LGPD - Entrevista com Dr. Eduardo Hirt
24/04/2020
Matéria publicada na revista CDL Blumenau (ed. 14 - ano 2020)
Texto de Karin Bendheim
Falta pouco para entrar e vigor a Lei Geral de Proteção e Dados Pessoais (LGPDP). Sancionada em 2018, a LGPDP passa a valer a partir de agosto deste ano. Ainda há muitas dúvidas sobre a legislação, de como fazer e o que fazer. Em conversa com o advogado e professor Eduardo Hirt, duas características se sobressaem quando o assunto é a LGPDP: finalidade/necessidade dos dados e bom senso.
De forma simplificada, a Lei Geral de Proteção de Dados Pessoais é um conjunto de normas que regulamenta o tratamento de dados pessoais de cidadãos no Brasil, com o intuito de proteger pessoas.
Importante! Muito se fala em proteger os dados do consumidor, mas, atenção. A LGPDP – Lei 13.709 – é para garantir a inviolabilidade da intimidade, da honra e da imagem das pessoas. Ou seja, de todas as pessoas, sejam consumidores ou funcionários.
Mas, afinal, a quem se aplica a LGPDP? Hirt explica que a lei é aplicada a TODOS (pessoas físicas e jurídicas), que realizam tratamento de dados pessoais. “Em geral, a lei não faz distinção de porte, quantidade de empregados ou faturamento. Ou seja, impõe obrigações idênticas às mundialmente conhecidas Google e Facebook, como a um mercado de bairro que tenha um programa de fidelidade ou um pequeno e-commerce”, esclarece o advogado.
Na prática
De acordo com Hirt, o primeiro passo é olhar para dentro da empresa e fazer um relatório de tudo que existe de informação de pessoas. Por exemplo, o setor de venda sobre os dados cadastrais de clientes e o setor pessoal sobre os dados dos funcionários. “Este levantamento é importante para saber exatamente quais dados a empresa possui, para então analisar o motivo pelo qual estes dados estão armazenados e as hipóteses legais que permitem a sua utilização. Isto porque a lei não se limita a autorizar o tratamento a partir do consentimento do titular, permitindo, por exemplo, nos casos de cumprimento de obrigação legal ou para execução de contrato”, destaca o advogado.
Os dados solicitados às pessoas, precisam estar de acordo com a finalidade/necessidade. Por exemplo, para efetuar uma venda no crediário o volume de informações coletadas é grande, tendo em vista que o empresário precisa destes dados para fazer a análise correta e decidir se concede ou não o crédito.
Caso seja efetuada a venda no crediário, o cadastro pode conter o número de celular do cliente. Porém, este número deve ser usado apenas para a finalidade inicial, que é a de venda no crediário. “Em regra geral, a loja não pode, por exemplo, usar o número para enviar uma mensagem promocional. É preciso perceber essa diferença. Eu captei os dados para função X, então não posso usar para função Y. Caso o empresário queira usar para enviar propaganda, deve pedir antes autorização ao cliente”, explica Hirt.
Outro ponto a ser observado, é que o cliente pode mudar de ideia e revogar a autorização concedida. Seguindo o exemplo acima, caso o cliente aceite receber propagandas, mas depois de um mês ele não desejar mais, ele pode solicitar o bloqueio do envio. “O consumidor pode ainda pedir – caso o crediário tenha sido encerrado – que a loja apague os dados dele’, informa o advogado.
Responsabilidade dos dados
Afinal, quem na empresa é responsável pelos dados? De forma geral, todos que direta ou indiretamente participam da manipulação dos dados, inclusive os funcionários. É proibida a utilização indevida de dados, especialmente o compartilhamento deles para qualquer outra empresa ou pessoa.
“Todos os funcionários contratados devem assinar termos de confidencialidade, bem como participar de curso ou obter orientação do empregador a respeito das práticas a serem tomadas em relação a proteção de dados pessoais, conforme inciso III, do parágrafo 2º, do artigo 41, da lei”, alerta Hirt.
Dicas
A Lei Geral de Proteção de Dados Pessoais é ampla e ainda trará muitas discussões. Não sabe por onde começar? Hirt deixa algumas orientações:
=> Conheça os seus dados: É importante identificar dentro de sua empresa, quais tipos de dados são considerados pessoais e de que forma se enquadram na LGPDP (comuns, sensíveis, que demanda consentimento etc.);
=> Consentimento: uma vez identificados os dados que transitam em suas mãos, é salutar verificar se há necessidade de solicitar autorização do titular para processamento, ou se estão enquadrados em outra hipótese permitida pela Lei;
=> Planeje com antecedência as rotinas de privacidade da sua empresa, pois as alterações podem levar tempo;
=> Revise os documentos: contratos com clientes, fornecedores e parceiros, Termos de Uso e Políticas de Privacidade, colocando cláusulas de informação e de consentimento de acordo com a LGPDP;
=> Fornecedores: consulte se todos os fornecedores estão em conformidade com a LGPDP;
=> Segurança: analise suas medidas e políticas de segurança. Você precisa atualizá-las para serem compatíveis com a LGPD; Utilizar-se de metodologias como Privacy by Desing e Privacy by default.
EDUARDO HIRT
A CASCAES, HIRT E LEIRIA ADVOCACIA EMPRESARIAL produziu um e-book sobre LGPD, com o objetivo de auxiliar as empresas no processo de adequação à nova legislação.
Acesse no link abaixo:
GUIA SOBRE LEI GERAL DE PROTEÇÃO DE DADOS – LEI 13.709 –
CASCAES, HIRT & LEIRIA ADVOCACIA EMPRESARIAL
OAB/SC 1.796