Como a LGPD vai impactar o departamento pessoal das empresas

Ana Paula Araujo Leal Cia

Flávia Lubieska Kischelewski

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2019) entrará em vigor em agosto de 2020 e as empresas deverão atentar-se para o impacto da legislação no departamento de recursos humanos.

A referida legislação busca proteger as informações que identificam ou tornam identificáveis as pessoas físicas, seja em meios físicos ou digitais. Nesse sentido, a lei não faz distinção entre o grande e o pequeno empresário, isso significa que todos terão, obrigatoriamente, que cumprir a legislação.

Igualmente, a lei, também, não trouxe disposições específicas sobre os impactos nas relações de trabalho, no entanto, diante da possibilidade de aplicação de penalidades altíssimas, que podem chegar até 2% do faturamento da empresa por infração, recomenda-se extrema atenção na utilização dos dados pessoais de trabalhadores pelas empresas.

É fato que o empregador sempre foi obrigado a utilizar os dados fornecidos pelo seu colaborador apenas e tão somente com finalidades necessárias para os fins empregatícios, sob pena de responder por eventual indenização por danos materiais e morais.

Nesse sentido, durante toda a relação de trabalho o empregador se utiliza de dados pessoais dos trabalhadores, sendo preciso avaliar qual a chamada base legal adequada para cada operação de tratamento desses dados, pois o consentimento nem sempre será a resposta certa.

Além disso, é preciso prover segurança para resguardar a proteção das informações do empregado e refletir sobre qual, depois de encerrada esta relação, o período de guarda dos dados pessoais dos colaboradores. Esse último é um dos questionamentos que muitas empresas devem estar fazendo.

O empregador será o chamado controlador na relação relativa ao tratamento de dados pessoais. Assim, é sobre o empregador que recairão as responsabilidades pelas atividades que desenvolver e que envolver os dados pessoais de sua equipe. O empregador também terá o ônus da prova relativo à demonstração do consentimento, quando houver esta discussão e a necessidade dessa evidência, por exemplo.

Somados aos dados dos empregados, em inúmeros casos, o empregador tem acesso a dados pessoais dos dependentes destes, seja para planos de saúde, seja para outras finalidades. A responsabilidade do empregador é ainda maior nessas hipóteses, vez que se poderá ter acesso a dados pessoais sensíveis e informações de crianças e adolescentes.

Como lidar com todas essas situações? E o que fazer se for preciso transmitir as informações do empregado a terceiros, como um contador ou um advogado, por exemplo? Por quanto tempo devo manter o meu banco de dados?

A resposta não é uma apenas e cada circunstância deverá ser ponderada à luz da legislação aplicável, que não se limitará à LGPD.

No que concerne os prazos de manutenção, é importante destacar que, excluindo-se situações especiais, o empregador deverá manter, por no mínimo dois anos, após extinto o contrato de trabalho documentos relativos ao pacto laboral. Sendo esse o sentido do artigo 7º, inciso XXIX da Constituição Federal:

Art. 7º São direitos dos trabalhadores urbanos e rurais, além de outros que visem à melhoria de sua condição social:

(…)

XXIX – ação, quanto aos créditos resultantes das relações de trabalho, com prazo prescricional de cinco anos para os trabalhadores urbanos e rurais, até o limite de dois anos após a extinção do contrato de trabalho; (…)

Há que se dizer que, mesmo após a decisão judicial transitada em julgado, recomenda-se a guarda de documentos relativos ao vínculo de emprego diante da possibilidade de ingresso de eventual ação rescisória, cujo prazo é de dois anos contados do trânsito em julgado da última decisão proferida no processo, segundo o disposto nos artigos 836 da Consolidação das Leis do Trabalho e 975 do Código de Processo Civil, ressalvados os casos previstos nos parágrafos segundo e terceiro do artigo 975:

Art. 836. É vedado aos órgãos da Justiça do Trabalho conhecer de questões já decididas, excetuados os casos expressamente previstos neste Título e a ação rescisória, que será admitida na forma do disposto no Capítulo IV do Título IX da Lei no 5.869, de 11 de janeiro de 1973 – Código de Processo Civil, sujeita ao depósito prévio de 20% (vinte por cento) do valor da causa, salvo prova de miserabilidade jurídica do autor.

Art. 975. O direito à rescisão se extingue em 2 (dois) anos contados do trânsito em julgado da última decisão proferida no processo.

  • 1º Prorroga-se até o primeiro dia útil imediatamente subsequente o prazo a que se refere o caput, quando expirar durante férias forenses, recesso, feriados ou em dia em que não houver expediente forense.
  • 2º Se fundada a ação no inciso VII do art. 966, o termo inicial do prazo será a data de descoberta da prova nova, observado o prazo máximo de 5 (cinco) anos, contado do trânsito em julgado da última decisão proferida no processo.
  • 3º Nas hipóteses de simulação ou de colusão das partes, o prazo começa a contar, para o terceiro prejudicado e para o Ministério Público, que não interveio no processo, a partir do momento em que têm ciência da simulação ou da colusão.

Em sendo assim, destaca-se a necessidade de criação de programas internos de proteção de dados, com o suporte de especialistas, a fim de ser implementada a adequação à LGPD e para minimizar os riscos relacionados com a segurança da informação.

Esse programa, como visto, deverá inclusive compreender processos que disponham sobre etapas posteriores ao encerramento da relação de trabalho, sobretudo no que se referir à continuidade da utilização de dados e sobre quais dados pessoais deverão ser mantidos pela empresa.

 

 

Cultura da privacidade ganha força com a LGPD e empresas têm pouco tempo para se preparar

Flávia Lubieska Kischelewski, advogada do Núcleo Digital de Prolik Advogados (Por Arion Ferreira)

As empresas brasileiras já estão correndo contra o tempo para se adaptarem às novas regras sobre privacidade trazidas pela Lei Geral de Proteção de Dados (LGPD). A lei entra em vigência em agosto de 2020, mas é longa a lista de tarefas necessárias para que elas reduzam o risco de vazamento ou uso indevido das informações que vão armazenando sobre as pessoas com quem se relacionam. Alinhada aos princípios da legislação europeia, a LGPD prevê punições severas para quem não proteger adequadamente dados em seu poder – como números de documentos, informações biométricas, orientação sexual, preferências políticas e religiosas, entre outros – que permitam identificar pessoas físicas, sem o seu consentimento.

Durante o Seminário sobre a LGPD e a Cyber Segurança, promovido por Prolik Advogados, a advogada Flávia Lubieska Kischelewski disse que a “ampulheta já virou” e apresentou o passo a passo a ser seguido pelas empresas, conforme o Programa de Adequação à LGPD desenvolvido pelo Núcleo Digital do escritório.. O seminário reuniu dezenas de empresários e contou também com a palestra de Domingo Montanaro, um dos mais conhecidos peritos em cyber risco do Brasil.

O Programa de Adequação prevê que o trabalho comece pelo inventário de dados em poder de cada empresa, além da avaliação de riscos e do grau de conformidade à lei geral e a legislação de cada segmento. Nessa etapa, também será preciso compreender as dinâmicas de segurança das informações coletadas nas mais variadas atividades das empresas – desde os dados de seus empregados, até aqueles que chegam pelas portarias e recepções, os que constam nos contratos de prestação de serviço, que vêm por e-mail ou são obtidos em funil de vendas dos marketplaces. Também é hora de checar a existência de mecanismos de governança, a utilização de imagens de colaboradores e o monitoramento do ambiente de trabalho.

Essa etapa se encerra com um diagnóstico sobre a origem, a quantidade e a natureza de dados, a forma como estão armazenados, quem tem acesso a eles e qual o risco potencial de que saiam indevidamente de dentro da empresa.

A seguir, um plano de ação definirá o que fazer para garantir que os dados pessoais fiquem protegidos e não sejam usados para fins não autorizados. Isso inclui desde a revisão de contratos até a criação de políticas internas de segurança. Conforme o perfil da empresas, poderá haver a criação de comitê de privacidade e a indicação de um encarregado, o chamado Data Protection Officer.

Flávia ressaltou que esse trabalho precisa contar com o empenho pessoal dos dirigentes, já que implica em mudança de cultura e trabalho contínuo.

 

“Privacy by design”: a criação de produtos e serviços, de acordo com a LGPD

Por Eduardo Mendes Zwierzikowski

O advogado Eduardo Mendes Zwierzikowski atua no setor Cível do Prolik.

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018 – LGPD) em agosto de 2020, o desenvolvimento de novos sistemas, projetos, serviços e aplicativos, enfim, todas as soluções que envolvam o tratamento de dados pessoais, deverá proteger a privacidade do usuário desde a sua concepção.

O “Privacy by Design” é um conceito criado por Ann Cavoukian, antiga Comissária de Informação e Privacidade da província de Ontário, Canadá, que parte da premissa de que a privacidade deve ser levada em consideração em todo o processo de criação e desenvolvimento da arquitetura de sistemas de informação.

A LGPD prestigia o “privacy by design” ao prever que devem ser observadas, desde a fase de concepção do produto ou do serviço até a sua execução, as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (art. 46 e parágrafo segundo, da Lei n.º 13.709/2018).

Para que o tratamento, isto é, toda e qualquer operação envolvendo dados pessoais, possa ser realizado de acordo com a LGPD, as novas aplicações devem seguir os dez princípios básicos trazidos pela lei, que são os seguintes: (i) finalidade, ou seja, a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular; (ii) adequação do tratamento com as finalidades informadas; (iii) necessidade; (iv) livre acesso aos dados ao usuário; (v) qualidade dos dados; (vi) transparência; (vii) segurança; (viii) prevenção; (ix) não discriminação e (x) responsabilização/prestação de contas.

A partir desses preceitos, desdobram-se outros direitos garantidos ao titular dos dados, como o de confirmar a existência do tratamento, a correção de dados incompletos, inexatos ou desatualizados, o acesso aos dados, a anonimização, o bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei, a portabilidade dos dados para outro fornecedor de serviço ou produto, a eliminação de dados tratados sem o seu consentimento e a obtenção de informações sobre o compartilhamento dos dados.

Diante da abrangência da proteção legal, a privacidade do usuário deve ser a configuração padrão no desenvolvimento de aplicações, incluindo-o no centro da inovação. Para que seja cumprido o dever de transparência imposto pela LGPD, o titular deve ter à disposição os meios aptos ao gerenciamento de seus dados de maneira segura e eficaz.

A necessidade de as empresas fortalecerem os mecanismos de segurança aos dados pessoais, como dito, também se destina a prevenir a ocorrência de danos em todo o ciclo de vida dos dados, por meio de uma postura proativa, ao invés de reativa.

No momento de desenvolvimento desse novo produto ou serviço, também deverá ser estabelecida qual é a base legal que permitirá a utilização dos dados pessoais do cliente, se eles são de fato necessários à execução da atividade, ou, ainda, se é imprescindível obter o consentimento do titular, pois existem exceções na LGPD que o dispensam, como legítimo interesse, cumprimento de obrigação legal, exercício regular de direitos, proteção da vida, ao crédito, tutela da saúde, dentre outros.

É recomendável que o processo prévio de análise acerca da adequação de um novo produto ou serviço às exigências trazidas pela LGPD seja condensado em um “relatório de impacto à proteção de dados pessoais”, documento que poderá ser exigido pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), no qual são descritos os processos de tratamento de dados pessoais que têm condições de gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação do risco inerente a essa atividade.

Como visto, a constituição de novas soluções, principalmente na indústria 4.0, passa por significativa mudança com a LGPD, diante da necessidade de serem adequados diversos processos internos das empresas, no âmbito técnico e jurídico, como forma de prevenir a aplicação de sanções administrativas ou judiciais derivadas de seu descumprimento.

Prolik Advogados traz cyber especialista para Seminário sobre Lei Geral de Proteção a Dados Pessoais

Domingo Montanaro vai falar a empresários de Curitiba sobre riscos e cyber segurança

A convite do escritório Prolik Advogados, um dos maiores especialistas brasileiros em crimes cibernéticos, Domingo Montanaro, vem a Curitiba no próximo dia 27 (terça-feira) para o seminário “A Lei Geral de Proteção de Dados Pessoais e a Cyber Segurança”. A LGPD entra em vigência em agosto de 2020 e empresas de todos os portes têm uma longa lista de providências a tomar para cumprir as novas regras e evitar sanções. A maioria ainda não começou o processo de adaptação, que é extenso e demorado.

O seminário começa às 8h30 com welcome coffee, e será realizado no auditório do Edifício Nerina Caillet, que fica do 19° andar da Marechal Deodoro, 497. As inscrições são gratuitas e devem ser feitas pelo link http://prolik.com.br/evento/. Com vagas limitadas e direcionados a empresas de todos os portes, inclusive startups, o evento tem o apoio do Vale do Pinhão e da Agência Curitiba de Desenvolvimento.

Passo a passo

A advogada especialista Flávia Lubieska Kischelewski, do Núcleo Digital de Prolik Advogados, vai apresentar o novo cenário legal, esclarecer dúvidas sobre o impacto da LGPD nas rotinas administrativas das empresas e apresentar um passo a passo a ser cumprido pelas empresas para se adaptarem à nova lei. O vazamento de dados de pessoas físicas poderá ser punido com multas que chegam a R$ 50 milhões, além de prejudicar a reputação das companhias.

Professor e palestrante, Domingo Montanaro detém um histórico de sucesso em mitigação de risco cibernético e combate aos crimes informáticos desde 1999. Montou células de perícia, investigação e inteligência em instituições financeiras e órgãos governamentais, bem como treinou forças policiais e militares em diversos países (Brasil, EUA, Colômbia, Emirados Árabes Unidos e Arábia Saudita) ao longo de sua carreira.

Atuou, para um grande banco brasileiro, na investigação e assistência técnica pericial da primeira sentença de prisão por crime na Internet no Brasil, em 2004. Desde então, liderou investigações que acarretaram em mais de 200 prisões por esse tipo de delito, apresentando constantemente êxito em suas atuações perante a justiça.

Pioneiro em Inteligência Cibernética no território brasileiro, em 2013 inovou construindo em sua startup plataforma de coleta e análise de ameaças, que em 2017 recebeu selo EED (“Empresa Estratégica de Defesa”) do Ministério da Defesa do Brasil.

Nos últimos 17 anos proferiu mais de 50 palestras em mais de 15 países sobre suas pesquisas e atuações vitoriosas em casos complexos, inclusive em colaboração com polícias especializadas. Atua como professor convidado sobre segurança da informação e perícia técnica em delitos praticados por meios eletrônicos nos cursos de pós graduação das mais renomadas escolas brasileiras, tais como FGV, Mackenzie, USP, Insper, Escola Paulista de Direito e Escola Paulista da Magistratura do Tribunal de Justiça de São Paulo.

SERVIÇO

Seminário “A Lei Geral de Proteção de Dados Pessoais e a Cyber Segurança”

Palestrantes: Domingo Montanaro, especialista em cyber segurança, e Flávia Lubieska Kischelewski, advogada especialista em direito digital

Data: 27/08/2019 às 8h30 (com wellcome coffee)

Local: Prolik Advogados – Rua Marechal Deodoro, 497 – 19º Andar

Organização: Núcleo de Direito Digital de Prolik Advogados

Apoio: Vale do Pinhão e Agência Curitiba de Desenvolvimento

Inscrições gratuitas: http://prolik.com.br/evento/

CRC PR Notícias entrevista advogada Flávia Kiscvhelewski

Lei Geral de Proteção de Dados impactará empresas de serviços contábeis

Lei entrará em vigor em agosto de 2020


 16/07/2019   |    Karin Oliveira Silva

A Lei Geral de Proteção de Dados (LGPD), instituída pela Lei 13.709/2018 e alterada pela Lei 13.853/2019, entrará em vigor em agosto de 2020. A LGPD trará a necessidade de adaptação por parte das empresas, inclusive de serviços contábeis, para que processos, práticas e políticas de proteção e governança de dados estejam de acordo com a nova legislação. O Conselho Regional de Contabilidade do Paraná (CRCPR) planeja a realização de palestra sobre o tema para alertar e orientar os escritórios e profissionais de contabilidade a este novo contexto.

Na manhã do dia 16, o CRCPR recebeu a visita da advogada Flávia Lubieska Kischelewski, representando na oportunidade o escritório de advocacia Prolik Advogados. Na reunião, que contou com a presença do presidente do CRCPR, Marcos Rigoni, do vice-presidente de Administração e Finanças, Laudelino Jochem e do diretor superintendente, Gerson Borges de Macedo, foi discutida a LGPD e a possibilidade de realização da palestra sobre o assunto.

Advogada Flavia Lubieska fala sobre a Lei Geral de Proteção de Dados

O Boletim CRCPR, entrevistou a advogada Flávia Kischelewski sobre o tema. Acompanhe!CRCPR Online: Por que a LGPD é importante para consumidores e empresas?

Flávia Kischelewski (FK): O impacto desta lei é similar ao advento do código do consumidor, pois cria um novo regramento de proteção à pessoa física. Para proteger dados pessoais, a lei exigirá das empresas mais conhecimento e gestão sobre os dados. Hoje, nossos dados são livremente fornecidos a terceiros e não há clareza, por exemplo, sobre seu uso. A partir da implementação da lei, as pessoas poderão entrar em contato com as empresas e entender como são utilizados e compartilhados seus dados.

CRCPR Online: Quais são as principais mudanças para a gestão de empresas no que se refere a LGPD?

FK: A lei garantirá a segurança das informações, exigindo mais transparência na gestão e uso de dados, incluindo a coleta, compartilhamento, armazenamento e até exclusão de bancos de dados. As empresas precisarão ponderar sobre a necessidade deste uso. Em determinados casos, será necessário obter consentimento do cliente para usar estes dados. Então, será necessária uma grande revisão de processos, práticas e políticas.

CRCPR Online: As empresas de serviços contábeis serão afetadas pela Lei?

FK: Sim, pois ela atingirá todos aqueles que realizem tratamento de dados pessoais, portanto de pessoas física, seja em meios físicos ou digitais.

CRCPR Online: Qual o prazo para que as empresas se adequem à nova legislação?

FK: A Lei entrará em vigor em agosto de 2020. Nesta data ela estará vigente e eficaz, tornando todos os requisitos obrigatórios. É importante reforçar que as empresas precisam estar preparadas desde já, pois para implantar um programa de conformidade, precisarão fazer diagnósticos, avaliar riscos, fazer revisão de acordos de consentimento e etc. Na minha previsão, todo este trabalho pode demorar até 12 meses. Então para se estar pronto é essencial começar a avaliar sua empresa logo.

CRCPR Online: O que acontecerá com as empresas que não realizarem as alterações?

FK: Caso algum item da legislação não seja cumprido, a Autoridade Nacional de Proteção de Dados fiscalizará e punirá as empresas. A Lei prevê a possibilidade de emitir advertências, notificações, determinações administrativas, como a exclusão de um banco de dados, e até multas, que podem chegar a R$ 50 milhões por infração.

Sua empresa está preparada para a LGPD?

Por Flávia Lubieska N. Kischelewski

A advogada Flávia Lubieska Kischelewski atua no setor societário do Prolik.

Sua empresa está preparada para a Lei Geral de Proteção de Dados (LGPD)? Esta é a pergunta que muitos empresários e executivos deveriam estar se fazendo ou, num cenário mais otimista, estar em condições de responder positivamente. Todavia, para a grande maioria das empresas, o efetivo conhecimento sobre a LGPD não é ainda uma realidade, embora sua vigência se inicie em meados de agosto de 2020.

A promulgação em 14/08/2018 da Lei nº 13.709/2018 da chamada “Lei Geral de Proteção de Dados” (LGPD) trouxe ao ordenamento jurídico brasileiro novas disposições para a proteção e o tratamento de dados pessoais, seja em meios físicos, seja em meios digitais.

Fortemente inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (General Data Protection Regulation – GDPR – UE 2016/679), a LGPD nasceu com o desafio de pavimentar o caminho que tornará o Brasil um país detentor de níveis mínimos de proteção de dados pessoais, permitindo a continuidade da troca de informações pessoais com países da União Europeia. Sem isso, muitas atividades de comércio e serviços internacionais poderiam vir a ser prejudicadas num futuro próximo, assim como ações rotineiras de órgãos públicos, por exemplo.

Ao mesmo tempo em que o governo brasileiro começou a fazer sua parte para a adequação às melhores práticas internacionais (havendo ainda muito trabalho pela frente, especialmente com vistas à criação da Autoridade Nacional de Proteção de Dados – ANPD), é imprescindível que a iniciativa privada também passe a agir, voltando-se à governança de dados e à adoção de programas internos de adequação à nova Lei.

Nesse contexto, as empresas devem, primeiramente, conhecer a LGPD, considerando as alterações decorrentes da Medida Provisória 869/2018, cujo projeto de Lei de Conversão foi aprovado pelo Senado recentemente.

Após esse primeiro contato com a legislação, deve-se passar à etapa de diagnóstico, avaliação ou “assessment”. Essa espécie de auditoria pode ser feita internamente caso a equipe conte com profissionais capacitados. Aqui vale destacar a palavra “equipe”. Com efeito, trata-se de um trabalho multidisciplinar, havendo necessidade de se atacar várias frentes ao mesmo tempo, que exigem conhecimentos jurídicos e técnicos, como de tecnologia da informação, de marketing etc.

Não havendo expertise para conduzir o “assessment” internamente, recomenda-se a contratação de especialistas, os quais devem inicialmente se dedicar a conhecer o negócio do cliente. Isso é importante, pois cada empresa tem um perfil distinto e isso deverá ser levado em consideração quando da definição do modelo de levantamento de informações a ser realizado.

Esse trabalho pode levar alguns meses, dependendo do porte da empresa, de sua organização interna e do tipo de atividade que exerce. O campo de avaliação é amplo e deve cobrir contratos, propostas, documentos de marketing, do setor de recursos humanos, mapeamento de processos, políticas de segurança da informação, tratamento de consentimento na obtenção de informações, finalidades do uso de dados e tantos outros itens.

O período de “assessment” é relevante igualmente para definir qual a forma de atuação da empresa no tratamento de dados (considerando que “tratamento”, nos termos da LGPD, é um conceito extremamente abrangente). Essa identificação revelará quando a empresa será considerada uma controladora de dados e quando será operadora, o que é fundamental para fins de definição das responsabilidades aplicáveis e os riscos inerentes às atividades.

A análise das informações apuradas permitirá a produção de relatório que contemple os riscos existentes e um plano de trabalho para as próximas etapas, seja para correções, melhorias ou implementação de processos, aquisições de softwares etc, entre outras tantas sugestões. Essa segunda etapa é, de longe, ainda mais longa.

Um dos itens da fase implementação é, em regra, a proposição de treinamentos internos sobre a governança de dados e os novos processos que deverão ser conhecidos e praticados. É preciso que haja uma mudança de cultura e uma verdadeira incorporação dos procedimentos de governança de dados no dia a dia da empresa, até mesmo porque o trabalho será contínuo, ou seja, constituirá uma rotina.

Outro aspecto a ser levado em conta é a eventual nomeação do encarregado ou “Data Protecion Officer – DPO”. Será mesmo preciso ter este profissional? Quem pode exercer essa função? Precisa ser uma pessoa física ou uma pessoa jurídica? Essa pessoa ou entidade detém o conhecimento jurídico-regulatório exigido pela LGPD? Pode-se terceirizar e, em caso positivo, seria isso conveniente? Pode o DPO exercer mais de uma função na empresa? Tudo isso deverá ser ponderado diante de cada caso prático para se chegar à melhor resposta.

Não se pode supor que a consultoria será um processo com uma data de término específica (ainda que depois de um longo trabalho). Vale dizer que a consultoria é o primeiro passo que trará as bases e construções iniciais, porque haverá, posteriormente, a necessidade de revisões periódicas e melhorias supervenientes do programa original de adequação e implementação de governança de dados. Lembrando a metáfora de que a empresa é um organismo vivo, deve-se ter em mente que esse organismo deverá ser constantemente nutrido e que, em função das próprias mudanças e crescimento a que ele estará sujeito, o programa deverá ser constantemente revisto e aprimorado.

Essa condição de trabalho constantemente em progresso também decorre do fato de que a ANPD ainda não está constituída e que lhe competirá normatizar e estabelecer diretrizes relativas à Política Nacional de Proteção de Dados Pessoais e da Privacidade, bem como disciplinar padrões para produtos e serviços, estabelecer regras simplificadas e distintas para microempresas, empresas de pequeno porte, startups ou empresas de inovação, aplicar as penalidades legais, firmar compromissos de adequação de conduta com empresas e adotar outras medidas e regramentos.

Esse aspecto não deve ser interpretado como motivação para postergar a adequação à LGPD. Até mesmo porque, atualmente, mesmo sem estar vigente, existem em andamento inúmeros casos de inquéritos civis e até ações civis públicas relativas a coletas e vazamento de dados, com base no Marco Civil da Internet. Há inclusive consequências financeiras para as empresas, sem contar o prejuízo à imagem.

Por todos esses aspectos, é que se conclui pela necessidade de se preparar para o LGPD em caráter preventivo. O comprometimento e o alinhamento devem ser uma iniciativa de caráter “top-down”, isto é, que partem da alta gestão para os demais empregados, colaboradores e, por que não, fornecedores, consultores, prestadores de serviços, terceirizados etc. Também a relação com os clientes deve ser revista, pois poderá merecer ajustes ou comportar espaço para melhorias e até mesmo constituir um novo nicho de mercado.

Os empresários precisam adequar suas operações à LGPD não apenas em razão das severas penalidades a que estarão sujeitos. Cabe considerar que a implantação da governança propiciará uma nova forma de trabalho e que, a despeito dos investimentos que deverão ser feitos, trará competitividade nesse novo mercado que se apresenta a todos. A adequação à Lei Geral trará igualmente a preservação da reputação da marca e da representatividade da empresa no cenário em que atua.

Se o ideal de governança e o destaque no mercado frente à concorrência não são elementos suficientes de convencimento, nunca é demais relembrar as sanções legais. Na hipótese de descumprimento da LGPD pelos agentes de tratamento, a penalidade imposta pode variar de uma advertência, com indicação de prazo para adoção de medidas corretivas, a multas e outras sanções, a saber: a) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; b) multa diária, observado o limite total acima referido; c) publicização da infração após devidamente apurada e confirmada a sua ocorrência; d) bloqueio ou eliminação dos dados pessoais a que se refere a infração até a sua regularização.

Feitas essas considerações, perguntamos novamente: sua empresa está preparada para a LGPD? As iniciativas preventivas são sempre mais econômicas e vantajosas sob diversos pontos de vista, quando comparadas a atuações apressadas decorrentes de sanções ou mesmo da ameaça de punições por autoridades públicas ou para alcançar a concorrência.

Prolik convida clientes para workshop sobre Lei Geral de Proteção de Dados

Sua empresa já está preparada para a Lei Geral de Proteção de Dados? A LGPD foi sancionada em agosto de 2018 e entra em vigor em agosto de 2020. Ao devolver para o cidadão o direito sobre seus dados pessoais, em linha com a legislação europeia, a LGPD vai mudar a maneira como se faz negócios num mundo que gera 2,5 quintilhões de bytes de dados a cada dia.

A advogada Flávia Lubieska Kischelewski, do setor societário do escritório Prolik Advogados, vai falar sobre a abrangência da LGPD no workshop que a Federação das Indústrias do Paraná (Fiep) promove no dia 11 de junho, a partir das 18h30. As vagas são limitadas e as inscrições, gratuitas, podem ser feitas no link https://bit.ly/2wsHxCT.

Por dentro da LGPD

Entre outros aspectos, clientes do Prolik e interessados em geral no assunto receberão informações sobre:

  1. a) O contexto nacional e internacional que levou à promulgação da LGPD
  2. b) O que são dados pessoais
  3. c) Os cuidados a observar na aplicação da legislação – é importante saber que ela não se aplica só a meios digitais
  4. d) Os pontos de atenção que devem ser conhecidos pelos empresários – as diferenças entre dados pessoais e dados pessoais sensíveis, o que é dado anonimizado, as características do consentimento a ser obtido e as pesadas multas, que podem chegar a R$ 50 milhões
  5. e) As consequências da violação da LGPD já ocorrem mesmo antes da vigência da nova Lei – Gigantes como a Uber e a NetShoes já responderam por incidentes de vazamento de dados

Outros temas serão abordados durante o evento. Claudio Neiva, da Gartner, falará sobre o impacto da LGPD nas operações e tecnologias, e a fiscalização estará a cargo de Fabiano Barreto, da Confederação Nacional da Indústria (CNI). A LGPD na prática empresarial será abordada por Valeska Chrestani e Vinicius Gehlen, da Phillip Morris International.

SERVIÇO

Dia 11 de junho, às 18h30, com welcome coffee a partir das 18h

Auditório Caio Amaral – Campus da Indústria | Av. Comendador Franco, 1341 – Jd. Botânico

MP que modifica a Lei Geral de Proteção de Dados é debatida pela Comissão Mista

A Comissão Mista legislativa que analisa a Medida Provisória 869/2018 (“MP”), que modifica a Lei nº 13.709/2019 (“Lei Geral de Proteção de Dados Pessoais”), promoveu audiências públicas nos dias 16 e 17 de abril, com estas pautas: (i) tratamento de dados no setor privado, tratamento automatizado e o direito à explicação; e (ii) compartilhamento e proteção de dados na saúde e na pesquisa científica.

Com relação à questão do tratamento automatizado, vale recordar que a MP alterou o artigo 20 da LGPD, de modo a retirar a obrigatoriedade de um ser humano revisar os dados tratados de forma automatizada. O tema é relevante pois se discute as vantagens econômicas decorrentes exclusivamente da revisão automatizada versus os erros que essas análises podem gerar e que somente seriam revistos por “pessoa natural” (nos termos da redação original da LGPD). Receia-se que a avaliação automatizada possa obstar, por exemplo, o acesso a crédito bancário ou à contratação de planos de saúde, em razão de cruzamentos de dados com bases equivocadas.

A criação da Agência Nacional de Proteção de Dados (“ANPD”) também foi debatida. O formato proposto vem sendo alvo de críticas, não pela sua necessidade, mas pela estrutura administrativa prevista. Pela MP, a ANPD será um órgão da administração pública federal, integrante da Presidência da República, embora o desejável seria que a Autoridade se assemelhasse ao Conselho de Administrativo de Defesa Econômica – CADE, com maior autonomia técnica e financeira.

Já na audiência pública do dia 17 de abril, debateu-se o dispositivo da MP que possibilitaria o compartilhamento de dados pessoais entre entidades privadas sem, em alguns casos, o consentimento do titular. Como divulgado no Portal do Senado Federal, “esses compartilhamentos, na área da saúde, podem ocorrer entre empresas de seguro e hospitais, para efetuar pagamento de serviços; entre profissionais médicos, para composição de diagnósticos; e também entre clínicas e pesquisadores ou órgãos públicos, para subsidiar estudos e políticas públicas”.

Ao mesmo tempo que entidades defendem que o compartilhamento é essencial para a cadeia produtiva do setor, com vistas a aumentar segurança dos procedimentos, contribuir para a formação de políticas públicas e avanços em pesquisa, há aqueles que temem que haja discriminação por parte, por exemplo, de planos de saúde na formação de seus preços.

A MP recebeu 176 emendas e o relatório do deputado Orlando Silva (PCdoB-SP) deve ser apresentado em 23 de abril. Esse relatório será submetido à votação pelo colegiado, passando a constituir parecer da Comissão Mista se aprovado. A advogada Flávia Lubieska N. Kischelewski destaca que a LGPD deve entrar em vigência em agosto de 2020, de modo que as empresas precisam iniciar imediatamente seu plano de adequação e implantação de controles e de governança de dados para atender à nova legislação (uma vez que essas atividades podem levar cerca de 12 meses ou mais para serem concluídas).