Série Kawamura@LGPD #1
Dentro de uma sociedade a cada dia mais voltada para as relações mantidas pela internet, ações comuns como utilizar transporte privado urbano, comprar remédios, pedir comida, streamar músicas e filmes, ou procurar vagas de estacionamento são hoje naturalmente realizadas através de aplicativos conectados, que facilitam a vida cotidiana.
Habitualmente, para se usar estas facilidades automatizadas, demanda-se o preenchimento de um cadastro ou um login usando alguma rede social. Ou seja, informações são compartilhadas com os aplicativos e serviços que se pretende usar.
Esse conjunto de informações pessoais, quando cruzado, traça um perfil exato do consumidor, que passa a ser muito importante e aproveitado para uma série de situações. Conferindo valor a esses dados como um ativo inestimável para empresas e negócios.
Aliás, há um brocardo que diz: “Se o produto ou o serviço é de graça, na verdade você é o produto”, e nesse movimento, a fim de regulamentar este mercado de dados e trazer mais transparência veio a Lei n. 13.709/2018, mais comumente chamada de Lei Geral de Proteção de Dados Pessoais (LGPD).
Embora sancionada em agosto de 2018, a LGPD entrou em vigor, de maneira incompleta, em agosto de 2020, em plena pandemia decorrente da Covid-19. A demora entre a sanção presidencial e a entrada em vigor foi justamente para dar tempo de todos os setores se ajustarem às novas normas e desenvolverem ferramentas de proteção adequados.
Importante lembrar que a LGPD se aplica à operação de tratamento de dados, não importando o meio em que esteja disponível, online ou offline, e independentemente da forma que esteja armazenado, seja em meio físico ou digital. Portanto, todos os setores, públicos ou privados, devem se adequar ao novo contexto regulatório para tratamento de dados pessoais.
Amplamente discutida por conta do seu teor, a LGPD surge para organizar o mercado e garantir segurança jurídica. Contudo, ressalta-se que a adequação e cumprimento das exigências legais já demandou e ainda vai demandar grandes esforços de mudança por parte de todos os negócios.
Isto se deve ao fato que todo tratamento de dados pessoais precisará de algum embasamento legal (definido nos arts. 7º e 10 da LGPD), bem como será necessário informar quais informações são tratadas e qual o motivo de a empresa armazenar estes dados.
Logo, pedir CPF, telefone, e-mail, endereço e etc., sem especificar a finalidade, por exemplo, passa a ser proibido. O cliente deverá estar ciente do destino dos seus dados – qual a finalidade, onde estarão armazenados, por quanto tempo estarão disponíveis e para onde irão.
A adaptação plena das empresas aos requisitos da Lei, vai exigir um fortalecimento das suas regras de compliance e do aprimoramento dos procedimentos internos de identificação e diferenciação entre os dados pessoais, os dados sensíveis e os dados anonimizados, além da criação de mecanismos para lidar com potenciais demandas de clientes ou vazamentos de dados.
As próprias empresas também precisam compreender o seu negócio no mundo digital, a fim de determinar quais informações são realmente necessárias para o exercício das suas atividades e assim evitando investimentos desnecessários em estruturas e mecanismos para armazenamento de dados.
Portanto, não basta que as empresas criem documentos e mecanismos formais para se adequarem à LGPD. É de suma importância que elas treinem e atualizem os seus funcionários em como lidar com estas informações, para que estes não cometam equívocos no dia a dia e não comprometam a segurança dos dados pessoais.
Até agosto deste ano (2021), a ANPD (Autoridade Nacional de Proteção de Dados) ainda não pode sancionar as empresas que descumpram a LGPD, porém ainda é possível que outros órgãos atuem neste sentido, a exemplo do Ministério Público, do PROCON e da SENACON.
Inclusive, conforme notificado pela Folha de São Paulo recentemente (Disponível aqui), já são 600 decisões envolvendo proteção de dados, assim como já foram aplicadas multas pela SENACON em valores bastante elevados: (a) Itaú (R$ 9,6 milhões), (b) Pan (R$ 8 milhões), (c) BMG (R$ 5,1 milhões) e (d) Cetelem (R$ 4 milhões).
Porém, além dos próprios clientes e dos órgãos que já estão aplicando penalidades (acima mencionados), a partir de 1º de agosto deste ano, as empresas também estarão sujeitas a punições e multas impostas pela ANPD – que podem chegar até 2% do faturamento anual, limitados ao valor máximo de 50 milhões de reais.
Então, respondendo aos questionamentos feitos na chamada deste artigo, sim, hoje já existem processos envolvendo LGPD e, sim, as empresas podem ser multadas em razão do seu descumprimento.
Por fim, informo que este será o primeiro artigo da nossa série Kawamura@LGPD. A nossa intenção é apresentar respostas aos questionamentos mais recorrentes quando o assunto é LGPD, por isso, acompanhem as nossas redes sociais.
*Photo by Franck on Unplash