LGPD para pequenas empresas: pode mandar WhatsApp? Tem que apagar dados antigos? Especialistas respondem
Só três em cada dez pequenas e médias empresas se julgam totalmente preparadas para lidar com a nova lei. Sanções passaram a ser aplicadas no inicio de agosto e podem render multas milionárias
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020 e passou a aplicar sanções no início de agosto de 2021. Há pouco mais de um mês, consumidores podem denunciar infrações e empresas já recebem autuações da Autoridade Nacional de Proteção de Dados (ANPD), órgão criado para fiscalizar o cumprimento da legislação.Empresas de todos os portes precisaram atualizar a política de privacidade, renovar a permissão de uso dos dados dos clientes e rever processos de captação e tratamento de informações. No entanto, de acordo com uma pesquisa recente da plataforma de comparação de softwares Capterra, do Instituto Gartner, apenas três em cada dez pequenas e médias empresas acreditam estar totalmente preparadas para a LGPD.
PEGN levantou dúvidas de leitores sobre a nova lei de proteção de dados, por meio do Instagram, e obteve as respostas dos especialistas Flávia Amaral, sócia do Trench Rossi Watanabe, Renata Pin, sócia do escritório Andrea Oricchio Advogados (AOA), e Roberto Kanter, professor dos MBAs da Fundação Getulio Vargas (FGV). Confira:
1. O que muda para os pequenos negócios com a LGPD?
A lei trouxe uma necessidade de revisão geral na forma como os dados são coletados, armazenados e tratados. Kanter explica que as empresas vão precisar se estruturar para estar aptas a receber as informações dos clientes e retirá-las do sistema imediatamente, quando necessário. “Será preciso contatar fornecedores, como provedores de e-commerce, para saber qual é a política de coleta de dados, e também atualizar autorizações sobre as informações que já possuem.”
2. Quais são as sanções ou multas em casos de infração?
As penalidades previstas na LGPD são sanções administrativas, majoritariamente aplicadas pela ANPD, mas o Judiciário também pode ser acionado. Amaral diz, no entanto, que, antes da aplicação das sanções, serão garantidos os direitos à ampla defesa.
As principais sanções previstas são:
– Advertência, com indicação de prazo para adoção de medidas corretivas.
– Multa simples, de até 2% do faturamento (excluídos os tributos) da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, limitada, no total, a R$ 50 milhões por infração. Será considerado o valor do último exercício.
– Multa diária, observado o limite total de R$ 50 milhões.
– Publicidade da infração, após ser devidamente apurada e confirmada.
– Suspensão do tratamento e até bloqueio dos dados pessoais a que se refere a infração até a sua regularização. Também pode ser requerida a exclusão definitiva dos dados dos sistemas da empresa.
– Suspensão parcial do funcionamento do banco de dados envolvido na infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.
– Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Amaral explica que as sanções podem ser aplicadas de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto. Serão considerados os seguintes parâmetros e critérios:
– A gravidade e a natureza das infrações e dos direitos pessoais afetados.
– A boa-fé do infrator.
– A vantagem auferida ou pretendida pelo infrator.
– A condição econômica do infrator.
– A reincidência.
– O grau do dano.
– A cooperação do infrator.
– A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, conforme determina a LGPD.
– A adoção de política de boas práticas e governança.
– A pronta adoção de medidas corretivas.
– A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
3. Eu preciso ter alguém dedicado apenas a controlar dados de clientes?
A lei diz que toda empresa deve ter um encarregado de dados, conhecido como Data Protection Officer (DPO). O profissional deve garantir o cumprimento da LGPD dentro da empresa, atender às solicitações dos titulares dos dados e manter contato com a ANPD, quando for necessário. “O DPO pode ser um funcionário ou um terceirizado, e não precisa exercer apenas essa finalidade. Ele pode combinar com outra função que já realiza”, explica Pin.
4. Como comprovar e demonstrar que a captação de leads foi feita conforme a LGPD?
De acordo com Pin, isso vai depender da forma que o lead foi captado. “Em geral, será necessário demonstrar que houve consentimento, apresentando o formulário preenchido e assinado, ou comprovar que a fonte de captação foi interna, no ponto de venda da marca, por exemplo.” Além disso, é preciso mostrar que a utilização está sendo feita apenas com base no legítimo interesse. “Para cada tipo de lead e de finalidade do uso do dado, haverá uma forma diferente de comprovar”, afirma a especialista.
5. Posso manter o e-mail do cliente na minha base de dados ou preciso excluí-lo?
Pode manter a base de dados, mas é preciso entrar em contato com os clientes para renovar a permissão de uso. Kanter explica que isso pode ser feito por e-mail ou SMS, com a descrição detalhada dos novos termos de privacidade e a opção para que o cliente dê a autorização. No entanto, ele afirma que o processo não pode ser apenas uma formalidade. “Muitos clientes podem não acessar mais o e-mail cadastrado, então pode haver um trabalho de atualização dos dados por outros meios, como telefone, e já informá-lo de que está adequando as informações conforme a LGPD”, diz.
6. Mandar WhatsApp para desconhecidos fere a LGPD?
Se for uma mensagem entre contas de pessoas físicas, para fins particulares, não fere a LGPD. No entanto, se tiver fins econômicos, como promoção de produtos ou serviços, e não houver uma justificativa legal para o envio, pode ser passível de sanção. “Nesse ponto, vale lembrar que todo o tratamento de dados pessoais precisa ter uma base legal, que estará vinculada à finalidade do que você vai fazer ou pretende fazer com o dado”, explica Amaral.
A LGPD prevê dez justificativa legais para o tratamento de dados pessoais gerais e uma delas é o consentimento. Há ainda a possibilidade de contato para cumprimento de obrigação legal, como cobranças, ou para a realização de estudos por órgãos de pesquisa, por exemplo. “O consentimento nem sempre será necessariamente a base legal mais indicada para determinada finalidade. Por isso, será muito importante conhecer o fluxo de dados pessoais dentro da empresa, para identificar as bases legais aplicáveis aos tratamentos realizados, quando for o caso”, diz a especialista.
7. Quais são os canais para denunciar infrações?
O cliente pode fazer a denúncia de infração por meio do site da ANPD (anpd.gov.br). Se for o primeiro acesso à plataforma, será necessário fazer um cadastro na Fala.Br, Plataforma Integrada de Ouvidoria e Acesso à Informação. “Mas a pessoa deve também entrar em contato com o SAC e a Ouvidoria da empresa em questão. É importante protocolar as intenções”, afirma o especialista da FGV.
8. É possível recorrer de denúncias que eu considero injustas?
Sim, tanto administrativamente quanto judicialmente, será possível recorrer de qualquer denúncia, autuação ou processo. “Os trâmites e prazos legais para as respostas e defesas das autuações aplicadas pela ANPD serão aqueles por ela definidos no momento da autuação, denúncia, pedido de esclarecimento ou nas normativas internas da autoridade nacional”, explica Pin.
9. Se terceiros tiverem acesso aos dados da minha empresa e as informações vazarem, eu posso ser penalizado?
Amaral diz que a empresa pode, sim, ser penalizada se não conseguir comprovar que adotou medidas mínimas de segurança para proteger os dados dos clientes de tratamentos inadequados ou ilícitos. A ANPD ainda definirá padrões técnicos mínimos de segurança, mas as empresas podem se antecipar com adoção de firewalls, por exemplo, e ações como política de troca de senhas e autenticação de acessos.
Para se precaver, a sugestão da especialista é coletar apenas os dados que serão, de fato, utilizados pela empresa. Também é recomendável rever contratos com fornecedores que manipulem essas informações, para exigir adoção de medidas de segurança nos processos.
A especialista explica que a lei já prevê que controladores e operadores formulem, individualmente ou por meio de associações, regras de boas práticas e de governança que estabeleçam normas de segurança e padrões técnicos, por exemplo. Alguns setores, como bancos, já possuem normas setoriais específicas sobre segurança da informação. Se o seu não tiver, busque especialistas em segurança da informação para referências de frameworks e normas de padrão de segurança da informação.
“Vale ressaltar que é imprescindível que a empresa faça seu inventário de dados para conhecer o ciclo de vida de dados por ela tratados, seus riscos operacionais e suas vulnerabilidades. Assim, poderá definir a melhor estrutura de segurança da informação para o seu negócio”, afirma Amaral.
10. O cliente pode reclamar de manipulação de dados feita antes de agosto de 2021? Qual é o prazo para contestações?
Vale lembrar que a LGPD entrou em vigor em setembro de 2020. Dessa forma, todo titular passou a ter direitos sobre os seus dados, independentemente de quando foram coletados, de maneira ampla, desde então.
“Há ainda uma discussão sobre a chamada ‘base legada’ e a possibilidade de continuação de utilização dos dados antigos. No entanto, essa possibilidade de uso não elimina a obrigação da empresa de responder a qualquer titular, excluir seus dados, suspender comunicações ou tratar os dados de acordo com o que ele venha a solicitar”, ressalta Pin.
Leia também
Investir no jurídico para prevenir é bem mais barato do que para corrigir
Revisar constantemente a Circular de Oferta de Franquia e seus aspectos legais ajuda a reduzir problemas; ao futuro franqueado, cabe a análise dos documentos jurídicos e legislações vigentes em relação ao novo negócio Novas leis, novos tempos. E, por incrível que pareça, eles não têm nada a ver com o novo normal nem com […]
LGPD: é hora de encará-la de frente
Novo projeto de lei tenta prorrogar o início das punições. Independentemente dela ser aprovado ou não, processo de adequação é longo e precisa ser feito o quanto antes. Um novo projeto de lei (PL), pendente de aprovação, solicita a prorrogação dos prazos de aplicações das multas referentes a não conformidade da Lei Geral de Proteção […]
Pandemia evidencia novo perfil de advogado
O Direito, de uma forma geral, sempre passou uma sensação de morosidade, de ser algo demorado. Isso acontece, de certa forma, porque a disciplina é, sim, reativa. Primeiro o fato acontece e depois é que se cria uma lei para lidar com o ocorrido. Essa lentidão, no entanto, foi forçada a ser revista durante a […]