarda para defesa em ações trabalhistas. Outra observação diz respeito ao cumprimento de obrigações legais, como o e-Social, por exemplo, Caged e Previdência Social, livres do consentimento do empregados, bem como a biometria para registro de jornada de trabalho.
Há outras questões práticas a serem consideradas também, no âmbito empresarial, como a vigilância de empregados (e-mail, redes sociais, geolocalização e dispositivos), bem como informações de cargos e salários e políticas de remuneração e, se os dados forem tratados de forma anonimizada, ou seja, não relacionada aos nomes dos profissionais, não são considerados como dados sensíveis, conforme explicou a expositora, e igualmente pediu atenção quanto à política de teletrabalho e proteção de dados da empresa.

Luciana Freire fez as seguintes reflexões, em sua conclusão: quais são os dados que hoje são armazenados e que legalmente devem ser mantidos, quais os dados imprescindíveis ao desenvolvimento da atividade laborativa; por quanto tempo preciso proteger os dados armazenados e como serão descartados? Quais os dados que pretendo manter e dependem de autorização do colaborador? Para a diretora-executiva jurídica da Fiesp, os colaboradores deverão receber treinamento quanto ao valor e importância destes dados.

Orientação às PMEs é fundamental: educar para prevenir

Ciro Furtado Bueno Teixeira, diretor-titular adjunto do Departamento da Micro, Pequena, Média Indústria e Acelera Fiesp, avaliou o cenário da LGPD para as pequenas, médias empresas e startups, e aconselhou que elas se adequem à nova Lei para manter sua competitividade futura, inclusive com inserção no cenário global, compreendendo a facilidade existente para muitos empreendedores que são nativos digitais. As sanções começarão a ser aplicadas somente em agosto de 2021, ou seja, há tempo para a adaptação.

Pesquisas apontam que o número de micro e pequenas empresas (MPEs) despreparadas para atender à LGPD permanece alto e a maioria não deu início ao mapeamento de dados sensíveis, uma das exigências previstas em Lei, e estão mais atrasadas quanto à adequação tecnológica em comparação com as de maior porte. Também não mapearam suas bases legais e não capacitaram seus colaboradores em relação às novas regras.

De acordo com Teixeira, muitas empresas têm priorizado a sobrevivência de seu negócio em meio à inesperada pandemia de Covid-19, o que causa atraso na devida adequação.

O diretor, no entanto, fez um alerta à Autoridade Nacional de Proteção de Dados (ANPD) para que se criem mecanismos simplificados e diferenciados para as micro, pequenas e startups, pois as MPEs representam mais de 90% de toda as empresas, empregam mais de 50% dos trabalhadores com carteira assinada e compõem mais de 25% de todo o PIB brasileiro. “Apesar dessa importância, geralmente são frágeis e pouco capitalizadas”, afirmou, e, se estiverem em desconformidade, poderá incidir sobre elas multa equivalente a até 2% do faturamento bruto para cada ato de infração, “um valor exorbitante”, considerou.

“Não dá para tratar da mesma forma uma empresa grande e uma startup. É preciso ter sensibilidade. O impacto reputacional nas pequenas, com a publicização da infração, pode ser letal. “A lei é positiva para o ambiente de negócios e sua transparência, mas não deve criar exigências desproporcionais para as MPEs e startups devido à importância têm para a economia. Por isso, pede o tratamento simplificado, abrigado pela Constituição e pelo Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte (Lei Complementar n. 123/2006). Assim, espera-se prudência das  autoridades ao regular o artigo 45 da LGPD e a palavra-chave é cautela, concluiu para Ciro Furtado Bueno Teixeira, “orientar preventivamente, fiscalizar, prevenir, e só depois penalizar”, finalizou.

Saiba mais sobre a LGPD – Sancionada em 2018, a eficácia da Lei Geral de Proteção de Dados Pessoais (LGPD) é importante marco legal para o futuro da economia digital brasileira. As organizações, públicas e privadas devem estar atentas às novas regras que visam ao tratamento ético, responsável e seguro dos dados pessoais.

A Fiesp e o Ciesp, para auxiliar e dirimir dúvidas, elaboraram uma Cartilha sobre LGPD. Faça o download neste link!