Lei Geral de Proteção de Dados Pessoais

Já havia escrito sobre a nova lei que tem por objetivo a proteção de dados pessoais. Pois bem, como houve mudança nos aspectos de vigência e penalidade, acredito ser interessante revermos este assunto.

Pode haver aqueles que não leram o texto inicial, então mantenho aqui o histórico, para uma real compreensão.

Antes de entrar no assunto específico, precisamos entender que o dinamismo empresarial está cada vez mais intenso. A forma de fazer negócios, de se relacionar com os clientes, fornecedores, consumidores tendem a modificar mais rápido que no passado. Um plano de negócio não pode ter vida útil como se esperaria há 5 anos. A tendência é a desatualização de um plano de negócio, a forma de se relacionar com o mercado com um tempo bem menor.

Para se relacionar com os clientes, uma empresa armazenava os dados de seus clientes para enviar mensagens sobre ofertas, lançamentos, promoções, etc. Pois bem, esse armazenamento de dados terá que ser repensado. Tudo por conta das novas regras sobre a Proteção de Dados Pessoais que em alguns países foi estabelecido regras de como fazê-lo, entre os 120 países que já possuem essa regra legal o Brasil estabeleceu esse ordenamento jurídico em 2018, através da Lei nº 13.709 – Lei Geral de Proteção de Dados “LGPD”

Para se entender o histórico dessa questão, houve vazamentos de informações por algumas empresas de mídia social, expondo dados de seus usuários. Com vista a proteger os dados das pessoas, a União Europeia “EU” instituiu, em 2016, o General Data Protection Regulation – “GDPR”, passando a vigorar a partir de 25 de maio de 2018 para empresas que de alguma forma se relacionam com cidadãos da EU, não importando onde se localize. Outros países entraram nesse espírito de proteger os dados de seus cidadãos, inclusive o Brasil.

GDPR vale para todas as empresas que possuírem dados pessoais de cidadãos residentes em países da União Europeia, independentemente da localização da empresa. As penalidades são altas, pode chegar a 4% da receita global anual da empresa ou 20 milhões de euros – o que for maior. No Brasil a penalidade será de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, além de possibilidade multa diária, publicização da infração, suspensão do funcionamento do banco de dados, do exercício da atividade e proibição parcial ou total do exercício da atividade.

A lei brasileira (“LGPD”) começou a vigorar no dia 18 de setembro de 2020. Houve muitas discussões legislativas, por conta de pedidos de pequenas e médias empresas que solicitaram o adiamento da entrada em vigor da nova lei para terem tempo de adequação, isso em razão da pandemia. Mas ao final prevaleceu a data original. Início da vigência em setembro de 2020, mas de forma retroativa a agosto de 2020.

Importante observar que as punições ainda não estão valendo. As denominadas “Sanções Administrativas” estabelecidas nos Arts. 52, 53 e 54 estão previstas para entrar em vigor no dia 1º de agosto de 2020 (Art. 65 I-A).

No dia 27 de agosto de 2020 a presidência da República aprovou a estrutura da Autoridade Nacional de Proteção de Dados (ANPD), através do Decreto nº 10.474, de 26 de agosto de 2020, órgão da administração pública federal, integrante da Presidência da República. No dia 6 de novembro de 2020, foi publicado os decretos com as nomeações de 1 Diretor Presidente e 4 Diretores do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), com mandatos de 6 anos.

Então até agora estamos preparados estruturalmente para iniciar efetivamente a proteção de dados circulante no mercado. Resta a todos os participantes a terem o conceito enraizado em suas estruturas internas.

Mas quais são os dados que se deve proteger? Quaisquer dados que, sozinhos ou em conjunto com outros dados, possam ser utilizados para identificar um indivíduo. Alguns exemplos são: nome, endereço físico, E Mail, endereço de IP, dados financeiros, origem racial, convicção religiosa, opinião política, dados de saúde, dados de comportamento em páginas da internet e qualquer outra informação semelhante. O Art. 5º relaciona os dados a classificação desses dados, aqui listamos alguns: dado pessoal; dado pessoal sensível; dado anonimizado; banco de dados; titular; controlador; operador; encarregado.

Como dito no início deste texto, a forma de se fazer planos de negócio deverão ser repensados, principalmente quando se tratar de armazenamento de dados. Essa regra estabelece que a coleta de dados deve se restringir àquilo que é diretamente útil para o plano de relacionamento com o cliente/consumidor, promovendo o princípio da relevância, da adequação, da transparência e do tempo que permanecerá armazenado.

A estratégia de marketing de cada empresa será o diferencial na busca pela seletividade do público alvo, da coleta de dados com o consentimento expresso de cada Lead[1]. A estratégia de relacionamento com os clientes ou potencial cliente deverá ser repensada e colocando uma nova etapa no início desse relacionamento, com o consentimento expresso do cliente alvo, sem o que não se poderá prosseguir com a comunicação. Este aspecto é imprescindível. Para melhor esclarecimento: a lei esclarece que serão nulas as autorizações genéricas para o tratamento de dados pessoais.

Outro princípio que se deve ter em conta diz respeito à necessidade, em outras palavras, a coleta deve ser feita visando a necessidade. O objetivo da coleta tem como escopo a finalidade que se destina, não havendo a necessidade de se coletar todas as informações pessoais para o plano de relacionamento. Há que se limitar a coleta de dados ao que é necessário para a finalidade do plano de relacionamento empresarial.

A segurança e a transparência do armazenamento dos dados pessoais devem estar bem definidas. Casa pessoa pode solicitar informação sobre seus dados e até a sua remoção.

O vazamento de qualquer informação por quebra de segurança proporcionará problemas para a empresa, tendo que fazer comunicado ao público em geral além das penalidades.

As análises e estratégias deverão ser revisadas para que a empresa não esteja vulnerável sob o ponto de vista legal e de marketing.

Neste aspecto há deveres para todos aqueles que precisam guardar algum dado de seus clientes, empresas grandes e micro empresas. Não há distinção. Armazenar alguma informação poderá causar impactos sensíveis aos negócios.

Há empresas que já criaram suas estruturas para treinar, suportar, enfrentar os desafios que virão. Mas outras não tem porte para tanto, e necessitam de auxílio de profissionais que podem executar estes serviços de forma eficaz.

Conte conosco!

[1] Lead é uma oportunidade de negócio que forneceu suas informações de contato, como nome e E Mail, em troca de uma oferta da empresa.