Empresas já sofrem ações judiciais com base na LGPD, afirma advogado
Ainda que estejam sujeitas a sanções administrativas apenas a partir de agosto de 2021, empresas já estão enfrentando ações civis públicas por parte de consumidores individuais, de entidades de defesa do consumidor e de entidades de defesa de titulares de dados desde que a Lei Geral de Proteção de Dados (LGPD) entrou em vigor, no dia 18 de setembro último.
A informação é do advogado Márcio Cots, sócio do Cots Advogados, escritório especializado em direito dos negócios digitais com sede em São Paulo, e um dos participantes do Conexão Couromoda realizado nesta quarta-feira, dia 21.
Conforme ele, as empresas em geral – especialmente aquelas que mantêm relações comerciais com consumidores, como lojas e promotoras de eventos, por exemplo - precisam adequar-se à lei, que estabelece normas para coleta, armazenagem e tratamento (uso) de dados pessoais, isto é, informações que permitem identificar uma pessoa, como nome, CPF, gênero, cor, raça e religião. E as que não o fizerem, além de multa administrativa a partir de agosto de 2021, estão sujeitas a ações judiciais, como as que já se verificam em todo o país.
Para outro participante do webinar, Adriano Kalfelz Martins, vice-presidente jurídico da Associação Comercial, Industrial e de Serviços de Novo Hamburgo, Campo Bom e Estância Velha/RS (ACI-NH/CB/EV), a adequação à LGPD é um custo que não estava previsto no orçamento de empresas e causa certa insegurança, mas elas precisam obrigatoriamente fazê-la, sob pena de sofrerem sanções administrativas e ações judiciais.
A LGPD amplia as questões relacionadas à privacidade pessoal, já previstas na Constituição Federal, no Código de Defesa do Consumidor (CDC) e no Marco Civil da Internet. “A diferença é que a LGPD padroniza e deixa mais claro o que deve e o que pode ser feito”, explica Cots. Ao contrário do Código de Defesa do Consumidor, que regula as relações de consumo, a LGPD regulamenta as relações que envolvem uso de dados pessoais, definindo padrões para coleta, armazenamento e uso, tanto de dados off-line (físicos) quanto online (digitais), assim como sanções às empresas que não os observarem.
Proteção contra excessos
Conforme Martins, os desafios de uma sociedade digital impõem a regulamentação do uso de dados pessoais, como a LGPD, que são muitos importantes para as pessoas e podem causar prejuízos quando utilizados de forma inadequada e ilícita, como ocorre com frequência. “Era necessária uma proteção contra os excessos que acontecem”, enfatiza.
Mas ele destaca que há um caminho longo pela frente até que tudo esteja funcionando. Os nomes dos integrantes da diretoria da Associação Nacional de Proteção de Dados (ANPD), a quem cabe fiscalizar a aplicação da lei, recém foram definidos e muitas coisas objetivas ainda precisam ser definidas, o que deve demorar.
Márcio Cots enfatiza que a adequação à LGDP é a dor que as empresas estão sentindo no momento, especialmente aquelas que não tomaram providências nos últimos dois anos, pois lei foi promulgada em 18 de agosto de 2018 e somente entrou em vigor em setembro último. Em outras palavras, havia tempo para fazerem a adequação com tranquilidade.
A falta de recursos é a principal dificuldade enfrentada pelas empresas atualmente, mas há outra. Além da discrepância muito grande nos valores cobrados por empresas especializadas, há um número reduzido de profissionais especializados no mercado. “Poucos conhecem, efetivamente, o que precisa ser feito e há visões distintas entre os consultores que tratam do tema”, alerta.
O que fazer?
Conforme Márcio, o ideal é iniciar com um diagnóstico dos processos de tratamento de dados pessoais na empresa, especialmente naquelas que mantêm negócios com consumidores e utilizam os dados deles, como bancos, estabelecimentos de varejo, promotores de eventos e até mesmo indústrias que mantêm seus próprios e-commerces, para fazer vendas.
O porte da empresa também é determinante para a adoção de cuidados relacionados a coleta, armazenamento e uso de dados pessoais, pois envolve um grande número de clientes e de colaboradores, cujos dados precisam ser protegidos e usados em acordo com o perfil de negócio e as determinações da LGPD.
As empresas devem também mapear o fluxo de informações, identificar possíveis impactos e fazer a adequação de documental, alterando processos internos e utilizando sistemas para proteger os dados de colaboradores e consumidores. Marcio recomenda também treinamento da equipe que será responsável por coletar, manter e usar os dados e definir protocolos rígidos a serem observados, para garantir que não haja vazamento e evitar sanções e ações judiciais. “O processo de adequação demora de seis meses a dois anos”, explica.
Proteção de dados pessoas
A LGPD, como o nome diz, faz referência à proteção de dados pessoas físicas e não de pessoas jurídicas. “Quem não tem venda direta ao consumidor precisa ‘unicamente’ preocupar-se com a segurança dos dados dos seus colaboradores internos”, explica Adriano Martins.
Os dados dizem respeito a qualquer pessoa identificada ou identificável e as empresas, cada vez mais, devem buscar manter apenas informações dos colaboradores que são relevantes para o desenvolvimento de suas atividades, eliminando os excessos, isto é, informações desnecessárias, que podem variar conforma empresa, dias de trabalho e segmento de atuação. Além disso, têm que atender às solicitações de colaboradores sobre o que é feito com os seus dados pessoais e respondê-las, devendo, se for o caso, excluir aquelas que não são essenciais.
Conforme Márcio, as empresas precisam entender a dinâmica da LGPD, através de palestras, por exemplo, que possui alguns pilares, como privacidade e proteção, e bases legais que viabilizam a utilização de dados pessoas, como legitimidade, proteção de crédito e consentimento, por exemplo.
No que diz respeito ao consentimento, Adriano Kalfelz Martins explica que ele pode ser dado por escrito ou gravado pelo trabalhador da empresa, não podendo ser genérico, o que o torna nulo. Tem que ser específico e tem prazo de vigência indeterminado, desde que atenda ao propósito. O consentimento pode ser suspenso a qualquer momento pelo titular dos dados.
Impacto no varejo
O varejo é um dos setores que trabalham diretamente com os consumidores e utilizam dados pessoais para desenvolver suas atividades, os quais devem ser coletados, protegidos e usados conforme as possibilidades legais.
Uma ação típica deste tipo de negócio é o envio de informações sobre promoções aos consumidores, seja por e-mail ou whats. Estas podem continuar sendo realizadas, mas deve-se ter o cuidado de não revelar, no envio de mensagem, os e-mails de outras pessoas, o que caracteriza vazamento de dados. Além disso, as lojas devem utilizar sistemas de proteção e protocolos rígidos de acesso aos dados por parte dos funcionários.
“Uma falha humana que gere vazamento de dados, por exemplo, pode acarretar sanções à empresa, por isso todos os cuidados devem ser adotados”, finaliza o vice-presidente da Associação Comercial, Industrial e de Serviços de Novo Hamburgo, Campo Bom e Estância Velha, para quem a LGPD é um exemplo de regulamentação que coloca o Brasil em igualdade com países europeus, ainda que em outras áreas ainda precise avançar muito.
