Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) tem como principal parecer dispor sobre o tratamento de dados pessoais, inclusive nos meios digitais. Dessa forma, tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade, além do livre desenvolvimento da personalidade da pessoa física.

Inspirada no Regulamento Geral de Proteção de Dados Pessoais da União Europeia, a lei possui diversos artigos que distribuem detalhadamente uma série de regras necessárias para se seguir, e assim permite que o cidadão tenha mais controle sobre o tratamento de informações próprias de sua pessoa.

Principais objetivos da lei

  • Transparência;
  • Privacidade;
  • Segurança;
  • Prevenção;
  • Livre acesso;
  • Adequação;
  • Estabelecer regras e normas padronizadas;
  • Promover a concorrência.

Execução da LGPD

A aplicação tem grande abrangência e essa execução parte dentro desses diversos artigos. A lei regulamentará qualquer atividade de tratamento de dados pessoais, por meios físicos ou digitais, por pessoa física ou jurídica, realizada no território nacional ou que tenha por objetivo a oferta ou o fornecimento de bens ou serviços para indivíduos localizados no território nacional ou ainda tratamento cujos dados foram coletados em território nacional.

Entretanto, exclui o tratamento de dados pessoais para fins meramente particulares e não econômicos, fins jornalísticos, artísticos, acadêmicos e todo aquele realizado para fins exclusivamente de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, entre outros. O artigo 5º da LGPD diz que tratamento é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Para facilitar o entendimento do que seriam esses tratamentos, existem algumas definições:

  • Dado pessoal: uma informação relativa a uma pessoa identificada ou identificável, ou seja, os dados pessoais são basicamente um conjunto de informações distintas que podem levar à identificação de determinada pessoa;
  • Dado pessoal sensível: uma informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização com caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico;
  • Dado anonimizado: dados relativos a determinado titular que não possa ser identificado, levando-se em consideração a utilização de ferramentas técnicas razoáveis e disponíveis por ocasião do tratamento;
  • Banco de dados: uma estrutura com um conjunto de dados pessoais, estabelecido em um ou vários locais, sendo físico ou digital/eletrônico;
  • Titular: pessoa física a quem se referem os dados pessoais
  • Controlador: pessoa física ou jurídica que contém
  • Operador: pessoa física ou jurídica que realiza o tratamento de dados pessoais para o controlar;
  • Encarregado: pessoa indicada pelo controlador e operador para ser o canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Segundo o artigo 17º, o titular pode, em qualquer momento, obter do controlador as seguintes informações:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei
  • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • Eliminação dos dados pessoais tratados com o consentimento do titular;
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • Informação sobre a possibilidade de não fornecer consentimento e sobre consequências da negativa;
  • Revogação do consentimento, nos termos do art. 5.º do art. 8.º desta Lei.

Dentro de todo o contexto dos artigos, representa um grande momento histórico no Brasil ao se tratar de uma regulamentação sobre o tratamento de dados pessoais no país, seja em meios físicos ou se tratando de plataformas digitais. É importante pensar que, em caso de um vazamento de dados, o controlador ou operador estarão sujeitos às seguintes sanções administrativas:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • Multa diária;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração;
  • Suspensão do exercício de atividade de tratamento dos dados pessoais;
  • Proibição parcial ou total em relação ao tratamento dos dados pessoais.

Efeitos e impactos nas empresas e nos contratos

A proteção de dados passou a ser um assunto muito importante, mas por quais motivos? Mundialmente, o assunto é amplamente discutido, e por fim acaba envolvendo uma exigência de mercado.

Diversos países estão se adaptando para entrar de acordo com essa proteção, porque tudo isso implica nas relações do que o mercado global exige e vai exigir no futuro próximo. Ou seja, caso não se preparem, correm risco do país ou da empresa ficar de fora. Além disso, temos de cara diversas mudanças em como a preparação para isso deve ser importante, analisando a situação daqueles métodos e processos internos em relação ao tratamento de dados pessoais no geral.

A atenção e principalmente a regulamentação dentro da empresa, de acordo com o compartilhamento de dados pessoais com terceiros, pensando, obviamente, que o consentimento é de extrema importância para que a empresa possa compartilhar as informações que envolve o indivíduo em relação a implementação de práticas compatíveis com a LGPD.

Essa necessidade de se adaptar nos contratos firmados em parcerias faz com que tenham maior resguardo, ainda mais pensando na responsabilidade em que a lei impõe em caso de um descumprimento. Sendo assim, é fundamental que as empresas adotem condutas internas que visem o gerenciamento e avaliação dos dados coletados e faça uma análise de práticas compatíveis com a LGPD, trazendo todo aquela questão de como os dados serão tratados internamente.

Em respeito às relações contratuais no geral, temos diversos dados pessoais envolvidos. Dessa maneira, as empresas precisam ajustar e adaptar seus contratos para que seu conteúdo e implicações estejam de acordo com aquilo que a lei propõe.

Se colocarmos prestação de serviços, fornecimentos, sua supervisão, alinhamentos práticos e também administrativos, toda a rotina que envolve um projeto, além de tudo que envolve contratos dentro da construção civil, temos diversas trocas de informações. Existem e-mails, contratos, assinaturas digitais, senhas, valores, lista de matérias, fichas de cadastro, elaborações de projetos, entre tantas outras referências e elementos.

Um exemplo que é bastante recorrente: o compartilhamento de dados pessoais dos funcionários e colaboradores em registros de entrada e saída de empregados, contratados e visitantes no contexto de uma prestação de serviços. O uso de dispositivos como celulares, computadores e qualquer outro com acesso a sites na internet precisa ser, de certa forma, mais conscientizado e prudente. Qualquer movimentação diferente pode acabar abrindo porta para vírus e hackers.

Como grande parte dos termos de confidencialidade e de sigilo já são consolidadas, também se tornará consolidada com a LGPD, a prática de adendos e cláusulas contratuais de proteção de dados pessoais. Como afirmado ao longo deste texto, o cuidado em relação ao armazenamento desses dados é fundamental. Vale ressaltar que o ambiente e o programa precisam ser de absoluta confiança, algo bem protegido de fato. Além disso tudo, voltamos ao consentimento.

O consentimento é a maior prioridade em relação a LGPD, já que ele implica no acordo com o titular, que pode revogar a permissão de acesso daquele que faz o tratamento de seus dados pessoais. Dessa forma, seria importante algo com um formulário para que todos respondessem, fazendo com que a pessoa entenda o motivo da coleta e de que maneira esses dados serão utilizados, além de, claro, obter o consentimento.

A revisão dos contratos é natural pela necessidade, e assim é preciso entender a relação entre os serviços e processos daquilo que será suportado nos contratos. É fundamental o mapeamento com todos os dados pessoais que serão envolvidos nos contratos, seja atual ou futuro, além de identificar as ações contratuais viáveis, executáveis e necessárias.

O resultado desse trabalho pode indicar a necessidade imediata de alguma ação por parte da empresa, neste caso nós da Verum Partners auxiliaremos no levantamento e nas ações necessárias para sua empresa se adequar e adaptar à LGPD. Pontos para se ter maior atenção nesse momento:

  • Se estão claras e objetivas as responsabilidades do controlador e operador;
  • Se está identificada a forma de coleta e tratamento de dados;
  • Se está expressa a forma do titular de dados pessoais exercer seus direitos previstos no artigo 18 da LGPD;
  • Se consta o detalhamento de quem tem acesso aos dados, o responsável por seu uso e tratamento, a forma de armazenamento e as particularidades de possíveis auditorias;
  • Se há adoção de medidas de proteção e segurança dos dados coletados e armazenados pela contratada.

Concluindo, é de extrema importância que os contratos estejam de acordo com à LGPD, apresentando as informações que são referentes ao tratamento de dados pessoais e entregando aquilo que a lei impõe e apresenta.

Agende uma apresentação com a VerumPartners e saiba como podemos ser parceiros de verdade na Gestão de Contratos de sua organização.

 

Autor: Júlia Braz,  Consultant of Capital Projects and Infrastructure na VerumPartners

Marcos Lima, Consultant of Capital Projects and Infrastructure at VerumPartners