LGPD já não é mais uma sigla desconhecida. É a lei que chegou para proteger os direitos do cidadão no que diz respeito ao uso dos dados pessoais. Chegou também para mexer com a estrutura das empresas, especialmente aquelas que lidam com o objeto foco da legislação. É o caso da segurança eletrônica que sente o impacto direto em sua rotina pois, tratar dados pessoais sensíveis faz parte da atividade empresarial.
Para tirar algumas dúvidas e dar dicas de como se adequar à Lei Geral de Proteção de Dados (LGPD), conversamos com o advogado Dr. Danilo Max associado na WJ Advocacia Corporativa, responsável pela implantação na Inside Sistemas e desenvolve um trabalho especializado na prevenção, adequação e conformidade de empresas à LGPD.
O que é a LGPD de forma detalhada?
Dr. Danilo: A Lei nº 13.709/2018 – Lei Geral de Proteção de Dados ou como é popularmente conhecida “LGPD”, é uma legislação que foi criada para proteger os direitos do cidadão, no que diz respeito ao uso dos seus dados pessoais, que englobam inclusive, dados pessoais sensíveis e dados pessoais de criança e adolescente, direitos estes que foram incluídos, pela Emenda Constitucional n.º 115/2022, na Constituição Federal de 1.988, no rol das garantias fundamentais do artigo 5º, mais especificamente no inciso LXXIX, que diz o seguinte: “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.
O que há de diferente nela em relação à outras leis?
Dr. Danilo: A LGPD é uma norma diferente das que são comumente publicadas, pois ela conceitua alguns termos que geralmente são utilizados quando se trata de proteção e privacidade de dados pessoais, proporcionando àquele que faz a sua leitura, o entendimento daquilo que está sendo lido, conforme vemos no seu artigo 5º os conceitos de dado pessoal, banco de dados, titular, controlador, dentre outros.
Assim, a LGPD é a lei que cuida do livre desenvolvimento da personalidade da pessoa natural, trazendo a premissa da boa-fé e da transparência na utilização dos dados pessoais. A proteção é para todo e qualquer cidadão e a obrigação de cumprimento da LGPD, é para toda e qualquer pessoa física ou jurídica, de direito público ou privado, que efetue o tratamento de dados pessoais localizados no Brasil, com o objetivo de ofertar bens ou serviços, ou seja, de obter algum tipo de vantagem econômica.
Como a LGPD impacta a dinâmica de uma empresa de segurança privada?
Dr. Danilo: Todas as pessoas jurídicas e físicas que efetuam o tratamento de dados pessoais, dados pessoais sensíveis e dados pessoais de criança e adolescente, com o objetivo de obter uma vantagem econômica, no oferecimento de bens e serviços, devem obediência à LGPD.
Mas a empresa de segurança privada possui uma peculiaridade: o fato de rotineiramente efetuar o tratamento de dados pessoais sensíveis no exercício de sua atividade empresarial. Como por exemplo, a captação de imagens através de vídeos e fotografias, biometria e localização em tempo real, informações estas que se utilizadas de forma equivocada ou com má-fé, tem o poder de causar prejuízo ao titular dos dados pessoais, portanto resguardadas pelo artigo 11 e seguintes da LGPD.
O que o gestor precisa fazer para se adequar à LGPD?
Dr. Danilo: Para adequar-se à LGPD, primeiramente o gestor deve avaliar se a empresa tem capacidade, técnica e pessoal, de absorver o programa de adequação, realizando-o com os próprios colaboradores, ou se há a necessidade de contratar uma assessoria ou consultoria externa.
Feita esta análise, o gestor e o time envolvido no programa de adequação, deve, basicamente, seguir os seguintes passos:
1) Conhecer a LGPD e conscientizar o time;
2) Identificar os dados pessoais tratados;
3) Mapear a coleta, o processamento, a transmissão, o armazenamento, o arquivamento e a eliminação dos dados pessoais;
4) Alinhar o tratamento dos dados pessoais com os princípios do artigo 6º da LGPD;
5) Verificar a base legal para o tratamento realizado;
6) Conhecer e disponibilizar os direitos do titular dos dados pessoais;
7) Identificar os agentes de tratamento de dados pessoais (Operador e controlador de dados);
8) Criar um canal exclusivo para tratar sobre o assunto LGPD;
9) Adequar os contratos com clientes, fornecedores, parceiros de negócio e colaboradores;
10) Desenvolver e aplicar as políticas de boa prática de governança de dados pessoais;
11) Criar um canal de denúncia para casos de incidentes com dados pessoais;
12) Publicar no site da empresa sobre o processo de adequação à LGPD.
Quais são as sanções caso a lei não esteja sendo seguida em uma empresa de segurança?
Dr. Danilo: As sanções a serem aplicadas em decorrência da não adequação estão elencadas no artigo 52 da LGPD, sendo elas:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Como o governo irá fiscalizar sua aplicação?
Dr. Danilo: Quanto à fiscalização, a LGPD não especifica como a Autoridade Nacional de Proteção de Dados (ANPD) vai operacionalizar, mas em decorrência do avanço tecnológico, há indícios de que a fiscalização será por meio digital, podendo ser utilizada como exemplo a Microsoft, que envia uma notificação via e-mail, solicitando a prestação de contas relacionada à licença utilizada, se original ou não, devendo a empresa “fiscalizada” ou “auditada”, apresentar os documentos que façam prova da originalidade do software ou sistema operacional.
É importante destacar que a ANPD deverá sempre observar o princípio constitucional da proporcionalidade para a aplicação das sanções, na intenção de prevenir e inibir abusos por parte da Administração Pública, a qual deverá observar também as regras de amenização ou agravamento da penalidade, especialmente as que constam no §1º do artigo 52 da LGPD.
Qual é o impacto que a LGPD traz à cultura, relações e sustentabilidade das empresas?
Dr. Danilo: Mais do que um conjunto de direitos e obrigações, a LGPD é uma lei que veio, despretensiosamente, regular o mercado nacional e internacional e as relações entre empresas, entidades e governos, uma vez que a adequação a ela tem sido requisito para a contratação de fornecedores e parceiros de negócios. É, inclusive, requisito descrito em edital para licitação pública, sendo também essencial para a manutenção de contratos em vigência.
Assim sendo, pode-se afirmar que muito além do respeito e obediência à lei, que é o centro de toda e qualquer legislação, a LGPD surgiu para implantar a cultura de privacidade e proteção de dados pessoais, podendo a empresa que se adequar, aumentar a credibilidade no mercado, atrair investidores, fomentar novas contratações, fortalecer o argumento de venda ou investimento, manter os contratos já firmados, participar de licitações, além de obviamente, minimizar o risco de incidentes, evitar o passivo perante a ANPD, MP, PROCON e os titulares de dados, evitar ações judiciais cíveis, trabalhistas e até criminais e relativizar ou mitigar as sanções da LGPD na ocorrência de incidente com dados pessoais.