LEI GERAL DE PROTEÇÃO DE DADOS: DESAFIOS E ADEQUAÇÕES
Por Leda Cavalcanti
Click here for English version
De acordo com a Medida Provisória 959, a Lei Geral de Proteção de Dados (LGPD) passaria a valer em 3 de maio de 2021, mas, em 26 de agosto último, o Senado aprovou a entrada em vigor da Lei com sanção do presidente Jair Bolsonaro, o que ocorreu em 18 de setembro de 2020. A Lei já vigora, mas as sanções administrativas serão aplicadas somente a partir de 1º de agosto de 2021, e quem não cumprir com as obrigações poderá ser processado por usuários ou por órgãos de defesa de direitos, como o Procon. “É altamente recomendável que as empresas se preparem o quanto antes para evitar prejuízos”, alerta o advogado Leonard Batista, pós-graduado pela Universidade Presbiteriana Mackenzie e Pontifícia Universidade Católica de São Paulo, e sócio do escritório Reigada Batista e Devisate Sociedade de Advogados, nesta entrevista para a revista Eletrolar News.
Como essa lei afetará os varejistas de todos os portes, dos mais tradicionais até os que atuam com lojas virtuais?
Leonard Batista – Todo o mercado já chegou à conclusão de que conhecer os clientes é ferramenta importante para melhorar o atendimento e oferecer os seus produtos de forma mais assertiva. No mundo conectado em que vivemos, a informação vale muito. A LGPD não veio para mudar isso, seu objetivo é evitar o uso indevido dessas informações. O varejo não está proibido de usar os dados dos consumidores. Mas toda a informação passará a ter uma regulamentação com relação ao seu uso, à responsabilidade ao repassá-la para os seus colaboradores ou para outras empresas e à possibilidade de o consumidor saber que informações sobre ele as organizações detêm. O consumidor também pode pedir para atualizar, modificar e até mesmo apagar essas informações. Vemos, porém, que muitas empresas ainda nem sequer começaram a se preparar para se adequar à Lei, o que é preocupante. Elas devem começar o quanto antes a se adequar, pois as penalidades podem implicar multas pesadas.
Como isso deve ser feito? O custo terá impacto nas atividades?
LB – A sugestão é buscar profissionais especializados para prestar a consultoria. Para responder às dúvidas de modo adequado, é preciso fazer uma análise das informações que a empresa utiliza, o volume, quais colaboradores as manipulam ou têm acesso a elas e quais são seus atuais procedimentos, qual é o seu nível de segurança, entre outros. Esse diagnóstico vai permitir que a empresa entenda o que precisa ser mudado e, consequentemente, qual será o investimento. Não existe uma solução única e padronizada para todos. Cada caso deve ser analisado, pois cada empresa tem procedimentos diferentes e manipula as informações de modo diferente. Pode ser que algumas tenham um nível de segurança tão alto que apenas precisem mudar procedimentos. Outras, talvez, precisem aumentar o nível de segurança de servidores e computadores. É aconselhável que todos façam ao menos um diagnóstico para avaliar sua situação e ter um panorama mais adequado sobre suas vulnerabilidades, para depois planejar as adequações de modo mais produtivo, seguro e econômico.
“O varejo não está proibido de usar os dados dos consumidores. Mas toda a informação passará a ter uma regulamentação com relação ao seu uso, à responsabilidade ao repassá-la para os seus colaboradores ou a outras empresas e à possibilidade de o consumidor saber que informações sobre ele as organizações detêm.”
Pesquisas apontam que menos de 20% das varejistas estão preparadas para as mudanças. O médio e o pequeno varejo terão fôlego para tanto?
LB – Na prática, toda empresa, desde a menor até a maior, manipula dados de consumidores, colaboradores e empregados, e, portanto, deve se adequar à LGPD. Ocorre que a realidade mostra que o médio e o pequeno varejo estão tentando sobreviver às seguidas crises econômicas e, agora, à pandemia da Covid-19. Todas elas impactam o crescimento do mercado. O dilema é justificável, pagar o aluguel ou implantar um firewall, quitar o imposto ou contratar um site para disponibilizar um canal de atendimento? Sem contar que as empresas precisam ter um DPO (Data Protection Officer), que é um profissional que atenderá às solicitações dos clientes, orientará sobre a manipulação dos dados e será o ponto de contato com a ANPD (Autoridade Nacional de Proteção de Dados). Todavia essa empresa poderá receber uma multa de até 2% do faturamento bruto a cada descumprimento da LGPD. À primeira vista, pode parecer que os custos de implantação da LGPD seriam inviáveis para pequenos e médio varejistas, mas existem soluções econômicas para que se adequem, principalmente pelo fato de que manipulam menos informações que uma grande empresa, e, em geral, os procedimentos são de mais fácil implantação.
O consumidor tem que consentir para o uso de seus dados. Como isso será feito no varejo?
LB – Sim, o consumidor tem que consentir para que seus dados sejam usados. Dessa forma, a cada etapa de coleta de dados do consumidor deve ser criado um documento que informe a ele, de modo claro, como essas informações serão tratadas, utilizadas e se serão disponibilizadas a terceiros. O consumidor também deverá ter um meio de contato para que possa exercer o direito de saber quais informações sobre ele a empresa guarda, além da possibilidade de ele atualizar as informações e até mesmo apagá-las.
Quais os benefícios que a LGPD trará ao varejo?
LB – Hoje, vivemos em um mundo globalizado e conectado. O varejo descobriu que pode vender seus produtos para qualquer pessoa em qualquer lugar do mundo por meio das plataformas digitais. E a Europa tem um grande potencial de vendas. A LGPD foi implantada aqui porque muitos países podem cortar relacionamentos comerciais com localidades que não tenham legislações de proteção de dados. O Brasil estava nessa condição, e isso foi o principal motivador para implantar essa lei. Então, temos uma vantagem comercial ao manter as portas abertas para a realização de negócios e parcerias internacionais. Essa regulamentação também traz maior segurança sobre quais são as obrigações das empresas. Importante registrar que muito antes da LGPD, o Brasil já contava com algumas outras leis que tratavam do uso indevido de dados de pessoas. Contudo poucas conhecem o conteúdo dessas leis, e não houve regulamentação específica sobre a manipulação dos dados. A LGPD traz maior segurança jurídica, sem contar que o vazamento de informações pode causar prejuízos financeiros. Um hacker pode usar as informações de consumidores para realizar compras em nome deles, e o consumidor que foi lesado quase sempre aciona o varejo na justiça. Nesse caso, o empresário acaba tendo gastos com o processo e pode ser condenado a ressarcir os valores. Fica, assim, com o prejuízo. A segurança das informações interessa muito ao varejo em geral.
Como será feita a fiscalização da Lei? O mercado tem profissionais para esse fim?
LB – A LGPD prevê a ANPD (Autoridade Nacional de Proteção de Dados), que foi estruturada recentemente por meio de Decreto 10.474/2020. A ANPD será um órgão da administração que terá como função zelar, implementar e fiscalizar o cumprimento da LGPD. Assim, a ANPD vai fazer a fiscalização e aplicação de sanções previstas na LGPD. Esse órgão, certamente, contará com a possibilidade de os consumidores realizarem denúncias, assim como haverá o encaminhamento de ofícios oriundos de órgãos de proteção como o Procon.
Haverá multas para as empresas que não cumprirem as regras? De que forma serão aplicadas?
LB – Muito se fala da tal multa de R$ 50 milhões. Porém não será qualquer infração que chegará a esse valor. Inclusive, existem penalidades que não implicarão pagamento em dinheiro. As sanções previstas são diversas, como a advertência, a comunicação pública da infração, o bloqueio dos dados e a suspensão do exercício da atividade de tratamento de dados. Para a aplicação da sanção, será estabelecido um procedimento administrativo, em que a empresa poderá se defender e demonstrar que está adequada à Lei. A ANPD vai investigar o fato denunciado, e a decisão levará sempre em consideração a gravidade da infração, se houve boa-fé da empresa, o seu porte financeiro, se ela já cometeu a mesma infração, se cooperou com a investigação, se aplicou medidas corretivas, se atende aos requisitos da LGPD. Esses critérios e outros eventuais serão levados em consideração para determinar se a empresa deverá ou não ser penalizada, assim como qual será a sanção aplicada, e, se for o caso de aplicação de multa, qual será o patamar fixado. Portanto fica claro que quanto mais preparada a empresa estiver, menores serão as penalidades que podem ser aplicadas a ela. Por outro lado, se uma empresa for denunciada e não tiver implantado a gestão de consentimento, a gestão das solicitações dos titulares dos dados, a gestão do ciclo de vida dos dados, as técnicas de anonimização e sequer tiver um DPO, aí ela, certamente, receberá sanções mais pesadas.
“As empresas, ao se adequarem à LGPD, criarão um vínculo de confiança com os clientes e colaboradores. As pessoas cada vez mais buscam comprar produtos de empresas responsáveis, e isso agrega valor à marca. A LGPD dividirá o mercado em empresas que são responsáveis com os dados pessoais dos clientes e as demais.”
Como as empresas podem utilizar as informações a seu favor, integrando canais de atendimento e ofertas?
LB – As empresas já utilizam as informações pessoais para ofertar produtos, e essa prática vem sendo realizada cada vez com mais êxito e assertividade. Sem dúvida, é muito mais fácil vender quando conhecemos bem os clientes. Mas, com a realidade da LGPD, a empresa deve cuidar para que as informações pessoais não sejam acessíveis a qualquer um. Pense no seguinte: as empresas tomam muito cuidado com as informações bancárias dos clientes. Pois bem, é como se as informações pessoais também fossem alçadas ao mesmo grau de criticidade. Sem contar que existem, ainda, os dados sensíveis, que são as informações relativas à etnia, raça, religião, posicionamento político, saúde, vida sexual, dados genéticos e biométricos. Nesses casos, haverá um tratamento ainda mais específico e rigoroso.
Desse modo, a integração ou o fluxo de informações pessoais entre departamentos deve seguir os padrões estabelecidos na Lei, que vão desde o consentimento do titular daquela informação até a anonimização, e pode ser que determinadas informações sequer devam ser utilizadas (dados sensíveis). Certamente, as empresas deverão analisar esse fluxo de informações para se certificar de que a forma como atualmente os dados estão sendo utilizados não fere a Lei.
O senhor considera a LGPD uma evolução? Por quê?
LB – Entendo que sim. Todos nós somos proprietários dos nossos dados pessoais, isso faz parte da nossa intimidade. Todos temos o direito de saber quem está manipulando nossas informações, e se elas estão seguras. As empresas, ao se adequarem à LGPD, criarão um vínculo de confiança com os clientes e colaboradores. Será uma relação ainda mais transparente. Hoje, as pessoas cada vez mais buscam comprar produtos de empresas responsáveis, e isso agrega valor à marca. A LGPD dividirá o mercado em empresas que são responsáveis com os dados pessoais dos clientes e as demais.
Fonte: Revista Eletrolar News ed. 138
