Na noite de ontem, 16, a CDL de Jaraguá do Sul realizou o Workshop de LGPD – Lei Geral de Proteção de Dados apresentado pela Dra. Juliana Clarissa Karing e pelo Dr. Frederico Carlos Barni Hulbert, advogados da MMD.
O mundo está cada vez mais fazendo uso dos meios digitais e as pessoas precisam começar a entender a importância da LGPD (Lei Geral de Proteção de Dados) aqui no Brasil. Seja você pessoa física ou empreendedor, essa lei veio para tornar os processos mais transparentes para ambas as partes, fazendo com o que o cidadão conheça os seus direitos quanto ao uso dos seus dados pessoais e que as empresas estejam de acordo com a lei para tratar esses dados com total responsabilidade.
A LGPD tem como objetivo proteger os direitos de liberdade e privacidade, garantindo mais transparência na coleta, no processamento e compartilhamento desses dados. Sempre que se utilizar dados de uma pessoa física, por exemplo, a coleta em um formulário de cadastramento de cliente, captação de clientes em seu perfil do instagram, website, envio de e-mail marketing, propagandas, etc., estará lidando com dados pessoais.
Confira abaixo as dúvidas mais frenquentes com relação a LGPD.
Mas o que é Dado Pessoal?
Dado pessoal, tratado na LGPD, é qualquer informação relacionada a pessoa que possa levar à sua identificação de maneira direta ou indireta, como por exemplo: CPF, RG, telefone fixo, celular, endereço, dados de GPS, identificadores eletrônicos etc.Dentro do conceito de dados pessoais, a lei ainda classifica alguns dados como “sensíveis” e exige um tratamento ainda mais criterioso, sendo estes os que revelam origem racial ou étnica, opiniões políticas, filiação sindical, convicções religiosas ou filosóficas, questões genéticas, biométricas, sobre saúde e vida sexual da pessoa.
A quem e quando se aplica a LGPD?
A LGPD se aplica a qualquer pessoa natural ou jurídica (de direito público ou privado) que exerça alguma atividade utilizando dados pessoais em meios físicos e digitais, sejam elas de tratamento, coleta, oferta ou o fornecimento em si de produto ou serviço no país.
A LGPD não será aplicável para o uso de dados de pessoas jurídicas e demais dados que não sejam definidos como “pessoais”. Por isso, dados como CNPJ, NIRE, atividade econômica, código CNAE, objeto social, dentre outros, não estão sujeitos às regras da LGPD.
Como se aplica a LGPD e quais os direitos do consumidor?
A LGPD não proíbe a utilização dos dados pessoais pelas empresas, seja ela pública ou privada. No entanto, ela estabelece princípios e condições para a utilização dessas informações.
A Lei Geral de Proteção de Dados regulou a forma como a relação entre pessoas e o uso do dado pessoal deve ser utilizado por meio de 10 bases legais, sendo elas: Cumprimento de obrigação legal ou regulatória; Tratamento pela administração pública; Realização de estudos e de pesquisas; Execução ou preparação contratual; Exercício regular de direitos; Proteção da vida e da incolumidade física; Tutela de saúde do titular; Proteção de crédito; Legítimo Interesse; Consentimento do titular.
CONSENTIMENTO é utilizado para as situações em que o titular de dados concorda com a utilização de seus dados pessoais para finalidades específicas, transparentes e informadas. Um cliente que informou os seus dados para a sua empresa e no formulário declarou que tem interesse em receber e-mails promocionais.
Desta forma, a LGPD permite que o consumidor (pessoa física) titular de seus dados possua um maior controle sobre suas informações pessoais, decidindo quando e para quem fornecer seus dados, além de obter informações sobre a finalidade desta utilização mesmo que por terceiros, podendo ainda solicitar a exclusão, anonimização ou correção de seus dados pessoais do cadastro de qualquer empresa.
Caso perceba algum descumprimento, o consumidor poderá fazer uma reclamação junto à Autoridade Nacional de Proteção de Dados (ANPD), já que a mesma é responsável por fiscalizar o cumprimento das normas fixadas.
O que não se aplica a LGPD?
- Para fins exclusivamente particulares e não econômicos;
- Jornalísticos, artísticos, acadêmicos;
- De segurança pública, de defesa nacional, de segurança do Estado, de atividades de investigação e repressão de infrações penais;
- Provenientes de fora do território nacional e que: não sejam objeto de comunicação ou de uso compartilhado com agentes de tratamento brasileiros; sejam objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na Lei;
- Dados anonimizados (dados os quais não são passíveis de identificação de seus titulares, considerando a utilização de técnicas razoáveis na ocasião do )
Como fica o uso da LGPD para proteção ao crédito?
A utilização das informações pessoais das consultas do SPC Brasil para análise e proteção ao crédito estão aderentes e em total conformidade à LGPD, consoante ao art. 7º, inciso X da referida Lei, a qual permite o tratamento de dados pessoais para proteção do crédito. Desta forma não há grandes alterações, não havendo necessidade do consentimento expresso por exemplo.
Importante refletirmos que os órgãos de proteção ao crédito não são apenas um banco de dados dos quais disponibilizam relatórios, de maus pagadores (restritivos) e bons pagadores (cadastro positivo), vez que estes fortalecem os segmentos do comércio de bens, serviços e empreendedorismo ao desenvolver relações de confiança entre empresa e consumidor, gerando e auxiliando para concessão do uso de crédito consciente, que permite o acesso a produtos e serviços, além de evitar possíveis fraudes, gerando melhor segurança ao consumidor, empresas e para economia de forma geral.
Um cliente para receber um cheque de terceiro ele precisa fazer uma consulta do mesmo, isto pode prejudicá-lo, pois este terceiro não é seu cliente?
R: A consulta do terceiro do cheque pode ser feita em banco de dados cadastrais pois se aplica tanto as normas do CDC (Lei 8.078/90), como a base legal ‘Proteção ao Crédito’ da LGPD (Lei 13.709/2018).
Posso transferir os dados do meu cliente, juntamente com o débito para uma empresa fazer a cobrança Judicial?
R: Pode ser feita a cobrança judicial ou extrajudicial do cliente inadimplente repassando os dados necessários para prestar esse serviço, desde que a empresa terceirizada utilize os dados pessoais somente para a finalidade de cobrança, nos limites legais, cumprindo-se tanto as regras consumeristas, bem como do exercício regular de direito. O fornecedor (empresa de cobrança) dever assinar no contrato dos serviços além do cumprimento do CDC na cobrança, também o cumprimento da LGPD no tocante ao uso correto dos dados.
Os cadastros anteriores à LGPD preciso pegar consentimento para continuar enviando comunicações? Este consentimento pode ser digital através de WhatsApp ou aceite via formulário eletrônico?
R: necessário analisar qual a finalidade desses ‘cadastros anteriores’. Estavam sendo utilizados dentro de uma das nove bases legais que não fosse a base legal do consentimento? Se já estiver dentro de uma base legal como por exemplo cumprimento de obrigação legal ou proteção ao crédito é dispensando esse consentimento expresso e formal. Quanto à necessidade consentimento, esse deverá ser feito de forma inequívoca e se por escrito com cláusula destacada e esclarecida, inclusive por meio eletrônico, formulário, meio físico, whatsapp. Qualquer meio utilizado pelo titular deverá assegurar o pleno conhecimento do tipo de tratamento a ser realizado pelo controlador.
No banco de dados da minha empresa, tenho registros de clientes não me pagaram e não constam mais no SPC por conta do prazo. Como fica esta informação interna da minha empresa?
R: O prazo máximo para permanência de cadastros negativos é de 5 anos, conforme dispõe o CDC. Desta forma, outros cadastros internos ‘negativos’ não devem permanecer internamente na empresa.
Quantos zaps de cobrança podemos enviar por dia a uma mesma pessoa? Também precisa autorização?
R: A cobrança por meio de mensagens deve observar a razoabilidade, conforme dispõe o CDC (artigos 42 e 71). Portanto, a cobrança não pode interferir com seu trabalho, descanso ou lazer, evitando-se excessos, como por exemplo mensagens mais de uma vez por dia. Se a mensagem já foi encaminhada ao consumidor inadimplente no dia, qual a necessidade enviar todos os dias? Parece exagerado e desnecessário.
As lojas vão poder continuar enviando e-mail marketing para os clientes com promoções?
Sim, nesse caso é possível utilizar o critério do Legítimo Interesse. Essa base legal autoriza a utilização de dados pessoais para apoio e promoção das atividades da empresa. Exemplo: um e-mail para seus clientes informando a alteração do endereço da empresa; realização da pesquisa de clima organizacional na empresa; pesquisas de mercado junto aos associados.
Em vários sites de banco de dados de currículos exigem RG e CPF, essa solicitação de informações é permitida?
R: A exigência de RG e CPF parece razoável e dentro do legítimo interesse do controlador para o propósito de identificar o candidato à vaga pleiteada. Sugere-se também que o banco de dados de currículo solicite formalmente no formulário preenchido pelo candidato, o seu consentimento formal/expresso para que os dados cadastrais e pessoais informados, sejam utilizados com a finalidade exclusiva de candidatura à vaga de emprego, podendo os mesmos ser compartilhados para este propósito.
Um grande ponto será o aculturamento do funcionário quanto à questão da proteção de dados. Pode ser adicionado ao contrato de trabalho cláusula ref. ao não atendimento destas normas?
R: No Contrato de Trabalho do empregado, o empregador deverá incluir cláusulas expressas (mediante termo aditivo por exemplo) de que o empregador em cumprimento a Lei 13.709/2018 (LGPD) utilizará dados biométricos (para quem utiliza de controle de ponto nesse sistema), e outras cláusulas de que os dados pessoais são utilizados para tratamento (transmissão, compartilhamento, coleta, dentre outros), nos termos da bases legais da Lei 13.709/2020.
Mas a LGPD já está valendo?
A LGPD foi sancionada no dia 14 de Agosto de 2018, tendo o marco para início em data de 28 de Dezembro de 2018. Após algumas adequações na referida legislação, a vigência foi pré-definida para sua entrada, sendo que entrou totalmente em vigor a partir de 1º de Agosto de 2021, quando então se iniciou a possibilidade de aplicação das Sanções Administrativas.
Quais são as possíveis penalidades para quem não estiver aderente a LGPD?
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária, observado o limite total a que se refere, a R$ 000.000,00 (cinquenta milhões de reais) por infração;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período.
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Por onde começar?
- Conscientização;
- Identificação das áreas afetadas;
- Mapeamento dos dados;
- Avaliação das bases legais;
- Indicar DPO – O Encarregado é a pessoa responsável por manter a adequação com a LGPD na sua empresa, se relacionar com a Autoridade Nacional de Proteção de Dados (ANPD) e responder às requisições dos titulares de dados pessoais. Atualmente, toda e qualquer empresa necessita de um Encarregado, que pode ser empregado ou
O que deverá ser adequado?
- Produtos ou serviços;
- Contratos internos (empregados);
- Contratos com fornecedores;
- Adequação do sistema
O mais importante para o sucesso da adequação à LGPD é que todos os colaboradores da empresa entendam sua relevância, zelando pelo cumprimento da LGPD. Não é uma responsabilidade apenas dos sócios, gerentes, departamentos jurídicos ou de tecnologia da informação!
Autor: MMD Advogados