As empresas ganharam mais tempo para se adaptarem à Lei Geral de Proteção de Dados (LGPD). As normas deveriam entrar em vigor em agosto deste ano e, agora, passam a valer apenas em maio de 2021. A decisão consta no Diário Oficial da União de 29 de abril, na Medida Provisória (MP) nº 959, assinada pelo presidente Jair Bolsonaro, que trata, também, da operacionalização do pagamento do Benefício Emergencial de Preservação do Emprego e da Renda.
A LGPD disciplina como empresas e entes públicos podem coletar e tratar informações de pessoas, estabelecendo direitos, exigências e procedimentos nesses tipos de atividades. No dia 3 de abril, o Senado havia adiado a entrada em vigor da lei. O tema foi incluído no Projeto de Lei nº 1.179 de 2020, que flexibiliza a legislação para a manutenção de empregos durante o enfrentamento da pandemia.
Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada uma categoria chamada de "dado sensível", informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação.
Todas as atividades realizadas ou pessoas que estão no Brasil ficam sujeitas à lei. A norma valerá para coletas operadas em outro país desde que estejam relacionadas a bens ou serviços ofertados a brasileiros. Mas há exceções, como a obtenção de informações pelo Estado para segurança pública.
Os escritórios de contabilidade estão entre os segmentos mais atingidos pela LGPD. Todas as informações contábeis, fiscais e financeiras de empresas e seus colaboradores, pessoas físicas e seus familiares, podem passar por ela. Todo contador processa dados pessoais diariamente e, portanto, também deve cumprir a LGPD.
A diretora do Sindicato das Empresas Contábeis do Estado (Sescon-RS) e sócia do Grupo Método, Patricia Arruda, acredita que a prorrogação do prazo era fundamental devido às dificuldades enfrentadas pela pandemia. Porém alerta que "não dá para deixar completamente de lado os planos de adequação às exigências da lei".
Ao coletar um dado, as empresas deverão informar a finalidade. Se o usuário aceitar repassar suas informações, como ao concordar com termos e condições de um aplicativo, as companhias passam a ter o direito de tratar os dados (respeitada a finalidade específica), desde que em conformidade com a lei.
A lei prevê uma série de obrigações, como a garantia da segurança dessas informações e a notificação do titular em caso de um incidente de segurança. A norma permite a reutilização dos dados por empresas ou órgãos públicos, em caso de "legítimo interesse" desses, embora essa hipótese não tenha sido detalhada, um dos pontos em aberto da norma.
De outro lado, o titular ganha uma série de direitos. Poderá, por exemplo, solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por "legítimo interesse") e para qual finalidade.
Caso os registros estejam incorretos, poderá cobrar a correção. Em determinados casos, o titular terá o direito de se opor a um tratamento. A lei também permitirá a revisão de decisões automatizadas tomadas com base no tratamento de dados (como as notas de crédito ou perfis de consumo).
Adequação à LGPD deve ser prioridade mesmo com prazo estendido
Adiamento leva em conta falta de orçamento para seguir com programas de privacidade
MARCELLO CASAL JR/AGÊNCIA BRASIL/JC
Prevista para entrar em vigor em agosto deste ano e adiada para maio de 2021, a Lei Geral de Proteção de Dados (LGPD) exige uma grande mudança de comportamento nas empresas. Por isso, mesmo com a extensão do prazo, especialistas alertam que não se deve virar as costas para as adequações necessárias. A partir do momento em que a lei amplia direitos ao cidadão para exigir proteção e privacidade de seus dados, todos devem se preparar para um novo patamar de relacionamento com clientes ou usuários.
A legislação abrange qualquer setor e porte de empresas, organização não governamentais (ONGs), consultórios médicos e escolas particulares. Com os escritórios de contabilidade não podia ser diferente. Eles guardam um verdadeiro tesouro em tempos em que a informação vale ouro, ainda mais com a realidade imposta pela pandemia do novo coronavírus.
Para cumprir o distanciamento social indicado no combate à propagação da Covid-19, a adoção de home office e migração de atendimentos para o ambiente digital atingir o mundo corporativo em cheio. "No caso dos profissionais contábeis, mais do que nunca, é preciso ter cuidado e responsabilidade com todos os dados colhidos, acessados e compartilhados", orienta a diretora do Sindicato das Empresas Contábeis do Estado (Sescon/RS) e sócia do Grupo Método, Patricia Arruda.
Entre os procedimentos recomendados, está o estabelecimento de uma espécie de código de conduta de home office. "É importante estabelecer um termo junto aos funcionários com procedimentos para o trabalho remoto, especificando o que pode ser acessado e quais cuidados tomar para evitar a invasão de hackers, como monitorar as máquinas utilizadas em casa", recomenda. A pandemia, diz Patricia, é o momento ideal para colocar em prática todos os cuidados exigidos pela lei. "Não dá para começar a pensar na LGPD apenas em 2021", adverte .
De acordo com os especialistas, a norma traz a importância da boa-fé no tratamento dos dados pessoais, exigindo transparência de quem lida com eles. Mesmo assim, desde a sua promulgação, em agosto de 2018, a legislação foi alvo de desconfiança.
"Como o Brasil não tem cultura prévia de privacidade, alguns perceberam a LGPD como um obstáculo ao desenvolvimento de novos negócios e tecnologias, e uma barreira para a inovação", lembra o advogado sócio do escritório Correa Porto Sociedade de Advogados Victor Fernandes Cerri de Souza, ao mencionar também as críticas sobre dificuldades de implementação.
Essas observações levaram o governo federal a aumentar o período de carência de promulgação da LGPD, logo estendida para 24 meses após a emissão da Ordem Executiva 869/2018. Um dos argumentos para o novo adiamento é o de que as empresas não teriam orçamento para iniciar ou continuar com programas de privacidade devido à pandemia do coronavírus.
Qualquer dado coletado está na mira da legislação
Do momento em que o computador é ligado ou a tela do celular acende dados estão sendo fornecidos. No entanto, é preciso entender que dados não são somente os que existem no ambiente digital, como explica o gerente de pré-vendas da Qriar Tecnologia, Welington Strutz.
"Um prédio que coleta dados das pessoas que entram e saem é um exemplo bem claro de quem deve se adequar à LGPD, mesmo que o meio utilizado seja papel e caneta", afirma Strutz. "Se eu sou dono deste prédio, é importante deixar bem claro para o visitante a razão ou o propósito de coleta dessas informações, e não simplesmente dizer que é 'para fins de cadastro'. O propósito da lei é permitir que as pessoas sejam titulares de seus dados, entendam os motivos pelos quais são coletados e possam decidir se querem ou não que empresas tenham acesso a eles", complementa.
Todos os usuários estão sendo bombardeados pelo aviso de cookies ao visitar um portal de notícias, por exemplo. Por mais que nenhuma transação financeira esteja sendo realizada ali, há uma troca de dados onde os portais redirecionam notícias. Esses dados estavam, até então, sendo coletados e utilizados, muitas vezes, sem o consentimento do usuário.
Para Strutz, é preciso descobrir os dados pessoais que a empresa coleta, sejam de clientes, colaboradores e parceiros de negócio, revisar as razões para as quais esses dados estão sendo coletadas. Toda empresa que coletar informações de clientes vai precisar se adequar à nova lei de proteção de dados, não importa o tamanho ou uso desses dados coletados.
O órgão fiscalizador do cumprimento da lei será a Autoridade Nacional de Proteção de Dados (ANPD). Ela definirá a partir de quando poderá começar a serem aplicadas as sanções. A entrada em vigor da LGPD dará início a um tempo em que qualquer indivíduo, enquanto titular de dados, poderá solicitar acesso aos dados tratados, sua exclusão ou até mesmo a revogação de consentimento que havia sido concedido previamente.
De acordo com um levantamento realizado pela Capterra, apenas 40% dos pequenos e médios empresários estão preparados para a chegada da LGPD no Brasil. A lei vai exigir que as empresas façam um investimento contínuo para proteger os dados de clientes.
A LGPD não será aplicada somente em casos de uso jornalístico, uso acadêmico, uso de segurança pública e em caso de dados que foram originados em outro país e estejam apenas transitando no Brasil.
Sua empresa está preparada cumprir as normas?
- Você consegue encontrar seus dados?
- Você consegue classificar e proteger seus dados?
- Você consegue gerir o acesso de empregados aos dados?
- Você consegue gerir os seus dados de teste?
- Você consegue gerir as aplicações que processam seus dados?
- Você consegue evitar abusos de contas de usuário privilegiadas?
- Você consegue equilibrar a facilidade de acesso a dados com segurança?
- Você consegue gerir dados em diretórios?
- Você consegue limpar contas de usuários não utilizadas?
- Você consegue identificar vazamentos de dados em tempo real?
Fonte: Qriar Tecnologia
As penalidades previstas para quem descumprir a LGPD serão:
- Advertência;
- Multa de até 2% do faturamento da pessoa jurídica no seu último ano de exercício (com uma limitação de 50 milhões de reais por infração);
- Multa diária observando a limitação citada acima;
- Bloqueio dos dados pessoais;
- Eliminação desses dados pessoais da base de dados da instituição;
- Suspensão ou proibição da atividade de tratamento desses estados;
- Publicização da infração.
Consumidores temem que suas informações sigam vulneráveis
O adiamento da LGPD, apesar de comemorado pelas empresas, continua deixando o consumidor sob os riscos de não ter a devida proteção das suas informações. O seu uso inadequado pelas empresas continua bastante permitido.
Para o advogado e sócio do escritório Correa Porto Sociedade de Advogados, Victor Fernandes Cerri de Souza, o Brasil já vinha atrasado no resguardo legal da privacidade e dados. "É razoável concluir que o atraso na a efetivação disso pode fazer emergir mais problemas", lamenta.
A tendência de maior disseminação do trabalho remoto, em home office, e o consequente aumento do uso de tecnologias fora do ambiente de trabalho preocupa especialmente. "Talvez a solução mais equilibrada seria a prorrogação das sanções que a lei faria sobrevir, e não de sua vigência em si. Isso porque, a lei é essencial à realidade mundial contemporânea, e o Brasil não pode ficar às margens disso, sob pena de consequências e óbices econômicos desastrosos e irreversíveis", destaca Souza.
As penalidades previstas para as empresas que descumprirem a LGPD começa com advertência. Depois, a aplicação de multa de até 2% do faturamento da pessoa jurídica no seu último ano de exercício (com uma limitação de R$ 50 milhões por infração).
Também está prevista multa diária observando a limitação citada acima, bloqueio dos dados pessoais, eliminação desses dados pessoais da base de dados da instituição, suspensão ou proibição da atividade de tratamento desses estados e publicização da infração.