A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 18 de setembro de 2020. Contudo, suas multas e sanções começam a ser aplicadas em 1º de agosto deste ano. Assim, ainda dá tempo para que os pequenos negócios que ainda não estão regularizados se adequem, evitando sanções ou conflitos tanto com clientes quanto com fornecedores.
“A multa é só uma das sanções. O que temos visto é que o maior prejuízo das empresas nem sempre é o financeiro e sim o dano reputacional. Se alguém fala que os dados vazaram a partir de sistema X e empresa Y, normalmente os outros clientes vão embora, porque não vão querer estar em um lugar inseguro ou que não cuida de seus dados”, diz Adriano Mendes, advogado, especialista em Direito digital e Empresarial e DPO (Data Protection Officer).
Uma das grandes dúvidas que pairavam sobre a legislação era com relação à Autoridade Nacional de Proteção de Dados (ANPD), que não estava formada até outubro do ano passado, quando o Senado aprovou os nomes indicados pelo governo para compor a primeira diretoria.
O mandato dos integrantes tem duração de quatro anos, mas, nessa primeira composição, os diretores terão mandatos variáveis, de dois a seis anos. O cargo de diretor-presidente é ocupado por Waldemar Gonçalves Ortunho Junior, engenheiro eletrônico graduado pelo Instituto Militar de Engenharia e ex-presidente da Telecomunicações Brasileiras (Telebras).
“A gente ainda não tem a nomeação dos 23 membros do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), que são pessoas indicadas pela sociedade e por setores da economia, que precisam ser ratificadas por Bolsonaro. A lista com esses nomes já foi enviada ao presidente, mas ele ainda não disse quem quer que faça parte desse conselho”, explica Adriano.
O advogado acredita que a vigência da legislação antes da ANPD estar montada e a regulamentação ter sido feita é prejudicial. “A gente começa devendo. Temos que cumprir uma lei, com alguns princípios, mas não sabemos como cumprir cada um deles. A ANPD vai ter um papel fundamental de dizer como interpretar cada um dos pontos da lei e o que pode ou não pode fazer. Enquanto não tivermos todas as definições existe uma grande insegurança jurídica, porque eu não sei como atender aos direitos dos titulares, não sei quanto investir nesse assunto. Um dos problemas que a gente vive é que temos uma lei que já está efetiva e que a partir de agosto vai poder começar a ter multas, mas não tenho o regulamento das multas (não sei o critério) e não sei como cumprir a lei nos demais pontos”.
Mesmo com todas essas questões acerca da LGPD, existem pontos básicos que os empreendedores precisam seguir e estar adequados, independente da ANPD ou do CNPD.
Confira abaixo as respostas do advogado Adriano Mendes:
Se eu ainda não fiz nada, dá tempo? Como posso começar?
Quanto antes, melhor. Já deveria ter começado, mas dá tempo. Você precisa começar sabendo quais dados você coleta e quais dados você deveria coletar, para o que você usa o que coleta, como você se relaciona com a pessoa física (titular de dados) e por quanto tempo você vai guardar essa informação.
Com base nessas respostas que você mesmo vai gerar, você vai ter uma noção melhor de quais tipos de informações você tem na sua operação e vai saber a seriedade e a criticidade do que fazer com isso.
PME’s, EPP’s e Microempresas podem receber multa de até 50 milhões de reais?
Não. Todas as empresas, inclusive as microempresas e pessoas físicas, podem receber multas baseadas no seu faturamento. A LGPD fala que a multa, que é o último grau de sanção, vai ser de 2% do faturamento do grupo econômico no ano anterior, limitado aos R$ 50 milhões. Então, uma PME que fatura R$ 1milhão por ano, vai poder pagar uma multa de R$ 20 mil reais no máximo.
A multa é só uma das sanções. O que temos visto nessa área de privacidade é que o maior prejuízo das empresas nem sempre é o financeiro e sim o dano reputacional.
O que são essas sanções administrativas que vão começar a valer em agosto?
Tem uma série de sanções previstas no artigo 52 da LGPD, que vão desde advertência até a suspensão e bloqueio do banco de dados – e em último caso a multa do faturamento.
Preciso de um advogado para escrever as políticas do meu site?
Não, mas é recomendado. Se você não tiver um especialista olhando para isso, você pode fazer termos de uso e políticas de privacidade que não cumpram a lei ou que sejam mais burocráticos que o necessário.
A visão de um especialista ajuda a não burocratizar o seu negócio e a não criar situações que vão ser problemáticas no futuro. A pior coisa que você pode fazer é copiar os termos de uso de outra empresa, porque se você não tiver exatamente o mesmo modelo de tratamento de dados pessoais daquele negócio, talvez você esteja se obrigando a seguir regras que não sejam para o seu tamanho ou deixando de fazer coisas que poderia fazer com os dados se tivesse tido essa visão técnica.
Devemos proteger tanto os dados físicos como virtuais? Como podemos fazer isso com relação aos dados físicos?
A LGPD é uma norma geral que fala da proteção de dados pessoais e não só para dados que estão num banco de dados ou só para questões no território físico. Você precisa demonstrar que tem procedimentos para coleta, acesso, manutenção e descarte de dados tanto daqueles que estão nativamente no digital quanto um dado que foi recebido fisicamente.
Por exemplo: eu recebi um currículo impresso. O que eu vou fazer com esse currículo? São documentos físicos que eu preciso dizer que depois de processados e armazenados, vão para uma sala específica e ficam numa gaveta trancada. Isso, para LGPD, já basta.
Você precisa evitar situações que já aconteceram como uma empresa que queria ser ecofriendly e começou a usar currículos que recebia para embalar produtos de clientes e, com isso, estava cometendo infrações da LGPD também.
Eu já conheço a LGPD, mas tenho uma dúvida com relação ao meu sistema. É um sistema online para prestadores de serviços, onde eles pagam uma mensalidade e podem utilizá-lo. Esse empreendedor coloca a informação do cliente dele, dentro de um documento (que gera uma URL online pública, mas que não é indexada). O fato dele ter essa informação do cliente dele, eu como criador do sistema, tenho que me proteger em alguma esfera? Preciso notificar esse cliente do meu cliente?
O primeiro ponto é que vale a pena fazer uma revisão de todo o negócio para checar se não existem outros pontos que precisam de análise. Nessa pergunta e explicação, você seria o controlador (você quem decide o que fazer com os dados pessoais) e esse sistema escolhido é o operador (fornecedor de uma tecnologia escolhida por você para fazer uma primeira função e ter relação com seus clientes).
O operador só pode fazer aquilo que o controlador pedir. Ou seja, seu fornecedor só pode usar os dados da maneira que você determinar e pedir. Ele não vai poder aproveitar os dados da base para outra finalidade qualquer.
Tanto você quanto o fornecedor precisam garantir que o sistema de internet e a maneira de trabalhar com a legislação prevejam as questões de segurança desde o momento da concepção. Então, será que essa URL realmente fica segura? O sistema está bom o suficiente para estar na internet?
Se a resposta for sim, ótimo! Mas talvez tenha que fazer uma análise, porque se der um problema ou vazar, você não vai poder dizer que a culpa foi só do fornecedor, você também será responsabilizado.
“A multa é só uma das sanções. O que temos visto é que o maior prejuízo das empresas nem sempre é o financeiro e sim o dano reputacional. Se alguém fala que os dados vazaram a partir de sistema X e empresa Y, normalmente os outros clientes vão embora, porque não vão querer estar em um lugar inseguro ou que não cuida de seus dados”, diz Adriano Mendes, advogado, especialista em Direito digital e Empresarial e DPO (Data Protection Officer).
Uma das grandes dúvidas que pairavam sobre a legislação era com relação à Autoridade Nacional de Proteção de Dados (ANPD), que não estava formada até outubro do ano passado, quando o Senado aprovou os nomes indicados pelo governo para compor a primeira diretoria.
O mandato dos integrantes tem duração de quatro anos, mas, nessa primeira composição, os diretores terão mandatos variáveis, de dois a seis anos. O cargo de diretor-presidente é ocupado por Waldemar Gonçalves Ortunho Junior, engenheiro eletrônico graduado pelo Instituto Militar de Engenharia e ex-presidente da Telecomunicações Brasileiras (Telebras).
“A gente ainda não tem a nomeação dos 23 membros do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), que são pessoas indicadas pela sociedade e por setores da economia, que precisam ser ratificadas por Bolsonaro. A lista com esses nomes já foi enviada ao presidente, mas ele ainda não disse quem quer que faça parte desse conselho”, explica Adriano.
O advogado acredita que a vigência da legislação antes da ANPD estar montada e a regulamentação ter sido feita é prejudicial. “A gente começa devendo. Temos que cumprir uma lei, com alguns princípios, mas não sabemos como cumprir cada um deles. A ANPD vai ter um papel fundamental de dizer como interpretar cada um dos pontos da lei e o que pode ou não pode fazer. Enquanto não tivermos todas as definições existe uma grande insegurança jurídica, porque eu não sei como atender aos direitos dos titulares, não sei quanto investir nesse assunto. Um dos problemas que a gente vive é que temos uma lei que já está efetiva e que a partir de agosto vai poder começar a ter multas, mas não tenho o regulamento das multas (não sei o critério) e não sei como cumprir a lei nos demais pontos”.
Mesmo com todas essas questões acerca da LGPD, existem pontos básicos que os empreendedores precisam seguir e estar adequados, independente da ANPD ou do CNPD.
Confira abaixo as respostas do advogado Adriano Mendes:
Se eu ainda não fiz nada, dá tempo? Como posso começar?
Quanto antes, melhor. Já deveria ter começado, mas dá tempo. Você precisa começar sabendo quais dados você coleta e quais dados você deveria coletar, para o que você usa o que coleta, como você se relaciona com a pessoa física (titular de dados) e por quanto tempo você vai guardar essa informação.
Com base nessas respostas que você mesmo vai gerar, você vai ter uma noção melhor de quais tipos de informações você tem na sua operação e vai saber a seriedade e a criticidade do que fazer com isso.
PME’s, EPP’s e Microempresas podem receber multa de até 50 milhões de reais?
Não. Todas as empresas, inclusive as microempresas e pessoas físicas, podem receber multas baseadas no seu faturamento. A LGPD fala que a multa, que é o último grau de sanção, vai ser de 2% do faturamento do grupo econômico no ano anterior, limitado aos R$ 50 milhões. Então, uma PME que fatura R$ 1milhão por ano, vai poder pagar uma multa de R$ 20 mil reais no máximo.
A multa é só uma das sanções. O que temos visto nessa área de privacidade é que o maior prejuízo das empresas nem sempre é o financeiro e sim o dano reputacional.
O que são essas sanções administrativas que vão começar a valer em agosto?
Tem uma série de sanções previstas no artigo 52 da LGPD, que vão desde advertência até a suspensão e bloqueio do banco de dados – e em último caso a multa do faturamento.
Preciso de um advogado para escrever as políticas do meu site?
Não, mas é recomendado. Se você não tiver um especialista olhando para isso, você pode fazer termos de uso e políticas de privacidade que não cumpram a lei ou que sejam mais burocráticos que o necessário.
A visão de um especialista ajuda a não burocratizar o seu negócio e a não criar situações que vão ser problemáticas no futuro. A pior coisa que você pode fazer é copiar os termos de uso de outra empresa, porque se você não tiver exatamente o mesmo modelo de tratamento de dados pessoais daquele negócio, talvez você esteja se obrigando a seguir regras que não sejam para o seu tamanho ou deixando de fazer coisas que poderia fazer com os dados se tivesse tido essa visão técnica.
Devemos proteger tanto os dados físicos como virtuais? Como podemos fazer isso com relação aos dados físicos?
A LGPD é uma norma geral que fala da proteção de dados pessoais e não só para dados que estão num banco de dados ou só para questões no território físico. Você precisa demonstrar que tem procedimentos para coleta, acesso, manutenção e descarte de dados tanto daqueles que estão nativamente no digital quanto um dado que foi recebido fisicamente.
Por exemplo: eu recebi um currículo impresso. O que eu vou fazer com esse currículo? São documentos físicos que eu preciso dizer que depois de processados e armazenados, vão para uma sala específica e ficam numa gaveta trancada. Isso, para LGPD, já basta.
Você precisa evitar situações que já aconteceram como uma empresa que queria ser ecofriendly e começou a usar currículos que recebia para embalar produtos de clientes e, com isso, estava cometendo infrações da LGPD também.
Eu já conheço a LGPD, mas tenho uma dúvida com relação ao meu sistema. É um sistema online para prestadores de serviços, onde eles pagam uma mensalidade e podem utilizá-lo. Esse empreendedor coloca a informação do cliente dele, dentro de um documento (que gera uma URL online pública, mas que não é indexada). O fato dele ter essa informação do cliente dele, eu como criador do sistema, tenho que me proteger em alguma esfera? Preciso notificar esse cliente do meu cliente?
O primeiro ponto é que vale a pena fazer uma revisão de todo o negócio para checar se não existem outros pontos que precisam de análise. Nessa pergunta e explicação, você seria o controlador (você quem decide o que fazer com os dados pessoais) e esse sistema escolhido é o operador (fornecedor de uma tecnologia escolhida por você para fazer uma primeira função e ter relação com seus clientes).
O operador só pode fazer aquilo que o controlador pedir. Ou seja, seu fornecedor só pode usar os dados da maneira que você determinar e pedir. Ele não vai poder aproveitar os dados da base para outra finalidade qualquer.
Tanto você quanto o fornecedor precisam garantir que o sistema de internet e a maneira de trabalhar com a legislação prevejam as questões de segurança desde o momento da concepção. Então, será que essa URL realmente fica segura? O sistema está bom o suficiente para estar na internet?
Se a resposta for sim, ótimo! Mas talvez tenha que fazer uma análise, porque se der um problema ou vazar, você não vai poder dizer que a culpa foi só do fornecedor, você também será responsabilizado.
Comentários estão fechados.