LGPD entrou em vigor na sexta-feira, 18/9, com sanção presidencial, que manteve veto ao artigo 4º da MP 959. Penalidades para descumprimento à lei ficaram para agosto de 2021
Entrou em vigor a Lei Geral de Proteção de Dados Pessoais (LGPD) na sexta-feira, 18/9. O presidente Jair Bolsonaro sancionou na quinta-feira, 17/9, a lei nº 14.058, da Medida Provisória 959, com veto ao artigo 4º que adiava a vigência da LGPD para 1º de janeiro de 2021. A matéria já havia sido aprovada pelo Senado Federal no dia 26/8.
As sanções para quem descumprir a lei, porém, ficaram para agosto de 2021. Elas também estão ‘amarradas’ à Autoridade Nacional de Proteção de Dados (ANPD), cuja criação foi aprovada, mas ainda não foi instituída. Depende da nomeação do diretor-presidente do órgão e publicação no Diário Oficial da União.
A ANPD é o órgão responsável por “zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional”, de acordo com art. 5º, XIX, da LGPD.
Empresas precisam se adequar à lei, inclusive do setor condominial
Inicialmente, a LGPD deveria começar a ser aplicada no dia 14/8/2020. Muitas empresas – inclusive do setor condominial – tiveram que apostar em novos procedimentos para atender aos pedidos de segurança da lei.
“Meu negócio investiu pesado em tecnologia para obedecer à LGPD, mas vi que muita gente no mercado ainda não entendeu como deixar dados de usuários ‘descobertos’ pode ser uma dor de cabeça séria no futuro”, disse uma fonte ao SíndicoNet que preferiu não se identificar.
Com entrada da lei em vigor – mas sem prazo para sanções e multas -, quem ainda não se adequou aos ditames da lei conta com mais um período para fazê-lo. Importante dizer que as multas para vazamento de dados serão altas, e que as companhias deverão ir à imprensa para dar ciência quando isso ocorrer, acarretando, assim, não apenas em prejuízo financeiro, mas também de imagem pública.
Uma lei como essa é importante não só para o cidadão comum, que se vê mais empoderado do uso de seus dados pessoais, mas também responsabiliza empresas de todos os setores a olharem com mais atenção para a gestão desses dados.
As administradoras de condomínio, por exemplo, devem ser transparentes quanto à gestão dos dados dos seus usuários. As administradoras devem estar preparadas para responder para os seus clientes perguntas como:
quais informações pessoais são coletadas
por quanto tempo serão armazenadas
como esses dados são tratados e protegidos
Também vale ressaltar que as empresas com maior ou menor base de dados, mais antigas ou mais novas, todas devem se adequar o mais brevemente possível.
Outro ponto que gerou dúvidas no mercado condominial é sobre o prazo que as administradoras têm para manter dados de ex-moradores em seu sistema.
“Entendo que, para isso, o prazo seja dois ou até três anos, por ser justamente o prazo para ressarcimento de danos, de eventuais danos que tenham sido causados durante o período que ele ocupou a unidade, por exemplo”, ensina André Luiz Junqueira, advogado especializado em condomínios.
Como ainda há muita novidade ao redor do tema, e a ANPD ainda não criada, é difícil saber com exatidão quando as multas e sanções devem começar.
Como funciona a LGPD
Você chega na farmácia e pede um remédio específico. O atendente pergunta “Gostaria de dar o seu CPF e conseguir 20% de desconto?”
A situação é prosaica e muita gente já passou por isso. Mas para quê dar o seu CPF para obter um desconto específico? O que é realmente feito com esse dado?
Para sanar essas dúvidas e trazer mais transparência na gestão de dados pessoais é que a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) foi sancionada. Na esteira da legislação europeia que trata do mesmo tema, a lei brasileira ainda desperta muitas dúvidas sobre como será sua aplicação na prática.
Ao entrar em vigor, as empresas dos mais diversos ramos devem se adequar ao que a lei exige: maior controle do titular sobre o processamento de seus dados pessoais.
Para isso, as empresas deverão apresentar mudanças em diversas áreas, como:
Tecnologia da Informação, já que os dados dos clientes deverão ser armazenados e geridos com um nível de cuidado extra contra vazamentos e espionagens;
Jurídico, que deve chamar a atenção para os potenciais problemas com a lei;
Atendimento ao cliente, uma vez que a lei estiver em vigor, qualquer pessoa poderá pedir por alterações em seus dados pessoais e até a exclusão completa dos mesmos.
Como no exemplo acima, o atendente da farmácia deverá deixar claro: qual será o uso do CPF do cliente. É para a própria farmácia? Para o laboratório? Por quanto tempo esse dado será armazenado?
A LGPD pode não afetar os condomínios diretamente
Há dúvidas, porém, se a lei se aplicaria aos próprios condomínios.
“A lei fala que está excluída da aplicação da lei quando o tratamento de dados – a atividade – é feito por pessoa natural (física) e para motivo exclusivamente particular e sem interesse econômico, que é o que acontece quando um visitante entra no condomínio e seus dados são pedidos”, exemplifica o advogado especialista em condomínios André Junqueira.
Esse também é o entendimento do advogado Cristiano de Souza.
“Essa legislação era necessária e será muito benéfica, mas ainda é muito ‘aberta’, restam muitas dúvidas. Por exemplo: ela cita apenas pessoa jurídica (empresas) ou naturais (pessoa física). O condomínio não se encaixa em nenhum desses conceitos”, analisa.
Angelica Arbex, gerente de relações com os clientes da Lello Condomínios, enxerga alguns pontos principais nesta questão. O primeiro é na relação do condomínio com os seus condôminos, funcionários, fornecedores e visitantes. Segundo ela, apesar de o condomínio não ser uma pessoa jurídica, é fundamental que toda a adequação ocorra também dentro deles.
"A coleta de informações pessoais precisam obedecer aos cinco princípios: finalidade, adequação, necessidade, transparência e auditoria. Isso precisará ser traduzido para a rotina dos condomínios, como em uma simples lista de convidados na portaria para a liberação de uma festa. Seja físico ou digital, o condomínio deve tratar este documento sob a luz da lei e porteiros e zeladores precisam estar preparados para explicar a um visitante, por exemplo, qual a finalidade de seus dados naquela lista e como eles foram armazenados", explica Angelica Arbex, da Lello.
Entretanto, a LGPD vai afetar os prestadores de serviço do condomínio
Os condomínios, em si, podem se ver excluídos de fazer a gestão de dados uma vez que não têm interesse econômico nos mesmos e também não são pessoas jurídicas – mas as empresas contratadas para prestação de serviço, não.
Administradoras, aplicativos, empresas de portaria remota, terceirizadoras de mão de obra, entre outras devem, sim, se adequar aos ditames da lei.
E devem fazê-lo com atenção, pois as multas podem ser bastante altas: variam de advertências simples a multas de 2% do faturamento do grupo da empresa até R$ 50 milhões – por infração.
A fiscalização caberá à Autoridade Nacional de Proteção de Dados (ANPD), autarquia ligada ao Ministério da Justiça ainda a ser instituída.
Há muito a ser feito pelas empresas para se adequarem à nova legislação.
“Do jurídico à área de processamento de dados, as empresas devem se conscientizar do tamanho que será essa mudança”, alerta Allan Alher Fonseca, cofundador da Guardians, uma consultoria focada na LGPD.
Ele também alerta que com a vigência da lei, as empresas terão que conseguir comprovar que os dados recolhidos por elas foram obtidos com autorização do titular.
Empresas que serão mais afetadas pela LGPD
As prestadoras que lidam com um grande número de clientes, como administradoras de condomínios, devem se apressar para se adequar à nova legislação.
“As grandes administradoras já têm essa política de contar com a anuência do morador para pedir suas informações pessoais, além de cuidados de preservação do seu banco de dados”, explica a advogada consultora do grupo Graiche Laila Bueno.
Outro caso importante é o das empresas de portaria remota (também conhecida como virtual), uma vez que dados biométricos são considerados bastante sensíveis. E, tendo essa característica, o cuidado com esses dados deve ser redobrado.
Há empresas que estão estudando a legislação para se adequar de uma forma orgânica.
“Aqui criamos um grupo de estudos multissetorial. Estamos nos reunindo semanalmente para que as medidas necessárias sejam tomadas e a lei, atendida completamente”, ressalta Carolina Peres Salvador, advogada da Kiper Portaria Remota.
Mais um colaborador na folha de pagamento
Independente do nicho, todas as empresas que lidam com dados pessoais deverão contar com um DPO: Data Protection Officer, ou Oficial de Proteção de Dados ou encarregado de dados.
“Seja um cargo dentro da empresa ou terceirizado, o DPO será responsável por assegurar que a empresa siga o que a lei pede – isso inclui tratar com clientes, com o órgão fiscalizador, e até para falar com a imprensa caso haja um vazamento de dados. Uma mistura de jurídico, TI, compliance”, aponta Allan.
Para se adequar à lei
CAPTAÇÃO DE DADOS: Para cada dado pedido por uma empresa, em qualquer formulário, seja digital ou em papel, deve-se esclarecer o motivo da necessidade do mesmo.
CONSENTIMENTO: Até agosto de 2020, as empresas devem obter consentimento de seus clientes acerca de todos os dados pessoais. Uma autorização de uso de dados, de todos os dados que a empresa mantiver em seu poder.
PROVA: Além do consentimento, as empresas deverão conseguir comprovar que obtiveram a autorização dos titulares dos dados, assim como da gestão dos mesmos.
DADOS SENSÍVEIS: religião, sexo, orientação política e social, biometria, câmeras pedem outro tipo de cuidado das empresas que obtiveram esses dados. Mais segurança no cuidado dos mesmos e um consentimento claro por parte do titular.
MENORES: Dados de menores de 16 anos não devem ser usados, a não ser com anuência expressa dos pais ou responsáveis legais.
ACESSO AOS DADOS: Solicitação de dados na empresa: um morador ou condômino pode ir até a administradora e pedir para conferir os dados que a empresa tem em mãos. O titular pode pedir alterações e até a exclusão de suas informações pessoais do banco de dados.
VAZAMENTOS: Se houver vazamento de dados, a empresa deve ir à imprensa noticiar o ocorrido.
CORRESPONSABILIDADE: se houver vazamento de dados do condomínio em uma empresa parceira, seja da administradora, portaria remota, ou terceirizadora de mão de obra, a parceira do condomínio responderá civilmente – mesmo se a contratada do condomínio estiver ok com a lei.
POLÍTICA DE PRIVACIDADE: Ao fechar um novo contrato, ou renegociar um antigo, é fundamental que a empresa tenha uma política de privacidade de acordo com a nova lei, assim como regras de confidencialidade.
Como fica a segurança do condomínio?
O uso mais sensível de dados pelo condomínio é, muitas vezes, o cadastro de visitantes – uma vez que os dados pedidos para condôminos e moradores atendem, ou devem atender, às necessidades daquela comunidade.
“A portaria deve ser um dos locais do condomínio mais afetados pela LGPD”, afirma Henrique Schmidt Boz, cofundador da LAR.APP.
Com a nova lei, como fica a gestão de dados de visitantes? A pessoa pode pedir para ter seus dados excluídos do banco de dados do condomínio assim que ingressar – ou sair – do local?
Ainda não há uma resposta final para essa pergunta.
“Enquanto perdurar o acesso ao condomínio, por uma questão de segurança e prevenção de riscos, poderá o condomínio tratar os respectivos dados independentemente do consentimento do seu titular, mas sempre informando a razão da coleta e a sua política de privacidade. Todavia, considero que este mesmo titular poderá, quando encerrado o acesso e assim que superada a questão da segurança e prevenção a riscos, exigir a exclusão de seus dados pessoais dos cadastros”, aponta a advogada Moira Toledo, diretora do Secovi-SP.
“Os condomínios coletam esses dados baseados na boa fé, para a sua própria segurança. Mas vai ser importante explicar para o visitante por quanto tempo essas informações serão armazenadas”, aponta Cristiano Souza.
Outro ponto importante é a gestão dos colaboradores: os mesmos deverão estar a par dessas mudanças, para poder explicar para o visitante como os dados deste serão cuidados.
“O controlador deve conhecer exatamente para quê faz a coleta de dados e estar habilitado para prestar estes esclarecimentos. Deve ter cláusula de confidencialidade com o condomínio em seu contrato de trabalho. Deve conhecer a política de privacidade. Enfim, deve receber treinamento e capacitação e se comprometer a seguir o estabelecido”, argumenta Moira.
Os apps de condomínios deverão passar pelo mesmo processo: uma revisão dos cuidados com seus dados – e o consentimento claro dos titulares das informações pessoais sobre seu uso.
Brechas na LGPD
Tempo de retenção de dados: não há prazo definido sobre quanto tempo uma empresa pode manter os dados de uma pessoa em seu sistema – será definido pelo próprio controlador conforme o caso e justificativa jurídica.
Como será a fiscalização: o que se sabe é que há a ANPD, mas não está claro como será feito o acompanhamento junto às empresas.
Fonte: Sindiconet
Comments