A LGPD – Lei Geral de Proteção de Dados Pessoais entrou em vigor em agosto de 2020 e dita a regulamentação sobre o tratamento dos Dados Pessoais e dos Dados Pessoais Sensíveis em âmbito nacional, assim como a transferência internacional dos Dados Pessoais e dos Dados Pessoais Sensíveis coletados no Brasil, estando as pessoas naturais e jurídicas sujeitas à fiscalização desde então. Sendo que, um Dado Pessoal é relacionado à pessoa natural identificada ou identificável (artigo 5º, I, da Lei 13.709/2018), já um Dado Sensível (artigo 5º, II, da Lei 13.709/2018) são informações que podem ser utilizadas de forma discriminatória e, portanto, carecem de proteção especial. Com relação aos dados pessoais de crianças, a LGPD dita que é necessário o consentimento específico de pelo menos um dos pais ou responsável legal (art. 14, §1º).
Antes de comentarmos sobre os impactos da LGPD nas empresas, é importante lembrar que a LGPD regulamenta toda e qualquer atividade que envolva utilização de dados pessoais, por meios físicos ou digitais, por pessoal natural ou jurídica, em todo o território nacional ou em países onde os dados estejam localizados. Abrange dados relacionados à pessoa, seja ou não brasileira, mas que esteja no Brasil no momento da coleta, além dos dados tratados dentro do território nacional, independentemente do meio aplicado, do país-sede do operador ou do país onde se localizam os dados; dados usados para fornecimento de bens ou serviços. Porém, a LGPD só se aplica para pessoa física ou jurídica que gerencie os dados com finalidade econômica.
A aplicação da LGPD é extraterritorial, já que sua incidência não está restrita às pessoas domiciliadas ou estabelecidas no Brasil. Considera-se os seguintes casos: 1) se a operação de tratamento dos dados é realizada no território nacional e 2) se os dados pessoais tenham sido coletados no território nacional.
Com exceção às hipóteses de tratamento de dados pessoais excluídas da abrangência da LGPD (art. 4º), a lei tem efeitos sobre qualquer pessoa, natural ou jurídica, de direito público ou privado, que realize operação de tratamento de dados pessoais, por meios físicos ou digitais. Isso significa que o dever de conformidade deve ser observado por todos que, embora situados fora do território nacional, ofereçam bens ou serviços ao mercado consumidor brasileiro ou coletem e tratem dados de pessoas localizadas no país.
LGPD – PRINCÍPIOS E BASES LEGAIS
O principal objetivo da LGPD e que afeta diretamente nos impactos da LGPD nas empresas é garantir a transparência no uso de dados das pessoas físicas, pois os seus parâmetros são a privacidade e a proteção dos dados pessoais. É importante o entendimento do que é considerado dado pessoal. Antes, ao fazer um cadastro de compras, por exemplo, as pessoas físicas precisavam fornecer uma série de dados pessoais, que muitas vezes nem eram utilizados para a compra em si. Entretanto, eram posteriormente comercializados sem autorização, quando deveriam ser tratados com confidencialidade. Com a LGPD, o titular dos dados autoriza de forma explícita a divulgação de seus dados, e as empresas que ignorarem o consentimento, estão sujeitas a multa.
A base da LGPD é o consentimento, que deve ser recebido de forma explícita e inequívoca. É necessário solicitar a autorização do titular dos dados, antes do tratamento ser realizado. O não consentimento deve ser a exceção, ou seja, só é possível processar dados, sem autorização do cidadão, quando isso for indispensável para cumprir situações legais, previstas na LGPD e/ou em legislações anteriores, como a Lei de Acesso à Informação (LAI).
A LGPD chegou para alterar a Lei nº 12.965, de 23 de abril de 2014, popularmente chamada de Marco Civil da Internet, que regulava estas transações até então. E tem como base a GDPR (General Data Protection Regulation), regulamentação europeia que usa os direitos fundamentais de liberdade e de privacidade como norte para estabelecer regras a respeito da coleta e armazenamento, de dados pessoais e seu compartilhamento.
Segundo a LGPD, os seguintes princípios devem ser observados na hora de tratar dados pessoais: Finalidade, Adequação, Necessidade, Acesso Livre, Qualidade dos Dados, Transparência, Segurança, Prevenção, Não Discriminação, Responsabilização. Diante desse novo cenário que é a entrada em vigor da LGPD, um grande desafio chega para as empresas, que deverão rever seus processos de governança e privacidade de dados. Será imprescindível fazer um mapeamento detalhando como os dados pessoais são tratados e todo o seu ciclo de vida dentro da empresa, ou seja, para onde vão, onde ficam armazenados, quem tem acesso e se são compartilhados com terceiros. A partir dessa análise, é possível uma avalição do nível de maturidade dos processos dentro da empresa, bem como os riscos envolvidos. Só então, com as deficiências detectadas, inicia-se os procedimentos para transformar a transação de dados em uma transação segura, de acordo com os princípios da LGPD.
ALGUNS IMPACTOS DA IMPLANTAÇÃO DA LGPD
Ao falarmos dos impactos da LGPD nas empresas, podemos começar com a implantação. A implantação da LGPD trouxe um grande impacto nas relações de negócios, tanto comerciais quanto de consumo, que demandam coleta de dados, principalmente na atual tendência de tratamento dos dados com a finalidade de traçar perfis de consumidor. As empresas que coletam dados dos usuários precisam atender exigências da LGPD, se adequando principalmente com relação ao consentimento expresso dos usuários sobre a coleta, tratamento de dados, finalidade e eventual transferência de seus dados para terceiros.
As relações trabalhistas também sofreram mudanças significativas, já que o empregador detém informações pessoais de seus colaboradores. Embora a LGPD autorize as empresas a usar os dados pessoais dos seus empregados e prestadores de serviços (art. 7°, V e IX) para a legítima execução dos contratos, em benefício do próprio trabalhador, é necessário atenção e cautela às regras da LGPD em todas as suas fases. Em casos de terceirização de serviços, também é preciso obter o consentimento por escrito do empregado antes de tratar os seus dados, principalmente antes de transmiti-los a terceiros. Além do consentimento do empregado, também é recomendável que as empresas criem obrigações específicas nos seus contratos comerciais, de acordo com as exigências impostas pela LGPD no tratamento de dados.
Os titulares dos dados poderão retificar, cancelar ou até solicitar sua exclusão a qualquer momento. A LGPD dá poder ao consumidor do controle sobre seus dados e também da possibilidade de punir os responsáveis por qualquer dano causado pelo mau uso das suas informações.
A ANDP (Autoridade Nacional de Proteção de Dados), criada a partir da MP 869/18, é o órgão responsável pela fiscalização da proteção de dados por parte das pessoas jurídicas e poderá solicitar às empresas, a qualquer tempo, informações através de relatórios de riscos de privacidade certificar-se de que estão seguindo a regulação estabelecida pela LGPD.
ALGUNS ASPECTOS JURÍDICOS SOBRE DADOS SENSÍVEIS NA LGPD
No cenário dos impactos da LGPD nas empresas, é importante a definição dos tipos de dados, para se exercer sua efetiva proteção. Dentro da lei, os dados pessoais são subdivididos entre anônimos e sensíveis, permitindo que o titular afetado por má conduta possa recorrer ao sistema judiciário.
Entende-se como dados sensíveis no contexto da LGPD os dados pessoais relacionados a origem racial, étnica, orientação política, orientação sexual, convicções religiosas, dados genéticos, histórico médico, entre outros que possuam um claro potencial para discriminação social e por isso merecedores de proteção jurídica. Ou seja, os dados sensíveis são aqueles possíveis de desencadear atos discriminatórios para o titular, dando a ele o máximo de proteção legislativa.
De acordo com o Art. 11, incisos I e II da LGPD o tratamento destes dados só poderá ser realizado quando:
I – o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Com relação aos titulares menores de idade, o tratamento dos dados sensíveis deverá conter expressa autorização de um dos pais ou responsável legal. Porém, o Art. 11 da LGPD também dita exceção ao consentimento em casos urgentes ou emergenciais.
ALGUNS IMPACTOS DA LGPD EM RECURSOS HUMANOS
Também em Recursos Humanos observou-se impactos da LGPD nas empresas, pois com a aceleração da digitalização em vários setores empresariais, incluindo o RH, muitas empresas são impactadas pela LGPD. Uma das bases da rotina de trabalho do departamento de Recursos Humanos são os dados dos colaboradores da empresa, que são utilizados para vários fins, como acompanhamento do clima organizacional, planos de carreira e de gestão. Com adequação à LGPD, previu-se alguns impactos no RH, já que para que essa gestão seja feita, é essencial que os profissionais da área acessem dados pessoais dos colaboradores.
Departamentos de Recursos Humanos que já atuavam com informatização de processos rapidamente procuraram atender às novas exigências da LGPD, adequando seus processos de coleta, tratamento e armazenamento de dados, conforme as regras previstas na lei.
É grande a concentração de informações coletadas diariamente nos processos de gestão em RH, seja em contratações, desligamentos e processos internos. Histórico profissional, níveis salariais, informações de contato, documentos de identificação, jornada de trabalho. Além dessas informações que são importantes, os profissionais de RH também têm acesso aos dados considerados sensíveis pela LGPD, como registro médico, informações familiares, endereço, data de nascimento, dependentes, entre outros. Dados que se não armazenados de forma segura, podem ser roubados por hackers. Para isso, é imprescindível que as empresas tenham a máxima cautela com os processos que envolvem o tratamento desses dados, garantindo assim a segurança das informações dos colaboradores e atendendo às exigências da LGPD.
Embora as empresas estejam autorizadas pela LGPD a usar os dados pessoais dos colaboradores para os processos de gestão, esses processos devem ser adequados para evitar as sanções. Uma das adequações exige que o colaborador assine uma declaração de consentimento, indicando o objetivo dos dados coletados, que se limitam a informações essenciais para as atividades da empresa, e por quanto tempo serão armazenados na empresa. Sendo assim, é preciso avaliar a real necessidade de solicitar informações sensíveis como gênero, estado civil, orientação sexual, entre outras informações irrelevantes para a atividade que será exercida.
A LGPD altera de maneira direta a rotina das organizações, principalmente o setor de RH que lida com dados dos colaboradores em suas práticas diárias, por isso a importância do conhecimento e entendimento dos impactos da LGPD no RH, bem como a adequação ao novo cenário imposto pela lei.
Em resumo, impactos da LGPD nas empresas já são vistos e comprovados, exigindo mudanças em políticas, processos, tecnologias e cultura organizacional para garantir a proteção adequada dos dados pessoais e a conformidade com a lei. Revisão e adequação de políticas de privacidade, mudanças nos processos de coleta e consentimento de dados, investimentos em segurança da informação, impacto nas relações contratuais e mudanças na cultura organizacional, são alguns dos aspectos de maior atenção com o cumprimento da LGPD.
Entre em contato com a TATICCA Allinial Global Brasil, que possui equipe multidisciplinar qualificada e experiente, ferramentas e metodologia para implementar a LGPD de forma objetiva e assertiva, com: orientação e treinamento, diagnóstico, análise de contratos de colaboradores, análise de contratos de fornecedores, análise de políticas internas, análise de contratos de prestação de serviço ou venda de produtos, adaptação de contratos atendendo à LGPD, mapeamento de dados, implementação do canal de atendimento, elaboração de política de privacidade, documentação pré-formatada com todos os requerimentos da LGPD.