Informativos

O que é a LGPD?

A LGPD é a Lei Geral de Proteção de Dados – Lei n° 13.709/2018 que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, tanto das pessoas físicas quantos das pessoas jurídicas, com o objetivo de proteger os direitos fundamentais da liberdade, da privacidade e do livre desenvolvimento da personalidade das pessoas naturais.

Sua importância ganhou destaque a partir de inúmeras ocorrências de vazamentos indevidos de dados, como no caso de ataques cibernéticos e até mesmo de venda de dados pessoais por empresas. Apenas para citar alguns casos, podemos mencionar a Netshoes, Facebook, Uber, Banco Inter, C&A, que ocorreram no ano da aprovação da referida lei no Brasil.

E mais, com o crescimento das redes sociais as pessoas estão cada vez mais se expondo na Internet e divulgando informações pessoais, desde informações básicas como gênero, idioma, e, até mesmo, dados envolvendo orientação sexual e religião, que são considerados dados sensíveis pela legislação.

A partir da sua vigência, as empresas passaram a ter que adotar mecanismo de prevenção de risco como as ISO (ISO 9001, ISO 22301 ISO 27001, etc), e modelos de boas práticas ITIL (Information Technology Infrastructure Library) e COBIT (Control Objectives for Information and Related Technologies). São medidas tecnológicas e administrativas cabíveis na prevenção às fraudes eletrônicas e vazamento de dados.

As referidas medidas promovem a segurança da informação visando a preservação da confidencialidade, integridade e disponibilidade da informação, dentre outras características como a autenticidade, responsabilidade, não repúdio e confiabilidade.

Cada empresa deve examinar as necessidades da sua organização para a implementação se um Sistema de Gestão da Segurança da Informação – SGSI. A norma ISO/IEC 27001 promove um modelo para estabelecer, implementar, operar, monitorar, analisar e realizar melhorias no SGSI.

Os benefícios gerados com a implementação vai desde a redução do risco de responsabilidade pela não implementação de políticas de segurança da informação; promoção de possibilidade de identificação e correção de pontos de riscos; atribuição de responsabilidade da alta gestão; reflete em maior confiabilidade dos stakeholders; promove a conscientização sobre a necessidade de segurança; possibilita mecanismos de medição da eficácia da sua implementação, entre outros.

As alterações implementadas pela LGPD

Com o advento da LGPD as empresas passam a estar sujeitas à responsabilização diante da ocorrência de incidentes no tratamento de dados dos seus clientes, com a aplicação de sanções que vão desde a advertência; multa simples de 2% do faturamento da empresa limitada ao patamar de 50 milhões de reais; multa diária com a mesma limitação de 50 milhões no valor total; publicização da infração; bloqueio dos dados pessoais; eliminação dos dados pessoais; suspensão parcial do funcionamento do banco de dados; suspensão do exercício da atividade de tratamento dos dados pessoais; até a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

Adequação das empresas às normas da LGPD

É muito importante que a empresa, buscando a se adequar com as normas impostas pela LGPD, nomeie um profissional especializado que será o Encarregado pela proteção de dados pessoais ou também denominado de DPO - Data Protection Officer.

Ele será a pessoa responsável dentro da corporação para estar em contato com os titulares dos dados, possibilitando que exerçam seus direitos, assim como com as autoridades diante da necessidade de adoção de providências, propagar orientações e treinamentos a respeito da proteção de dados aos funcionários e colaboradores e, monitorar a conformidade da LGPD com as políticas internas da empresa.

Além disso, tem como atribuição a elaboração de Relatório de Impacto à Proteção de Dados Pessoais, que pode ser solicitado pela autoridade nacional quando a base legal da empresa para o tratamento de dados estiver fundada no legítimo interesse, buscando avaliar os riscos aos direitos e liberdade dos titulares de dados.

Outra previsão estabelecida pela LGPD é a instituição de Políticas de Privacidade e Termos de Uso pela empresa. Os “Termos de Uso” é a compilação contratual das condições que regem a relação entre o provedor do serviço ou aplicação e o usuário.

Primordialmente, busca o consentimento do usuário sobre as cláusulas definidas para a referida relação; descreve as condutas permitidas e proibidas dentro da plataforma, rede social ou serviço; informa a maneira que será realizado o tratamento de dados coletados e a sua destinação; define as garantias e os limites da responsabilidade da empresa, apresenta a política de privacidade e informa as cláusulas para a resolução de conflitos judiciais.

O Termo de Uso não é obrigatório, mas ao apresentar os direitos e deveres das partes envolvidas há reflexo de inúmeros benefícios à organização diante do aumento da capacidade de controle sobre o site, aplicativo ou plataforma e possibilidade de limitação de responsabilidade.

A Política de Privacidade que compõe o Termo de Uso é um documento informativo sobre a coleta de dados (forma, tipo de dados, finalidade, qual a destinação, como são protegidos, se são compartilhados, se há uso de cookies).

É uma forma altamente recomendada de garantir a transparência e a acessibilidade do usuário na compreensão desta prática do meio digital, que deve estar disponibilizada no site, aplicativo ou plataforma.

Neste documento deve conter a indicação do profissional responsável pela proteção de dados e um canal de contato para que o usuário possa fazer alterações ou solicitações referentes aos seus dados pessoais, conforme previsão do art. 18 da LGPD.

É através do consentimento do usuário, com o seu aceite, que se configura a ciência dos usuários sobre a finalidade da coleta dos seus dados e por quanto tempo estarão armazenados.

A empresa se protege de eventuais violações da LGPD, pois somente o titular do dado pessoal, em regra, é quem pode dispor para que possa haver o tratamento dos seus dados pelas empresas provedoras no meio digital.

Revisão dos contratos em razão da LGPD

A coleta de dados não se limita somente ao campo digital, na esfera contratual e relação entre prestadores de serviços e os clientes, é muito comum haver a coleta de dados e, em alguns casos até mesmo o compartilhamento.

A necessidade de revisar os contratos

É primordial para as empresas a sua adequação às disposições da LGPD, tanto para os futuros contratos, como para aqueles já celebrados entre as partes, sob pena de responsabilização com alguma das sanções já mencionadas em outros artigos do blog, tanto por ato próprio quanto da outra parte celebrante do pacto.

A revisão contratual é a forma adequada das empresas para que elas possam se ajustar e estarem em conformidade com a Lei Geral de Proteção de Dados. Caso algum parceiro não adote os padrões impostos pela LGPD, poderá ser rediscutida a manutenção ou a extinção do acordo.

A preocupação da organização com a segurança da informação reflete em vantagens comerciais uma vez que muitos incidentes em segredos de negócio podem custar milhões de reais em termos de competitividade empresarial; preserva a reputação da empresa do mercado de atuação principalmente em face dos seus clientes e; pode custar muitas carreiras pessoais principalmente daqueles envolvidos com a alta administração.

Problemas causados pela falta de revisão nos contratos vigentes

Ao adequar a estrutura interna nos padrões de segurança da informação e a esfera contratual, evitam-se inúmeros problemas advindos de incidentes com o tratamento de dados.

Especialmente, processos judiciais e enormes prejuízos muitas vezes irreversíveis, podendo ser problemas judiciais, operacionais, financeiros e até mesmo perda da reputação e credibilidade no mercado de atuação.

Cláusulas importantes na revisão de contratos

A adequação deverá ser feita conforme a necessidade de cada relação contratual, mas sempre que houver o compartilhamento de dados muitas cláusulas se revelam obrigatórias, dentre elas:

Cláusula de responsabilidade

É necessário estar presente no contrato a obrigação geral de respeito às normas de proteção de dados como a LGPD, Código de Defesa do Consumidor, por exemplo.

Mas além disso, todas as obrigações e responsabilidades das partes referente ao tratamento dos dados devem estar definidas no acordo, incluindo quem é a figura do controlador  e quem é a figura do operador, para fins de eventual direito de regresso por infração da outra parte.

Confidencialidade do acesso à informação

A presença da cláusula de confidencialidade e sigilo quanto ao conteúdo dos dados pessoais disponibilizados no pacto, demonstra o profissionalismo da relação contratual quanto a proteção de dados, bem como que a concorrência tenha acesso à informações importantes e necessárias aos negócios.

Procedimento em caso de incidente de informações

Outro ponto importante,  é a determinação do procedimento que será adotado no caso de algum incidente com o vazamento de dados, as partes devem conhecer previamente o que deverá ser feito para a apuração dos fatos.  É possível instituir o direito de auditoria e estipular os padrões de segurança da informação.

Cláusula de arbitragem

Em caso de conflito quanto às disposições do pacto contratual, as boas práticas sugerem que haja previsão de constar no acordo se a solução será realizada por meio de procedimento arbitral e a Câmara de Arbitragem competente.

Como adequar os contratos à LGPD?

Existem alguns passos básicos para iniciar a adequação, a análise de proteção de dados nos contratos deve ser feito por um profissional qualificado com experiência na LGPD, para adaptar os contratos já existentes e os futuros aos pressupostos, princípios, direitos e regras de responsabilização, considerando as seguintes premissas.

Conhecer os contratos vigentes

É imprescindível que haja o mapeamento dos contratos existentes, para identificar quais estão sob a tutela da LGPD, uma vez que existem inúmeros tipos de contratos no dia a dia das empresas e de diversas áreas que podem envolver a coleta e tratamento de dados pessoais. Apenas como exemplo, são os casos dos contratos de trabalho,  contratos de compra e venda, contratos de franquia, contratos de prestação de serviços, etc.

Entender o volume de dados e o grau de importância

A partir do mapeamento dos contratos existentes dentro da rotina organizacional é possível entender o volume de dados coletados e a sua importância para o gerenciamento dos riscos da segurança da informação.

Revisar os contratos

Após o mapeamento dos dados e identificação dos pontos sensíveis à LGPD, os contratos envolvendo o tratamento de dados devem ser revisados e adequados de acordo com a referida legislação.

Inserir as novas cláusulas

Aos contratos deverão ser inseridas novas cláusulas, por meio de Termos Aditivos como aquelas obrigatórias mencionadas neste artigo, estabelecendo todas as obrigações e responsabilidades e demais questões envolvendo o respeito e adequação à LGPD.

Informar sobre as alterações

A outra parte deverá ser informada sobre a inserção destas alterações, bem como deverá assinar o Termo Aditivo, demonstrando a sua ciência e concordância com a regulação da relação contratual de acordo com a LGPD.

Estabelecer parâmetros para os novos contratos

Dessa forma, ficam estabelecidos os parâmetros contratuais para a celebração de novos acordos, os quais já estarão inseridos da assinatura do pacto inicial entre as partes, protegendo os envolvidos de eventual responsabilidade por não terem sido diligentes na escolha de seus parceiros de negócios. 

O consentimento na adequação de contratos à LGPD

O contrato que estiver respeitando as normas da LGPD, trazendo todas as disposições necessárias com transparência e acessíveis à outra parte, configura o consentimento do titular do dado concordando com o tratamento dos seus dados pessoais para a finalidade determinada, em observância à disposição do artigo 5º, inciso II, da LGPD.

Instrumento indispensável para a demonstração que o consentimento foi obtido, em observância à LGPD. Todavia, deve-se ter em mente que ele é provisório, podendo ser revogado a qualquer momento por meio de manifestação expressa do titular.

A importância de treinamentos para a adequação à LGPD

Desde a publicação da Lei Geral de Proteção de Dados, a conformidade das empresas com a lei é imprescindível para o desenvolvimento dos seus negócios.

A implementação de um sistema de Segurança da Informação, a revisão dos contratos e um programa de integridade efetivo, caracterizam o compromisso e integridade das empresas com a proteção de dados.

Mas apenas isso não basta, é necessário haver investimento em realização de treinamentos com foco na LGPD dentro da estrutura interna das empresas e seus funcionários.

Os benefícios gerados com o alinhamento da equipe por meio de treinamentos refletem no objetivo final do processo de conformidade com a LGPD que é a redução das consequências por eventuais falhas no tratamento de dados. 

A partir do entendimento correto dos colaboradores da empresa sobre a importância da adequação à LGPD, há maior envolvimento de todos, facilitando os processos, economizando tempo e recursos, diminuindo riscos de incidentes de segurança pelo tratamento indevido, demonstra a responsabilidade do Compliance com a lei e; incorpora na cultura organizacional a conscientização sobre a proteção de dados.

Com o emprego dos instrumentos mencionados a empresa passa atuar de maneira preventiva a ataques cibernéticos e não reativa tentando minimizar os danos somente depois que eles ocorreram.  

Evitar erros na adequação de contratos

Existem alguns erros que as empresas cometem na adequação dos contratos à LGPD como no caso de não acreditarem na real importância da lei, deixando de investir em estrutura interna e jurídica de adaptação das alterações, com uma consultoria qualificada.

Outro erro é somente investir na parte técnica de Segurança da Informação, negligenciado o treinamento da cultura organizacional da empresa e na parte contratual. A adaptação deve ter uma visão macro dentro da rotina da empresa sendo fundamental a integração da Alta Administração, do Compliance e de todos os colaboradores no processo.

A omissão quanto ao Encarregado pela proteção de dados, também compromete à adequação à LGPD, pois é esta pessoa que será responsável por todo o controle e divulgação da cultura de proteção de dados.

Por fim, apenas implementar o programa de proteção de dados não é suficiente, o monitoramento e constante atualização com treinamentos, são primordiais para a permanência da conformidade da empresa às regras.