Por Daniel Cerveira
A Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018) impôs novas condições aos players do mercado no tocante ao tratamento de informações pessoais, em especial ao setor varejista, seja para a continuidade das operações e ações de promoção e inovação.
A mencionada regulação surge a partir de um contexto social familiarizado com as novas ferramentas digitais, cuja informação pessoal toma um lugar de destaque na concepção e aprimoramento de mecanismos de promoção e manutenção de negócios.
Com a aparente necessidade de se coletar cada vez mais informações, a criar indeterminados bancos de dados e promover o compartilhamento desses com uma indeterminada soma de parceiros comerciais, e estes com tantos outros, é de se imaginar a consequente potencial violação de direitos das pessoas identificáveis por estes dados.
Apesar de bastante difundida, seja por meio de profissionais liberais ou instituições, o cenário ainda aponta que a grande parte das empresas ainda não direcionou esforços para revisar seus processos internos que envolvem dados pessoais.
Coletar, utilizar, compartilhar ou simplesmente acessar informações pessoais de residentes no Brasil para fins econômicos, é o suficiente para estar sujeito às normas da LGPD. As penalidades que podem ser impostas pela Autoridade Nacional de Proteção de Dados (ANPD), vão de uma simples advertência com indicação de prazo para adoção de medidas corretivas, a multa de até 2% do faturamento bruto anual (limitado a R$ 50 milhões) e a publicização da infração.
Outro detalhe que merece relevância é o regime diferenciado para microempresas, empresas de pequeno porte, o microempreendedor individual (MEI) e startups. Com a publicação da Resolução CD/ANPD n 02/2022, desde que estejam preenchidos certos requisitos, estas organizações podem ser classificadas como Agentes de Tratamento de Pequeno Porte e passam a gozar de algumas flexibilizações aos critérios legais de conformidade.
Assim, assinalo ainda que para as empresas ligadas a atividades do varejo e de saúde o senso de urgência é ainda mais alto, já que lidam ativamente com o consumidor final e a coleta de dados cadastrais confidenciais e de dados sensíveis.
Lidar com o consumidor final ou com informações pessoais sensíveis (referente à saúde, orientação sexual, biométrico e outros), coloca a instituição em uma verdadeira vitrine para ações de fiscalização. O exemplo é o que ocorre hoje com a tutela dos direitos do consumidor, as empresas são convocadas diariamente a responder por reclamações de clientes (extrajudicial ou judicialmente) ou pela autuação direta dos órgãos administrativos. Esta dupla gama de agentes fiscalizadores continua atuante agora no panorama legal dos direitos da privacidade e proteção de dados pessoais.
As ações de fiscalização já começaram, tornando imprescindível dar início a jornada de compliance com a LGPD, esta que pode ser iniciada com o registro das operações que envolvam dados pessoais, e na sequência, verificar se tais processos devem ou não ser submetidos a ajustes para conformidade com a lei. A partir deste mapeamento inicial, a instituição poderá avaliar o seu nível de risco e necessidade de documentação complementar para justificar suas atividades junto à ANPD.
Na prática, partindo do relatório de processos, será possível pôr uma “lupa” para identificação do risco individual daquela atividade e estudar quais as medidas corretivas serão necessárias, para prevenção ou mitigação destes riscos.
Em maio de 2023 a Coordenação-Geral de Fiscalização da ANPD divulgou a lista contendo os 16 processos e as 27 instituições que estão sob investigação da ANPD quanto a sua adequação à lei, a partir disso, verificou-se que os principais “gaps” de conformidade recaem sobre a adequação das atividades de coleta, uso e compartilhamento de dados pessoais aos princípios legais de privacidade (finalidade, adequação, transparência, necessidade, segurança, prevenção, prestação de contas, não discriminação e outros), e se tais processos foram iniciados com fundamento em alguma das hipóteses legais que justificam o tratamento (consentimento, execução de contrato, obrigação legal ou regulatória, exercício regular de direitos, dentre outros).
Um exemplo de processo que merece revisão urgente é sobre como as empresas utilizam a lista de transmissão de whatsapp ou e-mail marketing. É preciso primeiro entender como este banco de dados foi formado, foi solicitado o consentimento expresso do destinatário para recebimento dessas comunicações? Há registro deste consentimento? Sendo negativas as respostas para as questões anteriores, é preciso estudar quais ferramentas (de opt-in e opt-out) poderão, e se são viáveis para o negócio, ser implementadas na prática, ainda que para validação integral ou parcial da base de dados existente.
No geral, a conformidade com a LGPD é construir e manter um programa de governança efetivo de gerenciamento da privacidade, a depender das atividades que são realizadas, um comitê de privacidade pode ser formado para auxiliar a alta administração a instituir e operacionalizar as políticas e boas práticas de conformidade, especialmente para gerir, de acordo com a Lei, as reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Artigo publicado: Orbis News , 7 de junho de 2023