Seu escritório contábil certamente está às voltas com a Lei Geral de Proteção de Dados já há quase um ano, quando ela entrou em vigor.
Mas a etapa inicial de adaptação está terminando e não custa fazer um check list nestes poucos dias que faltam para o início das medidas punitivas.
O valor das multas previstas na Lei 13.709/18 assusta, de fato: 2% do faturamento anual, com um teto de R$ 50 milhões.
Até por isso, a Autoridade Nacional de Proteção de Dados, ente responsável pelo gerenciamento do assunto, apressou-se a ressalvar que a ênfase neste primeiro momento recairá sobre a orientação de empresas e entidades.
O diretor da ANPD, Waldemar Gonçalves Ortunho Júnior, disse ao jornal Valor Econômico, em 30 de junho último, que ninguém precisa entrar em pânico, a ponto de travar toda e qualquer rotina relacionada à utilização de dados pessoais, pois o objetivo da nova Lei é tornar este uso o mais responsável possível, e não simplesmente eliminá-lo.
A base de tudo – vale sempre lembrar – é a proteção das informações dos indivíduos coletadas e compartilhadas por empresas públicas e privadas, agora condicionadas totalmente à sua prévia autorização.
Trata-se, sem dúvida, de uma clara tentativa de coibir os muitos abusos registrados em nosso país, notadamente na esteira da multiplicação de usuários da Internet.
Para ratificar a brandura da fiscalização do cumprimento deste dispositivo polêmico, que demandou anos de discussões no Congresso Nacional até ser finalmente votado e sancionado, Ortunho Júnior anunciou ainda a edição de uma cartilha para orientar os donos dos dados e as empresas que, a partir deles, alimentam seus sistemas.
Outro alerta da ANPD nesta reta final, antes de as punições começarem para valer contra os eventuais infratores da Lei, é que a LGPD não se resume a uma questão de compliance ou governança, devendo envolver a todos dentro de cada organização sujeita a cumpri-la.
Já a maioria dos especialistas no tema, hoje disputando acirradamente este promissor nicho de mercado, alerta também para os ganhos em reputação alcançados quando se adota o padrão de desenvolvimento batizado como “Privacy by Design”, ou seja, incorporar salvaguardas de privacidade e dados pessoais em todos os projetos desenvolvidos.
Informações abrangidas pela LGPD
De acordo com a Lei Geral de Proteção de Dados, toda e qualquer informação sobre alguém que torne possível sua identificação está coberta pelas novas regras, inclusive o IP ou o ID de algum dispositivo eletrônico de uso pessoal.
Há ainda uma categoria classificada como “especial”, na qual se inserem raça, crenças, opiniões políticas, estado de saúde e características genéticas, por exemplo.
Já os dados relativos a crianças e adolescentes só podem ser obtidos mediante consentimento de um dos pais ou responsável.
Obrigações das empresas e instituições
Como faz questão de frisar a ANPD, o advento da Lei não proíbe pura e simplesmente a coleta de dados pessoais, mas sim a disciplina.
E o ponto básico dessa nova ordem é a necessidade de consentimento expresso de uso, em cláusula específica do contrato firmado entre as partes, de toda e qualquer informação pessoal.
Caso este objetivo mude ao longo da vigência do acordo, nova permissão terá de ser solicitada à pessoa.
A manutenção dos dados em segurança é outra obrigação a que estão sujeitas empresas e instituições captadoras de informações pessoais.
Havendo o vazamento desses dados ou o acesso não autorizado a eles, além da responsabilização do ente que esteja em poder das informações, o fato precisará ser informado intempestivamente à autoridade competente.
Ao trafegar num campo tão delicado, parece óbvia a importância que todas as organizações prestadoras de serviços, digitais ou não, armazenem apenas os dados pessoais necessários, e pelo período estritamente necessário.
Direitos do titular dos dados
O objetivo do legislador, de proteger ao máximo as informações pessoais – num país onde, lamentavelmente, camelôs vendem livremente cadastros do Imposto de Renda nas ruas centrais das grandes cidades – fica evidente quando se observa a lista dos principais direitos do titular dos dados:
– Requerer o acesso às informações que uma empresa tem sobre ele;
– Ser informado sobre a finalidade, a forma e o processamento e compartilhamento dos seus dados.
– Requisitar a correção de um dado incompleto;
– Solicitar eliminação de registros desnecessários;
– Permitir a portabilidade para outro provedor de serviço;
– Determinar a revisão de uma decisão automatizada baseada em seus dados.
Quais penalidades estão previstas para os infratores da LGPD?
Embora a ANPD tenha prometido que primeiro vai orientar, antes de puxar o “talão de multas”, vale a pena relembrar as possíveis consequências de um possível deslize na observância da Lei Geral de Proteção de Dados.
Nessa nova fase – cujo término não foi anunciado oficialmente, uma vez que já houve todo um período de adaptação desde que a Lei foi promulgada – a aplicação apenas de uma advertência deve mesmo prevalecer.
Contudo, a LGPD prevê autuações de 2% do faturamento da empresa ou entidade infratora, valor limitado ao máximo de R$ 50 milhões, vale sempre lembrar.
LGPD exige nova função
Seja interna ou terceirizada, a figura do controlador de LGPD passa a ser uma realidade para todos os entes obrigados a seguir a Lei Geral de Proteção de Dados.
Trata-se de um guardião das boas práticas neste campo, com a missão específica de avaliar processos e reduzir riscos.
Evidentemente, precisa ser um profissional da casa devidamente treinado, ou então uma empresa especializada neste novo campo aberto para as consultorias.
Ao evitar transgressões involuntárias ou não de sua própria empresa, ou então de um contratante – no caso de ser uma assessoria externa – cabe a este novo personagem corporativo mitigar a possibilidade de prejuízos vultosos, que erros nesta seara agora podem causar.
Caberá aos responsáveis pelo exercício dessa nova função colocar em primeiro plano todas as exigências da LGPD desde a fase de design, quando um projeto do gênero se delineia, até as etapas de seleção, limpeza de bancos de dados, realização de testes e estruturação de backup.
Atenção especial deve igualmente ser dispensada aos subcontratados e terceiros, pois de nada agir infra muros conforme a LGPD determina e ver todo esse trabalho se perder pelas mãos de terceiros ligados, de alguma forma, ao seu processo produtivo.
Com todas essas informações, em adição de tudo aquilo que você e sua empresa contábil já providenciaram no tocante à LGPD, espero que haja algum ponto novo capaz de auxiliá-lo e, claro, à sua própria clientela a navegar da forma mais suave possível em meio a tantas novidades que demoraram a sair, mas chegaram para ficar.