Empresas de todos os portes e segmentos são obrigadas a cumprir uma série de regras relativas às informações de clientes e fornecedores

A partir deste mês, a Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709, de 14/08/2018 – que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, sobretudo no ambiente digital, começa a aplicar multas e sanções em todo o Brasil. O objetivo é proteger os direitos fundamentais de liberdade e privacidade dos cidadãos brasileiros. 

Com a implementação da lei, empresas de todos os portes e segmentos são obrigadas a cumprir uma série de regras relativas às informações de clientes e fornecedores, bem como a ter documentos rastreáveis e auditáveis que comprovem a correta adesão à lei. As organizações empresariais poderão ser multadas de 2% do seu faturamento bruto até R$ 50 milhões por infração. Além das multas, as atividades irregulares ou vazamentos de dados poderão ser divulgados na imprensa e até mesmo ter a atividade corporativa interrompida até a total adequação. 

De acordo com a advogada especialista em direito empresarial e LGPD, Isabelle Martins, a lei entrou em vigor em agosto do ano passado e não teve a devida atenção por conta da pandemia. Agora, com o início da aplicação das multas e sanções as empresas que ainda não se adequaram às regras da lei precisam se ajustar. 

A LGPD abrange as organizações empresariais de toda natureza e tamanho. Qualquer empresa que captura os dados dos clientes (nome, telefone, e-mail, CPF, entre outros) e utiliza essas informações, por exemplo, para ações de publicidade, como envio de promoções pelo WhatsApp, precisam passar por um Programa de Adequação. “Em muitos casos, como consultórios, clínicas de estética, salões de beleza ou profissionais liberais, as informações dos clientes ficam registradas num celular. E se esse aparelho for roubado, quem vai ter acesso a ele e consequentemente aos dados dos clientes?”, aponta Isabelle. 

Segundo a advogada, o Programa de Adequação vai além da Política de Privacidade. “É feita uma série de análises em cada empresa: quais dados dos clientes são capturados, onde são armazenados, com quem são compartilhados e por quanto tempo ficam armazenados. As análises são cruzadas com a lei e justificadas pelas bases legais da legislação. Em seguida, são produzidos documentos que comprovam que a empresa já pensou naquele tratamento de dados que ela pratica, de acordo com a LGPD. 

No final do Programa de Adequação, é elaborado o documento da Política de Privacidade, um Kit de contratos e outros documentos para que os consumidores saibam de que forma os seus dados são utilizados e com quem são compartilhados. Toda empresa terá que ter a sua Política de Privacidade no final do Programa de Adequação”, explica ela.

As empresas que ainda não se ajustaram às regras da lei precisam procurar um consultor que, de acordo com a realidade da organização, poderá viabilizar um projeto de adequação às normas da LGPD. “É fundamental atentar pela contratação de um consultor experiente, com formação sólida na área que saberá analisar com perfeição a operação que a empresa já realiza. Caso a empresa opte por não iniciar imediatamente o processo de adequação, que inicie pelo menos um treinamento para que todos os colaboradores passem a ter consciência do que é a LGPD, quais processamentos de dados são dados permitidos, o que são dados sensíveis e saber a diferença entre eles. É importante, ainda, tentar entender o mapeamento dos dados em cada setor da empresa. Ter a consciência de quais são os dados tratados, onde são armazenados e com quem são compartilhados, já facilita muito o trabalho de uma consultoria”, afirma Isabelle Martins.

Hoje, as empresas só podem colher dados se a finalidade do tratamento deles, a forma de armazenamento e com quem são compartilhados estiverem muito claros e precisos para os clientes, na Política de Privacidade. “Os dados pessoais são protegidos por lei e só podem ser coletados, processados e armazenados para determinadas finalidades. Não é permitido, por exemplo, que uma ONG pegue sua lista de doadores coletados e compartilhar com terceiros para, com isso, fazer campanhas de contribuição para outra entidade sem a autorização daquelas pessoas. Qualquer compartilhamento só é autorizado mediante consentimento e autorização dos titulares”, diz a advogada.

Isabelle Martins ressalta que a LGPG dá uma atenção maior para dados sensíveis e de crianças e adolescentes, isso inclui massivamente o setor de saúde, tecnologia, prestadores de serviço e educação. São classificados como dados sensíveis aqueles ligados à saúde, orientação sexual, religiosa, sindical e posição política, dados de biometria e dados genéticos, pois são capazes de gerar atos de discriminação. Diante dessa realidade, todos os cidadãos podem perguntar se existe tratamento de seus dados pessoais naquela empresa, como também solicitar que seus dados sejam excluídos. 

“Esse é um processo de formação de cultura que está começando, as empresas ainda estão se adaptando, mas é um caminho sem volta. Os países da Europa já estão maduros, mas ainda não perfeitos. As pessoas precisam exigir os seus direitos. A partir do momento em que isso acontece, as empresas vão se ajustando. Estamos vendo farmácias mudando e se adaptando, várias lojas do varejo não estão mais obrigando o cliente a fazer o cadastro no momento das compras”, conta a advogada especialista em LGPD.

Isabelle Martins informa que as empresas terão que disponibilizar um canal específico para os clientes que desejarem solicitar informação sobre o tratamento dos seus dados ou para reclamar. “A empresa não atendendo, o cliente poderá fazer uma reclamação junto à Autoridade Nacional de Proteção de Dados (ANPD), órgão criado pelo governo federal que regula, fiscaliza e exerce outras funções com base na Lei Geral de Proteção de Dados (LGPD). Uma farmácia em Minas Gerais condicionou o desconto de um produto a disponibilização do CPF do cliente e foi multada em R$ 7 milhões, por conta de uma denúncia que foi apurada”, relata. 

Exemplos reais

A advogada especialista em direito empresarial e Lei Geral de Proteção de Dados (LGPD), Isabelle Martins, frisa que o tratamento de dados feito pelas empresas acontecem em várias situações cotidianas no mundo real e não apenas na internet. E que as situações não acontecem só com grandes corporações. “A LGPD é muito ampla e envolve mais do que conseguimos imaginar”, diz. Isabelle cita alguns exemplos reais. Confira:

1.Um caso de vazamento de dados não é só através de um ataque de hacker. É também quando um colaborador de uma empresa compartilha alguma lista com dados de clientes com alguém que não deveria, ou quando alguém esquece num ambiente compartilhado um documento numa impressora, e alguém toma posse. Um pendrive perdido é outro exemplo de vazamento de dados.

2.Já aconteceu de uma adolescente que comprou um teste de gravidez na farmácia e depois começou a chegar na casa dela cupons promocionais de vitaminas para grávidas e fraldas. A família ainda não sabia da gravidez e dessa forma a jovem teve sua privacidade completamente invadida. 

3.Há farmácias que vendem o perfil de compra dos clientes para planos de saúde, para que eles tomem conhecimento de que aquela pessoa tem uma doença pré-existente.

4.Quando uma pessoa entra num edifício empresarial e pedem para tirar uma foto. Toda essa dinâmica precisa ser transformada. O cidadão precisa saber onde a foto está sendo armazenada e quem tem acesso a ela.

5.A LGPD também abrange questões ligadas a dados cadastrais através de câmeras que capturam imagens das pessoas (biometria, reconhecimento facial e imagens de segurança). 

Isabelle Martins

A advogada Isabelle Martins possui quatro certificações internacionais na área de proteção de dados, emitidos pela Certificadora Holandesa EXIN (Segurança da Informação, Privacy Data Protection Essencials, Privacy Data Protection Foundantios e Cloud Computing). 

É pós-graduada em Direito Tributário, pela Universidade Federal do Rio Grande do Norte (UFRN), e LLM em Direito Empresarial, pela Fundação Getúlio Vargas (FGV). Possui uma trajetória profissional com mais de 15 anos de atuação na área jurídica, desenvolvida em empresas de médio e grande porte, que favoreceu o desenvolvimento de habilidades e experiência no gerenciamento de atividades jurídicas, e forte atuação na advocacia consultiva: direito empresarial, Direito Imobiliário, Contratos, Compliance e Lei Geral de Proteção de Dados (LGPD) – desenvolvimento e implantação de projetos completos de adequação à lei.

Tem expertise na elaboração de instrumentos jurídicos contratuais, atos societários, e, principalmente, análise sistêmica, diagnósticos e implantação de Programas de Integridade e Proteção de Dados. Realiza palestras, treinamentos, desenvolvimento e monitoramento de projetos de implantação de governança, compliance e LGPD.