Nova lei adia a aplicação de sanções da LGPD

Por Eduardo Mendes Zwierzikowski

A recente Lei que instituiu o Regime Jurídico Emergencial de Direito Privado (Lei Federal nº 14.010/2020) também alterou a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018), a fim de adiar a imposição das suas sanções para 1º de agosto de 2021.

A entrada em vigor da própria LGPD já havia sido objeto da Medida Provisória nº 959, que postergou a sua eficácia plena para 03 de maio de 2021.

No quadro legislativo atualmente vigente, a LGPD deverá entrar em vigor em 03 de maio de 2021, mas as penalidades pelo seu descumprimento somente poderão ser cominadas três meses após, a partir de 1º de agosto daquele ano.

Destaque-se, contudo, que esses prazos não são definitivos, pois a MP nº 959 ainda não foi apreciada pelo Congresso Nacional. Na hipótese de ela ser rejeitada ou então perder a eficácia por ausência de apreciação do texto pelo parlamento, a vigência prevista originalmente para agosto de 2020 pode se concretizar, mas, nesse caso, com sanções apenas para agosto de 2021.

Caso a MP seja aprovada da forma como foi apresentada pela Presidência da República, tanto a vigência plena da LGPD, quanto a possibilidade de punição são diferidas para 03 de maio de 2021.

As sanções administrativas aplicáveis pela Autoridade Nacional de Proteção de Dados (pendente de criação) são as seguintes: (i) advertência; (ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos tributos, limitada, no total a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (iii) multa diária; (iv) publicização da infração; (v) bloqueio ou eliminação dos dados pessoais ligados ao ilícito; (vi) suspensão parcial do funcionamento do banco de dados e do tratamento de dados ligados à infração pelo prazo máximo de 6 (seis) meses, prorrogável por igual período; e (viii) proibição total ou parcial do exercício de atividades relacionadas a tratamento de dados.

A discussão quanto aos prazos de eficácia total ou parcial da LGPD (sanções), como visto, permanece aberta, mas fato é que a necessidade de adequação das empresas continua sendo necessária, pois a proteção de dados pessoais é uma realidade observada em muitos contratos empresariais e na atuação de autoridades públicas, como o Ministério Público do Distrito Federal e Territórios.

MP adia início da LGPD

Empresas não devem, entretanto, descuidar.

Por Eduardo Mendes Zwierzikowski e Flávia Lubieska

A Lei Geral de Proteção de Dados Pessoais (LGPD) nº 13.709/2018 teve a sua entrada em vigor adiada para 03 de maio de 2021,conforme Medida Provisória nº 959, publicada em 29/04/2020.

Antes mesmo da pandemia da COVID-19, havia dúvidas por de parte das empresas e de instituições públicas quanto ao adiamento da eficácia plena da LGPD, originalmente prevista para agosto de 2020, em razão da tramitação de alguns projetos de lei e também da demora na criação da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados e da Privacidade.

Já o Ministério Público Federal havia enviado, no último dia 14/04, nota técnica para o Congresso Nacional, defendendo que a LGPD entrasse em vigor em 20 de agosto de 2020, adiando-se para 2021 apenas a aplicação das sanções administrativas.

Apesar disso, a postergação do início da LGPD é uma realidade, embora a MP trate de vários assuntos ao mesmo tempo e não seja possível compreender a racionalidade existente no prazo escolhido pela União.

É necessário destacar, contudo, que a Medida Provisória possui força de lei e produz efeitos imediatos, mas dependerá da análise do Congresso Nacional para a sua transformação definitiva em lei. Como toda e qualquer MP, ela tem vigência de sessenta dias, prorrogáveis por igual prazo, no caso, o dia 29 de agosto de 2020.

Na hipótese de ela ser rejeitada pelo Congresso ou perder eficácia pela ausência de apreciação do texto, caberá ao parlamento a edição de um decreto legislativo para disciplinar os efeitos produzidos no ordenamento jurídico, enquanto a medida esteve em vigor. Essa situação seria capaz de manter a vigência prevista originalmente (agosto de 2020).

O Congresso poderá, ainda, alterar as disposições da MP, momento em que ela passa a tramitar como um Projeto de Lei de conversão, retornando para a Presidência da República para sanção ou veto parcial ou integral.

Diante do cenário completamente extraordinário em que vivemos, mostra-se relevante a prorrogação, tanto do ponto de vista econômico, mas principalmente para possibilitar um prazo maior para que as empresas que ainda não implantaram um programa de conformidade com a LGPD possam fazê-lo, de modo sereno e sem atropelos, sempre tendo como norte que, em agosto de 2020 ou maio de 2021, a lição de casa deverá ser feita.

Como o processo de adequação é relativamente demorado e como, mesmo antes da vigência da LGPD, grandes empresas já exigem a conformidade por parte de seus fornecedores, o prazo adicional conferido pela MP não deve servir como “conforto” para as empresas. Em tempos de ajustes econômicos, estar conforme com a LGPD pode ser um fator de destaque perante a concorrência.

Compartilhamento indevido de dados pessoais gera dano moral

Por Eduardo Mendes Zwierzikowski

O Superior Tribunal de Justiça (STJ) decidiu, recentemente, que o compartilhamento de bancos de dados com informações pessoais, sem a prévia comunicação ao consumidor, gera dano moral presumido, isto é, sem que seja necessária a prova do abalo à personalidade daquele que tem os seus dados difundidos indevidamente a terceiros.

O entendimento se baseou no dever de informação previsto no Código de Defesa do Consumidor (CDC), que impõe a obrigação de comunicar por escrito ao consumidor a abertura de cadastro, ficha, registro, dados pessoais e de consumo, quando não solicitada por ele.

No caso apreciado pelo tribunal, os dados pessoais de pessoa física eram comercializados por meio de um serviço denominado “know your customer” (conheça seu cliente, em tradução livre), que continha um relatório com diversas informações para empresas que necessitam confirmar dados cadastrais e realizar análise de concessão e recuperação de crédito.

Esse cenário deverá ser ampliado com a entrada da Lei Geral de Proteção de Dados (LGPD), em agosto de 2020. O tratamento de dados pessoais ganhará um novo regramento, que ampliará significativamente a proteção dos usuários de produtos e serviços. Em contraponto, exigirá um amplo trabalho de adequação de todas as empresas, que também serão atingidas pela norma.

De maneira semelhante ao dever de informação do CDC, um dos princípios da LGPD é justamente a “transparência”, por meio da “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização de tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial” (art. 6º, inciso VI).

Assim, a decisão em apreço serve de alerta sobre as consequências do uso indevido de dados pessoais, de maneira desnecessária, inadequada ou sem um propósito legítimo, específico, explícito e informado ao titular, cujo dano poderá ser objeto de sanções administrativas ou indenizações civis, inclusive nos casos em que não existe prova de dano efetivo.

Como a LGPD vai impactar o departamento pessoal das empresas

Ana Paula Araujo Leal Cia

Flávia Lubieska Kischelewski

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2019) entrará em vigor em agosto de 2020 e as empresas deverão atentar-se para o impacto da legislação no departamento de recursos humanos.

A referida legislação busca proteger as informações que identificam ou tornam identificáveis as pessoas físicas, seja em meios físicos ou digitais. Nesse sentido, a lei não faz distinção entre o grande e o pequeno empresário, isso significa que todos terão, obrigatoriamente, que cumprir a legislação.

Igualmente, a lei, também, não trouxe disposições específicas sobre os impactos nas relações de trabalho, no entanto, diante da possibilidade de aplicação de penalidades altíssimas, que podem chegar até 2% do faturamento da empresa por infração, recomenda-se extrema atenção na utilização dos dados pessoais de trabalhadores pelas empresas.

É fato que o empregador sempre foi obrigado a utilizar os dados fornecidos pelo seu colaborador apenas e tão somente com finalidades necessárias para os fins empregatícios, sob pena de responder por eventual indenização por danos materiais e morais.

Nesse sentido, durante toda a relação de trabalho o empregador se utiliza de dados pessoais dos trabalhadores, sendo preciso avaliar qual a chamada base legal adequada para cada operação de tratamento desses dados, pois o consentimento nem sempre será a resposta certa.

Além disso, é preciso prover segurança para resguardar a proteção das informações do empregado e refletir sobre qual, depois de encerrada esta relação, o período de guarda dos dados pessoais dos colaboradores. Esse último é um dos questionamentos que muitas empresas devem estar fazendo.

O empregador será o chamado controlador na relação relativa ao tratamento de dados pessoais. Assim, é sobre o empregador que recairão as responsabilidades pelas atividades que desenvolver e que envolver os dados pessoais de sua equipe. O empregador também terá o ônus da prova relativo à demonstração do consentimento, quando houver esta discussão e a necessidade dessa evidência, por exemplo.

Somados aos dados dos empregados, em inúmeros casos, o empregador tem acesso a dados pessoais dos dependentes destes, seja para planos de saúde, seja para outras finalidades. A responsabilidade do empregador é ainda maior nessas hipóteses, vez que se poderá ter acesso a dados pessoais sensíveis e informações de crianças e adolescentes.

Como lidar com todas essas situações? E o que fazer se for preciso transmitir as informações do empregado a terceiros, como um contador ou um advogado, por exemplo? Por quanto tempo devo manter o meu banco de dados?

A resposta não é uma apenas e cada circunstância deverá ser ponderada à luz da legislação aplicável, que não se limitará à LGPD.

No que concerne os prazos de manutenção, é importante destacar que, excluindo-se situações especiais, o empregador deverá manter, por no mínimo dois anos, após extinto o contrato de trabalho documentos relativos ao pacto laboral. Sendo esse o sentido do artigo 7º, inciso XXIX da Constituição Federal:

Art. 7º São direitos dos trabalhadores urbanos e rurais, além de outros que visem à melhoria de sua condição social:

(…)

XXIX – ação, quanto aos créditos resultantes das relações de trabalho, com prazo prescricional de cinco anos para os trabalhadores urbanos e rurais, até o limite de dois anos após a extinção do contrato de trabalho; (…)

Há que se dizer que, mesmo após a decisão judicial transitada em julgado, recomenda-se a guarda de documentos relativos ao vínculo de emprego diante da possibilidade de ingresso de eventual ação rescisória, cujo prazo é de dois anos contados do trânsito em julgado da última decisão proferida no processo, segundo o disposto nos artigos 836 da Consolidação das Leis do Trabalho e 975 do Código de Processo Civil, ressalvados os casos previstos nos parágrafos segundo e terceiro do artigo 975:

Art. 836. É vedado aos órgãos da Justiça do Trabalho conhecer de questões já decididas, excetuados os casos expressamente previstos neste Título e a ação rescisória, que será admitida na forma do disposto no Capítulo IV do Título IX da Lei no 5.869, de 11 de janeiro de 1973 – Código de Processo Civil, sujeita ao depósito prévio de 20% (vinte por cento) do valor da causa, salvo prova de miserabilidade jurídica do autor.

Art. 975. O direito à rescisão se extingue em 2 (dois) anos contados do trânsito em julgado da última decisão proferida no processo.

  • 1º Prorroga-se até o primeiro dia útil imediatamente subsequente o prazo a que se refere o caput, quando expirar durante férias forenses, recesso, feriados ou em dia em que não houver expediente forense.
  • 2º Se fundada a ação no inciso VII do art. 966, o termo inicial do prazo será a data de descoberta da prova nova, observado o prazo máximo de 5 (cinco) anos, contado do trânsito em julgado da última decisão proferida no processo.
  • 3º Nas hipóteses de simulação ou de colusão das partes, o prazo começa a contar, para o terceiro prejudicado e para o Ministério Público, que não interveio no processo, a partir do momento em que têm ciência da simulação ou da colusão.

Em sendo assim, destaca-se a necessidade de criação de programas internos de proteção de dados, com o suporte de especialistas, a fim de ser implementada a adequação à LGPD e para minimizar os riscos relacionados com a segurança da informação.

Esse programa, como visto, deverá inclusive compreender processos que disponham sobre etapas posteriores ao encerramento da relação de trabalho, sobretudo no que se referir à continuidade da utilização de dados e sobre quais dados pessoais deverão ser mantidos pela empresa.

 

 

Cultura da privacidade ganha força com a LGPD e empresas têm pouco tempo para se preparar

Flávia Lubieska Kischelewski, advogada do Núcleo Digital de Prolik Advogados (Por Arion Ferreira)

As empresas brasileiras já estão correndo contra o tempo para se adaptarem às novas regras sobre privacidade trazidas pela Lei Geral de Proteção de Dados (LGPD). A lei entra em vigência em agosto de 2020, mas é longa a lista de tarefas necessárias para que elas reduzam o risco de vazamento ou uso indevido das informações que vão armazenando sobre as pessoas com quem se relacionam. Alinhada aos princípios da legislação europeia, a LGPD prevê punições severas para quem não proteger adequadamente dados em seu poder – como números de documentos, informações biométricas, orientação sexual, preferências políticas e religiosas, entre outros – que permitam identificar pessoas físicas, sem o seu consentimento.

Durante o Seminário sobre a LGPD e a Cyber Segurança, promovido por Prolik Advogados, a advogada Flávia Lubieska Kischelewski disse que a “ampulheta já virou” e apresentou o passo a passo a ser seguido pelas empresas, conforme o Programa de Adequação à LGPD desenvolvido pelo Núcleo Digital do escritório.. O seminário reuniu dezenas de empresários e contou também com a palestra de Domingo Montanaro, um dos mais conhecidos peritos em cyber risco do Brasil.

O Programa de Adequação prevê que o trabalho comece pelo inventário de dados em poder de cada empresa, além da avaliação de riscos e do grau de conformidade à lei geral e a legislação de cada segmento. Nessa etapa, também será preciso compreender as dinâmicas de segurança das informações coletadas nas mais variadas atividades das empresas – desde os dados de seus empregados, até aqueles que chegam pelas portarias e recepções, os que constam nos contratos de prestação de serviço, que vêm por e-mail ou são obtidos em funil de vendas dos marketplaces. Também é hora de checar a existência de mecanismos de governança, a utilização de imagens de colaboradores e o monitoramento do ambiente de trabalho.

Essa etapa se encerra com um diagnóstico sobre a origem, a quantidade e a natureza de dados, a forma como estão armazenados, quem tem acesso a eles e qual o risco potencial de que saiam indevidamente de dentro da empresa.

A seguir, um plano de ação definirá o que fazer para garantir que os dados pessoais fiquem protegidos e não sejam usados para fins não autorizados. Isso inclui desde a revisão de contratos até a criação de políticas internas de segurança. Conforme o perfil da empresas, poderá haver a criação de comitê de privacidade e a indicação de um encarregado, o chamado Data Protection Officer.

Flávia ressaltou que esse trabalho precisa contar com o empenho pessoal dos dirigentes, já que implica em mudança de cultura e trabalho contínuo.

 

“Privacy by design”: a criação de produtos e serviços, de acordo com a LGPD

Por Eduardo Mendes Zwierzikowski

O advogado Eduardo Mendes Zwierzikowski atua no setor Cível do Prolik.

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018 – LGPD) em agosto de 2020, o desenvolvimento de novos sistemas, projetos, serviços e aplicativos, enfim, todas as soluções que envolvam o tratamento de dados pessoais, deverá proteger a privacidade do usuário desde a sua concepção.

O “Privacy by Design” é um conceito criado por Ann Cavoukian, antiga Comissária de Informação e Privacidade da província de Ontário, Canadá, que parte da premissa de que a privacidade deve ser levada em consideração em todo o processo de criação e desenvolvimento da arquitetura de sistemas de informação.

A LGPD prestigia o “privacy by design” ao prever que devem ser observadas, desde a fase de concepção do produto ou do serviço até a sua execução, as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (art. 46 e parágrafo segundo, da Lei n.º 13.709/2018).

Para que o tratamento, isto é, toda e qualquer operação envolvendo dados pessoais, possa ser realizado de acordo com a LGPD, as novas aplicações devem seguir os dez princípios básicos trazidos pela lei, que são os seguintes: (i) finalidade, ou seja, a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular; (ii) adequação do tratamento com as finalidades informadas; (iii) necessidade; (iv) livre acesso aos dados ao usuário; (v) qualidade dos dados; (vi) transparência; (vii) segurança; (viii) prevenção; (ix) não discriminação e (x) responsabilização/prestação de contas.

A partir desses preceitos, desdobram-se outros direitos garantidos ao titular dos dados, como o de confirmar a existência do tratamento, a correção de dados incompletos, inexatos ou desatualizados, o acesso aos dados, a anonimização, o bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei, a portabilidade dos dados para outro fornecedor de serviço ou produto, a eliminação de dados tratados sem o seu consentimento e a obtenção de informações sobre o compartilhamento dos dados.

Diante da abrangência da proteção legal, a privacidade do usuário deve ser a configuração padrão no desenvolvimento de aplicações, incluindo-o no centro da inovação. Para que seja cumprido o dever de transparência imposto pela LGPD, o titular deve ter à disposição os meios aptos ao gerenciamento de seus dados de maneira segura e eficaz.

A necessidade de as empresas fortalecerem os mecanismos de segurança aos dados pessoais, como dito, também se destina a prevenir a ocorrência de danos em todo o ciclo de vida dos dados, por meio de uma postura proativa, ao invés de reativa.

No momento de desenvolvimento desse novo produto ou serviço, também deverá ser estabelecida qual é a base legal que permitirá a utilização dos dados pessoais do cliente, se eles são de fato necessários à execução da atividade, ou, ainda, se é imprescindível obter o consentimento do titular, pois existem exceções na LGPD que o dispensam, como legítimo interesse, cumprimento de obrigação legal, exercício regular de direitos, proteção da vida, ao crédito, tutela da saúde, dentre outros.

É recomendável que o processo prévio de análise acerca da adequação de um novo produto ou serviço às exigências trazidas pela LGPD seja condensado em um “relatório de impacto à proteção de dados pessoais”, documento que poderá ser exigido pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), no qual são descritos os processos de tratamento de dados pessoais que têm condições de gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação do risco inerente a essa atividade.

Como visto, a constituição de novas soluções, principalmente na indústria 4.0, passa por significativa mudança com a LGPD, diante da necessidade de serem adequados diversos processos internos das empresas, no âmbito técnico e jurídico, como forma de prevenir a aplicação de sanções administrativas ou judiciais derivadas de seu descumprimento.

Prolik Advogados traz cyber especialista para Seminário sobre Lei Geral de Proteção a Dados Pessoais

Domingo Montanaro vai falar a empresários de Curitiba sobre riscos e cyber segurança

A convite do escritório Prolik Advogados, um dos maiores especialistas brasileiros em crimes cibernéticos, Domingo Montanaro, vem a Curitiba no próximo dia 27 (terça-feira) para o seminário “A Lei Geral de Proteção de Dados Pessoais e a Cyber Segurança”. A LGPD entra em vigência em agosto de 2020 e empresas de todos os portes têm uma longa lista de providências a tomar para cumprir as novas regras e evitar sanções. A maioria ainda não começou o processo de adaptação, que é extenso e demorado.

O seminário começa às 8h30 com welcome coffee, e será realizado no auditório do Edifício Nerina Caillet, que fica do 19° andar da Marechal Deodoro, 497. As inscrições são gratuitas e devem ser feitas pelo link http://prolik.com.br/evento/. Com vagas limitadas e direcionados a empresas de todos os portes, inclusive startups, o evento tem o apoio do Vale do Pinhão e da Agência Curitiba de Desenvolvimento.

Passo a passo

A advogada especialista Flávia Lubieska Kischelewski, do Núcleo Digital de Prolik Advogados, vai apresentar o novo cenário legal, esclarecer dúvidas sobre o impacto da LGPD nas rotinas administrativas das empresas e apresentar um passo a passo a ser cumprido pelas empresas para se adaptarem à nova lei. O vazamento de dados de pessoas físicas poderá ser punido com multas que chegam a R$ 50 milhões, além de prejudicar a reputação das companhias.

Professor e palestrante, Domingo Montanaro detém um histórico de sucesso em mitigação de risco cibernético e combate aos crimes informáticos desde 1999. Montou células de perícia, investigação e inteligência em instituições financeiras e órgãos governamentais, bem como treinou forças policiais e militares em diversos países (Brasil, EUA, Colômbia, Emirados Árabes Unidos e Arábia Saudita) ao longo de sua carreira.

Atuou, para um grande banco brasileiro, na investigação e assistência técnica pericial da primeira sentença de prisão por crime na Internet no Brasil, em 2004. Desde então, liderou investigações que acarretaram em mais de 200 prisões por esse tipo de delito, apresentando constantemente êxito em suas atuações perante a justiça.

Pioneiro em Inteligência Cibernética no território brasileiro, em 2013 inovou construindo em sua startup plataforma de coleta e análise de ameaças, que em 2017 recebeu selo EED (“Empresa Estratégica de Defesa”) do Ministério da Defesa do Brasil.

Nos últimos 17 anos proferiu mais de 50 palestras em mais de 15 países sobre suas pesquisas e atuações vitoriosas em casos complexos, inclusive em colaboração com polícias especializadas. Atua como professor convidado sobre segurança da informação e perícia técnica em delitos praticados por meios eletrônicos nos cursos de pós graduação das mais renomadas escolas brasileiras, tais como FGV, Mackenzie, USP, Insper, Escola Paulista de Direito e Escola Paulista da Magistratura do Tribunal de Justiça de São Paulo.

SERVIÇO

Seminário “A Lei Geral de Proteção de Dados Pessoais e a Cyber Segurança”

Palestrantes: Domingo Montanaro, especialista em cyber segurança, e Flávia Lubieska Kischelewski, advogada especialista em direito digital

Data: 27/08/2019 às 8h30 (com wellcome coffee)

Local: Prolik Advogados – Rua Marechal Deodoro, 497 – 19º Andar

Organização: Núcleo de Direito Digital de Prolik Advogados

Apoio: Vale do Pinhão e Agência Curitiba de Desenvolvimento

Inscrições gratuitas: http://prolik.com.br/evento/

CRC PR Notícias entrevista advogada Flávia Kiscvhelewski

Lei Geral de Proteção de Dados impactará empresas de serviços contábeis

Lei entrará em vigor em agosto de 2020


 16/07/2019   |    Karin Oliveira Silva

A Lei Geral de Proteção de Dados (LGPD), instituída pela Lei 13.709/2018 e alterada pela Lei 13.853/2019, entrará em vigor em agosto de 2020. A LGPD trará a necessidade de adaptação por parte das empresas, inclusive de serviços contábeis, para que processos, práticas e políticas de proteção e governança de dados estejam de acordo com a nova legislação. O Conselho Regional de Contabilidade do Paraná (CRCPR) planeja a realização de palestra sobre o tema para alertar e orientar os escritórios e profissionais de contabilidade a este novo contexto.

Na manhã do dia 16, o CRCPR recebeu a visita da advogada Flávia Lubieska Kischelewski, representando na oportunidade o escritório de advocacia Prolik Advogados. Na reunião, que contou com a presença do presidente do CRCPR, Marcos Rigoni, do vice-presidente de Administração e Finanças, Laudelino Jochem e do diretor superintendente, Gerson Borges de Macedo, foi discutida a LGPD e a possibilidade de realização da palestra sobre o assunto.

Advogada Flavia Lubieska fala sobre a Lei Geral de Proteção de Dados

O Boletim CRCPR, entrevistou a advogada Flávia Kischelewski sobre o tema. Acompanhe!CRCPR Online: Por que a LGPD é importante para consumidores e empresas?

Flávia Kischelewski (FK): O impacto desta lei é similar ao advento do código do consumidor, pois cria um novo regramento de proteção à pessoa física. Para proteger dados pessoais, a lei exigirá das empresas mais conhecimento e gestão sobre os dados. Hoje, nossos dados são livremente fornecidos a terceiros e não há clareza, por exemplo, sobre seu uso. A partir da implementação da lei, as pessoas poderão entrar em contato com as empresas e entender como são utilizados e compartilhados seus dados.

CRCPR Online: Quais são as principais mudanças para a gestão de empresas no que se refere a LGPD?

FK: A lei garantirá a segurança das informações, exigindo mais transparência na gestão e uso de dados, incluindo a coleta, compartilhamento, armazenamento e até exclusão de bancos de dados. As empresas precisarão ponderar sobre a necessidade deste uso. Em determinados casos, será necessário obter consentimento do cliente para usar estes dados. Então, será necessária uma grande revisão de processos, práticas e políticas.

CRCPR Online: As empresas de serviços contábeis serão afetadas pela Lei?

FK: Sim, pois ela atingirá todos aqueles que realizem tratamento de dados pessoais, portanto de pessoas física, seja em meios físicos ou digitais.

CRCPR Online: Qual o prazo para que as empresas se adequem à nova legislação?

FK: A Lei entrará em vigor em agosto de 2020. Nesta data ela estará vigente e eficaz, tornando todos os requisitos obrigatórios. É importante reforçar que as empresas precisam estar preparadas desde já, pois para implantar um programa de conformidade, precisarão fazer diagnósticos, avaliar riscos, fazer revisão de acordos de consentimento e etc. Na minha previsão, todo este trabalho pode demorar até 12 meses. Então para se estar pronto é essencial começar a avaliar sua empresa logo.

CRCPR Online: O que acontecerá com as empresas que não realizarem as alterações?

FK: Caso algum item da legislação não seja cumprido, a Autoridade Nacional de Proteção de Dados fiscalizará e punirá as empresas. A Lei prevê a possibilidade de emitir advertências, notificações, determinações administrativas, como a exclusão de um banco de dados, e até multas, que podem chegar a R$ 50 milhões por infração.

Sua empresa está preparada para a LGPD?

Por Flávia Lubieska N. Kischelewski

A advogada Flávia Lubieska Kischelewski atua no setor societário do Prolik.

Sua empresa está preparada para a Lei Geral de Proteção de Dados (LGPD)? Esta é a pergunta que muitos empresários e executivos deveriam estar se fazendo ou, num cenário mais otimista, estar em condições de responder positivamente. Todavia, para a grande maioria das empresas, o efetivo conhecimento sobre a LGPD não é ainda uma realidade, embora sua vigência se inicie em meados de agosto de 2020.

A promulgação em 14/08/2018 da Lei nº 13.709/2018 da chamada “Lei Geral de Proteção de Dados” (LGPD) trouxe ao ordenamento jurídico brasileiro novas disposições para a proteção e o tratamento de dados pessoais, seja em meios físicos, seja em meios digitais.

Fortemente inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (General Data Protection Regulation – GDPR – UE 2016/679), a LGPD nasceu com o desafio de pavimentar o caminho que tornará o Brasil um país detentor de níveis mínimos de proteção de dados pessoais, permitindo a continuidade da troca de informações pessoais com países da União Europeia. Sem isso, muitas atividades de comércio e serviços internacionais poderiam vir a ser prejudicadas num futuro próximo, assim como ações rotineiras de órgãos públicos, por exemplo.

Ao mesmo tempo em que o governo brasileiro começou a fazer sua parte para a adequação às melhores práticas internacionais (havendo ainda muito trabalho pela frente, especialmente com vistas à criação da Autoridade Nacional de Proteção de Dados – ANPD), é imprescindível que a iniciativa privada também passe a agir, voltando-se à governança de dados e à adoção de programas internos de adequação à nova Lei.

Nesse contexto, as empresas devem, primeiramente, conhecer a LGPD, considerando as alterações decorrentes da Medida Provisória 869/2018, cujo projeto de Lei de Conversão foi aprovado pelo Senado recentemente.

Após esse primeiro contato com a legislação, deve-se passar à etapa de diagnóstico, avaliação ou “assessment”. Essa espécie de auditoria pode ser feita internamente caso a equipe conte com profissionais capacitados. Aqui vale destacar a palavra “equipe”. Com efeito, trata-se de um trabalho multidisciplinar, havendo necessidade de se atacar várias frentes ao mesmo tempo, que exigem conhecimentos jurídicos e técnicos, como de tecnologia da informação, de marketing etc.

Não havendo expertise para conduzir o “assessment” internamente, recomenda-se a contratação de especialistas, os quais devem inicialmente se dedicar a conhecer o negócio do cliente. Isso é importante, pois cada empresa tem um perfil distinto e isso deverá ser levado em consideração quando da definição do modelo de levantamento de informações a ser realizado.

Esse trabalho pode levar alguns meses, dependendo do porte da empresa, de sua organização interna e do tipo de atividade que exerce. O campo de avaliação é amplo e deve cobrir contratos, propostas, documentos de marketing, do setor de recursos humanos, mapeamento de processos, políticas de segurança da informação, tratamento de consentimento na obtenção de informações, finalidades do uso de dados e tantos outros itens.

O período de “assessment” é relevante igualmente para definir qual a forma de atuação da empresa no tratamento de dados (considerando que “tratamento”, nos termos da LGPD, é um conceito extremamente abrangente). Essa identificação revelará quando a empresa será considerada uma controladora de dados e quando será operadora, o que é fundamental para fins de definição das responsabilidades aplicáveis e os riscos inerentes às atividades.

A análise das informações apuradas permitirá a produção de relatório que contemple os riscos existentes e um plano de trabalho para as próximas etapas, seja para correções, melhorias ou implementação de processos, aquisições de softwares etc, entre outras tantas sugestões. Essa segunda etapa é, de longe, ainda mais longa.

Um dos itens da fase implementação é, em regra, a proposição de treinamentos internos sobre a governança de dados e os novos processos que deverão ser conhecidos e praticados. É preciso que haja uma mudança de cultura e uma verdadeira incorporação dos procedimentos de governança de dados no dia a dia da empresa, até mesmo porque o trabalho será contínuo, ou seja, constituirá uma rotina.

Outro aspecto a ser levado em conta é a eventual nomeação do encarregado ou “Data Protecion Officer – DPO”. Será mesmo preciso ter este profissional? Quem pode exercer essa função? Precisa ser uma pessoa física ou uma pessoa jurídica? Essa pessoa ou entidade detém o conhecimento jurídico-regulatório exigido pela LGPD? Pode-se terceirizar e, em caso positivo, seria isso conveniente? Pode o DPO exercer mais de uma função na empresa? Tudo isso deverá ser ponderado diante de cada caso prático para se chegar à melhor resposta.

Não se pode supor que a consultoria será um processo com uma data de término específica (ainda que depois de um longo trabalho). Vale dizer que a consultoria é o primeiro passo que trará as bases e construções iniciais, porque haverá, posteriormente, a necessidade de revisões periódicas e melhorias supervenientes do programa original de adequação e implementação de governança de dados. Lembrando a metáfora de que a empresa é um organismo vivo, deve-se ter em mente que esse organismo deverá ser constantemente nutrido e que, em função das próprias mudanças e crescimento a que ele estará sujeito, o programa deverá ser constantemente revisto e aprimorado.

Essa condição de trabalho constantemente em progresso também decorre do fato de que a ANPD ainda não está constituída e que lhe competirá normatizar e estabelecer diretrizes relativas à Política Nacional de Proteção de Dados Pessoais e da Privacidade, bem como disciplinar padrões para produtos e serviços, estabelecer regras simplificadas e distintas para microempresas, empresas de pequeno porte, startups ou empresas de inovação, aplicar as penalidades legais, firmar compromissos de adequação de conduta com empresas e adotar outras medidas e regramentos.

Esse aspecto não deve ser interpretado como motivação para postergar a adequação à LGPD. Até mesmo porque, atualmente, mesmo sem estar vigente, existem em andamento inúmeros casos de inquéritos civis e até ações civis públicas relativas a coletas e vazamento de dados, com base no Marco Civil da Internet. Há inclusive consequências financeiras para as empresas, sem contar o prejuízo à imagem.

Por todos esses aspectos, é que se conclui pela necessidade de se preparar para o LGPD em caráter preventivo. O comprometimento e o alinhamento devem ser uma iniciativa de caráter “top-down”, isto é, que partem da alta gestão para os demais empregados, colaboradores e, por que não, fornecedores, consultores, prestadores de serviços, terceirizados etc. Também a relação com os clientes deve ser revista, pois poderá merecer ajustes ou comportar espaço para melhorias e até mesmo constituir um novo nicho de mercado.

Os empresários precisam adequar suas operações à LGPD não apenas em razão das severas penalidades a que estarão sujeitos. Cabe considerar que a implantação da governança propiciará uma nova forma de trabalho e que, a despeito dos investimentos que deverão ser feitos, trará competitividade nesse novo mercado que se apresenta a todos. A adequação à Lei Geral trará igualmente a preservação da reputação da marca e da representatividade da empresa no cenário em que atua.

Se o ideal de governança e o destaque no mercado frente à concorrência não são elementos suficientes de convencimento, nunca é demais relembrar as sanções legais. Na hipótese de descumprimento da LGPD pelos agentes de tratamento, a penalidade imposta pode variar de uma advertência, com indicação de prazo para adoção de medidas corretivas, a multas e outras sanções, a saber: a) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; b) multa diária, observado o limite total acima referido; c) publicização da infração após devidamente apurada e confirmada a sua ocorrência; d) bloqueio ou eliminação dos dados pessoais a que se refere a infração até a sua regularização.

Feitas essas considerações, perguntamos novamente: sua empresa está preparada para a LGPD? As iniciativas preventivas são sempre mais econômicas e vantajosas sob diversos pontos de vista, quando comparadas a atuações apressadas decorrentes de sanções ou mesmo da ameaça de punições por autoridades públicas ou para alcançar a concorrência.

Prolik convida clientes para workshop sobre Lei Geral de Proteção de Dados

Sua empresa já está preparada para a Lei Geral de Proteção de Dados? A LGPD foi sancionada em agosto de 2018 e entra em vigor em agosto de 2020. Ao devolver para o cidadão o direito sobre seus dados pessoais, em linha com a legislação europeia, a LGPD vai mudar a maneira como se faz negócios num mundo que gera 2,5 quintilhões de bytes de dados a cada dia.

A advogada Flávia Lubieska Kischelewski, do setor societário do escritório Prolik Advogados, vai falar sobre a abrangência da LGPD no workshop que a Federação das Indústrias do Paraná (Fiep) promove no dia 11 de junho, a partir das 18h30. As vagas são limitadas e as inscrições, gratuitas, podem ser feitas no link https://bit.ly/2wsHxCT.

Por dentro da LGPD

Entre outros aspectos, clientes do Prolik e interessados em geral no assunto receberão informações sobre:

  1. a) O contexto nacional e internacional que levou à promulgação da LGPD
  2. b) O que são dados pessoais
  3. c) Os cuidados a observar na aplicação da legislação – é importante saber que ela não se aplica só a meios digitais
  4. d) Os pontos de atenção que devem ser conhecidos pelos empresários – as diferenças entre dados pessoais e dados pessoais sensíveis, o que é dado anonimizado, as características do consentimento a ser obtido e as pesadas multas, que podem chegar a R$ 50 milhões
  5. e) As consequências da violação da LGPD já ocorrem mesmo antes da vigência da nova Lei – Gigantes como a Uber e a NetShoes já responderam por incidentes de vazamento de dados

Outros temas serão abordados durante o evento. Claudio Neiva, da Gartner, falará sobre o impacto da LGPD nas operações e tecnologias, e a fiscalização estará a cargo de Fabiano Barreto, da Confederação Nacional da Indústria (CNI). A LGPD na prática empresarial será abordada por Valeska Chrestani e Vinicius Gehlen, da Phillip Morris International.

SERVIÇO

Dia 11 de junho, às 18h30, com welcome coffee a partir das 18h

Auditório Caio Amaral – Campus da Indústria | Av. Comendador Franco, 1341 – Jd. Botânico