Por Marina Flandoli e Wagner Lucio

QUEM DEVE SE PREOCUPAR COM A LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)?

Talvez o assunto mais discutido nos últimos tempos, além das eleições, seja a recém sancionada Lei nº 13.709 de 14 de agosto de 2018, conhecida por Lei Geral de Proteção de Dados, a “LGPD”.

Seu projeto teve início na Câmara dos Deputados em 13/06/2012, porém ganhou atenção somente em 2018 com a publicação da versão europeia, chamada de GDPR, que entrou em vigor em 25 de maio de 2018.

A lei brasileira possui o objetivo de regrar a coleta, o uso e o armazenamento de dados pessoais pelas empresas, online ou offline, com o fim de proteger direitos fundamentais como liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Mas a quem se aplica a nova lei? Profissionais liberais, como médicos, psicólogos, advogados, e contadores, por exemplo, devem se adequar às suas regras? Ou será que se aplica somente a empresas de e-commerce, redes sociais, ou de tecnologia?

Para entender melhor, a LGPD traz algumas definições que auxiliam a entender a quem se dirige, como por exemplo quem é o titular dos dados, quem é o controlador, o operador, o que são dados pessoais, dados pessoais sensíveis, o que pode ser o “tratamento de dados”, dentre outras definições.

Vamos a elas:

– Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

– Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, ou seja, o responsável pela coleta e pela forma de tratamento dos dados;

– Dado pessoal: qualquer informação relativa à pessoa natural, o titular;

– Dado pessoal sensível: são os dados pessoais sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

De acordo com a definição da lei todo aquele dado que individualiza uma pessoa natural de forma extremamente específica, que possa lhe causar qualquer tipo de abuso em decorrência de tais informações é considerado um dado pessoal sensível;

– Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Com base nesses esclarecimentos fica mais fácil identificar se a empresa ou o profissional liberal deve se adequar à nova lei, que entra em vigor em cerca de ano e meio. Veja um psicólogo, por exemplo. Não é novidade que os dados coletados desde o início da contratação, com o cadastro do paciente na clínica, até a realização das sessões propriamente ditas, são totalmente sigilosos.

De acordo com a Dra. Cristina Pellini, membro da Comissão de Ética do Conselho Regional de Psicologia de São Paulo (CRP SP), o sigilo tem por finalidade tutelar a intimidade das pessoas, protegendo-as contra violações e indiscrições de outrem. "O sigilo profissional é marcado por um elemento subjetivo, a pessoa do profissional a quem o indivíduo é obrigado a recorrer para obter assistência”
(http://www.crpsp.org.br/portal/comunicacao/jornal_crp/163/frames/fr_questoes_eticas.aspx).

Portanto, de acordo com a definição da própria Comissão de Ética do Conselho Regional de Psicologia de São Paulo os dados fornecidos pelo paciente durante a sessão, assim como seu prontuário, podem ser classificados como dados pessoais sensíveis, merecendo, desta forma especial atenção dos profissionais.

Isso porque, não bastassem as questões éticas profissionais, o vazamento deste tipo de dado pode acarretar sérios prejuízos ao paciente e, consequentemente, ao psicólogo que não os protegeu adequadamente, estando sujeito tanto às penalidades da LGPD como à reparação pelos danos que causou àquele.

Agora, imagine que os atendimentos sejam online, por meio de plataformas, aplicativos ou mesmo chamadas de vídeo. A coleta de dados, por vezes, é muito maior!

E quanto às empresas? Quais estão sujeitas à nova lei?

Toda empresa que dados pessoais ou dados pessoais sensíveis estará sujeita à LGPD, seja ela uma empresa de e-commerce, seja ela uma corretora de seguros, seja ela um supermercado, seja ela uma laboratório de análises clínicas, ou mesmo um microempreendedor.

Desta forma, todos devem se adequar às previsões da LGPD até agosto de 2020, quando entra em vigor.

Como se adequar à nova lei?

Comece fazendo um diagnóstico/inventário da estrutura da empresa, com mapeamento dos procedimentos internos e informações acerca do processo de coleta e armazenagem dos dados pessoais de clientes e funcionários.

Faça o levantamento do papel de cada área de trabalho e qual a relação com aqueles dados, em termos de acesso e tratamento. Por fim, analise os contratos firmados entre a empresa e seus clientes, os contratos firmados com parceiros e fornecedores, para identificar o que deverá ser alterado, o que precisará ser reelaborado e o que poderá ser aproveitado para atender à LGPD.

Essa fase inicial mostrará os pontos frágeis da empresa quanto à proteção de dados pessoais e dados pessoais sensíveis e indicará as medidas que devem ser adotadas para reverter as brechas que põem não só a empresa em risco, mas principalmente os titulares dos dados.

Após, inicie a implantação dessas medidas, lembrando que, desde o início, é fundamental contar com a assessoria de profissionais especializados no assunto.

Feitas as adequações necessárias, a preocupação fica por conta da elaboração dos documentos obrigatórios exigidos pela LGPD e que as empresas devem ter, e outros que geralmente se recomenda para engajar todos os funcionários e colaboradores nesse processo de proteção de dados pessoais:

- Relatório de Impacto à privacidade: documento obrigatório, segundo norma da LGPD, para fornecimento às autoridades competentes em caso de fiscalização, contém a descrição dos processos de tratamento dos dados pessoais que possam gerar riscos aos direitos de seus titulares. Tal relatório contém também as medidas de preservação dos dados e mecanismos de mitigação dos riscos.

- Política de Proteção de Dados / Privacidade: é o termo apresentado pela empresa à sociedade em geral com quem mantém relacionamento, clientes, parceiros, fornecedores, por exemplo, indicando todo o tratamento aos dados pessoais, ou seja, informando por que é colhido, como é utilizado, onde é armazenado, conforme exige a LGPD.

- Política Interna de Tratamento de Dados: o regulamento interno da empresa, destinado aos funcionários, colaboradores e prestadores de serviços, definindo o comportamento esperado de todos para resguardar a segurança dos dados pessoais tratados na empresa.

Esse momento é fundamental e uma ótima oportunidade de mudança de cultura interna. Engajar funcionários com treinamentos específicos e obter o comprometimento de todos nesse assunto ajudará a minimizar os riscos de a empresa sofrer vazamentos de dados, autuações por parte da autoridade pública e punições previstas na lei, por exemplo.

Há hipóteses em que será permitido o tratamento de dados sem a anuência do titular?

Sim, mas as hipóteses são muito limitadas. De acordo com a LGPD é possível o manuseio de dados pessoais sensíveis sem a anuência do titular nos casos de

(i) cumprimento de obrigação legal ou regulatória pelo controlador;

(ii) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

(iii) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

(iv) proteção da vida ou da incolumidade física do titular ou de terceiro; dentre outros.

O que acontece se o profissional liberal ou a empresa não se adequar à LGPD?

Não protegendo os dados de forma apropriada, podem ocorrer vazamentos e uso indevido por terceiros. E a violação de dados pessoais pode acarretar multa de até R$ 50.000.000,00 (cinquenta milhões de reais!!!) ou até 2% do faturamento da empresa, além de outras penalidades, como ordens de paralisação das atividades, condenações em indenizações por danos causados a vítimas cujos dados foram violados, vazados, alterados, etc.

Respondendo, então, a pergunta inicial: a LGPD se aplica a profissionais liberais e a empresas em geral que tratam os dados de seus clientes. E o mais importante: a lei entrará em vigor em agosto de 2020, o que deixa pouco mais de um ano e meio para que todos criem mecanismos e procedimentos internos para não correr o risco de sofrer sanções.

Você quer saber mais sobre LGPD? Estamos a disposição para tirar suas dúvidas e lhe auxiliar.