07 de fevereiro de 2020 | 19h55
Atualizado 31 de agosto de 2020 | 14h47
Você recebe em casa uma carta de divulgação de um produto, mas nunca forneceu seu endereço à empresa que o quer como cliente. Provavelmente, ela comprou seus dados de outra marca, a que você forneceu os dados de livre e espontânea vontade. Para proteger dados como esses e evitar que uma empresa possa comprá-los de outra foi criada a Lei Geral de Proteção de Dados Pessoais (LGPD), aprovada em 2018.
A LGPD, que previa vigência a partir de agosto de 2020, quase foi adiada por conta de uma MP (medida provisória), derrubada pelo Senado no dia 26 de agosto. Agora, seguiu para sanção presidencial e ainda restam dúvidas se ela já está em vigor ou se vale a partir da sanção do presidente, que pode ocorrer até meados de setembro.
Com a lei em vigor neste ano, de todo modo, tanto as empresas quanto os consumidores podem se preparar e exigir as medidas de proteção de dados pessoais, pois a parte judicial entre partes privadas existe, explica a advogada e DPO (Data Protection Officer) Gabriela de Ávila Machado.
Muitas dúvidas ainda surgem sobre a LGPD, principalmente sobre como os pequenos negócios devem se adaptar. Para ajudar os empreendedores, separamos as principais dúvidas sobre o tema e, com a ajuda de um consultor do Sebrae-SP, damos dicas sobre como fazer para se adequar à lei federal.
A LGPD é um conjunto de normas com direitos e deveres relacionados aos dados pessoais dos brasileiros. O principal objetivo é proteger a liberdade e a privacidade dos usuários e padronizar o tratamento dos dados utilizados nas empresas.
A lei é aplicável a qualquer atividade que envolva a utilização de dados, tanto por pessoas físicas quanto por pessoas jurídicas. Ou seja, todas as empresas que fazem o uso de dados precisam se adequar. Só estão isentos aqueles que utilizam dados pessoais apenas para fins acadêmicos e/ou artísticos e/ou jornalísticos.
Sim. A lei vale para todos aqueles que lidam com dados, contemplando desde os microempreendedores individuais (MEI) até empresas multinacionais que atuam no território brasileiro.
De maneira geral, todas as empresas precisarão se adequar à lei. Mesmo sem tratar os dados, é necessário explicar aos clientes o motivo pelo qual eles são coletados e garantir o armazenamento seguro, além de outras demandas exemplificadas pela lei. “Quando a empresa está em dúvida quanto ao que implementar ou adequar, é importante ter o acompanhamento de algum profissional especializado na lei para sugerir as adequações necessárias”, explica o consultor do Sebrae-SP Marcio Bertolini.
Ainda que você não possua um banco de dados digital, você trata dados dos clientes, como nome e telefone. Por isso, é importante que exista em seu site um espaço em que os titulares tenham acesso fácil para dar o consentimento dos dados, além de explicar a forma como eles são guardados e protegidos. Por exemplo: se você coleta o nome completo e o CPF para a emissão de nota fiscal, isso precisa estar explícito para os consumidores.
A LGPD contempla todos aqueles que estejam relacionados à identificação de pessoas. Eles podem ser:
O armazenamento varia a cada empresa. Pode ser feito por meio de programas de armazenamento de informações ou softwares mais elaborados.
As informações devem ser direcionadas ao setor que as necessita. O consultor do Sebrae-SP Marcio Bertolini exemplifica a situação: “Uma escola lida com diferentes tipos de dados, como dados pessoais, sensíveis, financeiros. Na linha de colaboradores, se todos tiverem acesso a todas as informações, não há proteção de dados e é possível que sejam vazados. Por isso, é importante identificar os tipos de dados para poder granular o acesso, direcioná-lo a quem precisa”.
Sim, pela lei vale para todas as empresas, e há necessidade de norma complementar para explicar a atuação do DPO. Mas, segundo o consultor do Sebrae-SP Marcio Bertolini, o pequeno negócio, dependendo de sua atividade, poderá dar a função do encarregado a qualquer funcionário que já faça parte do quadro de colaboradores ou até mesmo ao próprio dono, e não necessariamente contratar alguém habilitado como DPO. O mais importante para os pequenos, diz Bertolini, é que com ou sem encarregado formalmente definido eles estabeleçam um plano de readequação à lei.
Art. 5º Para os fins desta Lei, considera-se:
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
O "x" da questão é quais informações a empresa utiliza. Independentemente de seu tamanho, quanto mais dados forem utilizados, maior a necessidade de adequação à LGPD.
A franquia deve seguir a mesma lógica de qualquer outro tipo de negócio. A responsabilidade é de ambos. Ou seja, ambos precisarão se adequar, tanto franqueado (que possui um CNPJ próprio para franquear qualquer marca) quanto o franqueador. “A lei vai prever uma responsabilidade solidária - ou seja, todos respondem no exercício da sua atividade. Existem responsáveis e corresponsáveis”, diz Bertolini.
Será feita pela Autoridade Nacional de Proteção de Dados (ANPD) e todo tipo de tratamento de dados pessoais deverá ser registrado, desde a coleta até uma possível exclusão. Deve-se registrar:
A lei prevê punições que variam de acordo com os casos, mas segue parâmetros como: a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a reincidência; o grau do dano e a cooperação do infrator, além de considerar a implantação de boas práticas e governança.
De acordo com a gravidade da falta e a intensidade da sanção, as penalidades podem ser:
Para os pequenos empreendedores que ainda não se adequaram à LGPD, seguem orientações de Marcio Bertolini, consultor do Sebrae-SP, em 6 passos:
Tem alguma dúvida sobre como se adequar à LGPD? Escreva para o PME.
* Estagiária sob a supervisão da editora do Estadão PME, Ana Paula Boni
Encontrou algum erro? Entre em contato
Os comentários são exclusivos para assinantes do Estadão.