A hora e a vez da LGPD

No dia 16 de agosto de 2020 entrará em vigor no Brasil a Lei Geral de Proteção de Dados Pessoais, a LGPD (13.709/19), marco legal para a proteção de dados pessoais no País. Elaborada ao longo de oito anos e sancionada em agosto de 2018 pelo então presidente Michel Temer (MDB), a lei regulamenta o uso de dados pessoais coletados de forma digital ou analógica.

O professor coordenador do curso de Proteção de Dados e Direto Digital do Insper, Renato Opice Blum, explica que o foco da lei são as pessoas jurídicas e que ela se aplica a quem coletar dados de pessoas físicas em território brasileiro. O responsável pelas informações é considerado pela lei como controlador.

No Brasil existem mais de 40 leis que tratam de privacidade, mas de maneira genérica. É o caso do Código de Defesa do Consumidor, do Código Civil e da Constituição Federal. “Agora, a LGPD irá detalhar uma série de situações envolvendo os dados pessoais, desde a fase da coleta até a da manutenção”, diz Blum.

Para a advogada especializada em Proteção de Dados, Maria Cecilia Oliveira Gomes, Pesquisadora e Líder de Projeto de Proteção de Dados da Fundação Getúlio Vargas (FGV), a lei constituirá a base para a formação da cultura de proteção de dados no País. A sua entrada em vigor colocará o Brasil na lista dos mais de 100 países que já possuem leis gerais de proteção de dados. A mais notória é a europeia General Data Protection Regulation (GDPR), em vigor desde 2018 e maior inspiração para a LGPD.

Blum considera a regulamentação brasileira muito boa. “Hoje há três leis de proteção de dados que são referências no mundo. A GDPR, na Europa, a LGPD, no Brasil, e a CCPA, no Estado da Califórnia (EUA). As demais leis, como as de países Latino-Americanos, que vigoram há anos, não possuem a mesma importância”, compara.

O professor de Proteção de Dados e Direito Digital Aplicado da Fundação Getúlio Vargas (FGV), Marcel Leonardi, garante que a LGPD não é restritiva. “Ela vai organizar o tratamento de dados ao dizer quando, como, onde e porque as empresas e o governo podem tratar as informações pessoais. Há muitos mitos de que ela criará barreiras, o que não é verdade”.

Um dos pontos centrais para o sucesso da LGPD é a Autoridade Nacional de Proteção de Dados (ANPD), órgão que se encontra em fase de criação e que será responsável pela fiscalização, pelos pareceres sobre a lei e pelas sanções.

A violação da legislação resultará em punições que vão de advertência a multas diária de até 2% do faturamento anual da empresa, limitada a R$ 50 milhões por infração. Em casos de alta gravidade, a infratora poderá ter o tratamento de dados interrompido parcial ou integralmente.

Crimes envolvendo dados pessoais têm sido uma preocupação mundial. Em novembro de 2018, a rede de hotéis Marriott International sofreu um ataque que afetou mais de 500 milhões de clientes. Entre as informações vazadas constam nome, endereço, telefone, gênero, data de nascimento e, para alguns, dados de cartão de crédito e bancários.

A advogada Maria Cecilia reitera que a segurança jurídica da LGPD só irá se concretizar se a ANPD conseguir atender as demandas. “Ela precisa emitir resoluções que tragam esclarecimentos sobre as obrigações específicas da lei”.

A seis meses de a lei entrar em vigor, tramita na Câmara dos Deputados o Projeto de Lei 5762/19, que pede o adiamento da vigência para agosto de 2022. O autor do PL, o deputado Carlos Bezerra (MDB), alega que só uma pequena parcela das empresas começou a adaptação.

Blum acredita que não haverá tempo o suficiente para o PL ser aprovado. Ele lembra que a lei já foi adiada uma vez (de fevereiro para agosto deste ano) por meio de uma Medida Provisória. Para o advogado, que também é presidente do Conselho de Comércio Eletrônico da FecomercioSP, a LGPD representa um disruptivo muito forte. “Ela será mais importante do que o Código de Defesa do Consumidor”, acredita.

Dados Pessoais

A definição de dado pessoal pela LGPD é ampla e compreende toda informação capaz de identificar diretamente uma pessoa (nome e RG) ou que, combinada a outros dados, possa torna-la identificável (cookies de internet, IP de computador, características e gostos pessoais).

A lei também regulamenta os chamados dados sensíveis, categoria que reúne as informações pessoais que exigem alto grau de proteção. Entre elas estão a origem racial, convicção religiosa, orientação sexual, dado genético ou biométrico e opinião política.

A LGPD estabelece dez bases legais para o tratamento de dados pessoais. O termo tratamento designa toda operação envolvendo o uso dados pessoais, como coleta e compartilhamento. “Um hotel trata dados pessoais a todo instante: quando contrata um funcionário, recebe um hóspede, envia um e-mail marketing, faz check-in ou check-out”, explica a pesquisadora Maria Cecilia.

Entre essas bases legais para o tratamento há quatro que são mais importantes para a Hotelaria. A primeira é o consentimento do titular dos dados, que deve ser obtido de maneira livre, informada e inequívoca. No ato do atendimento, pessoalmente ou online, o hotel é obrigado a avisar ao titular, de modo didático e transparente, quais dados estão sendo coletados e para quais finalidades.

A segunda situação que permite o tratamento de dados é a chamada execução de contrato, ou seja, o hotel precisa coletar os dados necessários para poder prestar o seu serviço, independentemente do consentimento.

A terceira é o cumprimento de obrigação legal ou regulatória: a Lei Geral do Turismo obriga o empreendimento a tratar os dados, como o preenchimento da Ficha Nacional de Registro de Hóspedes.

A quarta situação importante para a Hotelaria fundamentar o tratamento de dados pessoais é o interesse legítimo, conceito considerado coringa por sua natureza interpretativa. O hotel pode, por exemplo, enviar um e-mail promocional ao cliente alegando o seu interesse legítimo de que ele volte. “Por eu já ter me hospedado antes, o hotel não precisa do meu consentimento para me enviar um e-mail marketing. Ele pode realizar essa ação até que eu peça para não ser contatado mais”, explica Leonardi.

O hotel também pode usar o interesse legítimo para se proteger de uma futura ação judicial, seja de um ex-funcionário, seja de um cliente. “Mas ele fica autorizado a guardar os dados pessoais somente para àquela finalidade específica. As informações não podem ser tratadas para outros fins”, esclarece Blum.

O titular

Para o titular dos dados, a LGPD representa muitos direitos. O principal deles é tomar conhecimento sobre como suas informações são tratadas, armazenadas, com quem são compartilhadas e para quais finalidades.
Ele também pode pedir a revisão dos seus dados, a portabilidade e a exclusão. Leonardi observa, porém, que alguns direitos são condicionais. “Não é porque a pessoa tem o direito que ele será acolhido automaticamente. Para pedir uma correção de dados, por exemplo, o titular precisa provar o erro”.

Para a advogada Maria Cecilia Oliveira Gomes, que também é professora do Curso de Extensão do Data Privacy Brasil, a lei traz transparência na relação entre os titulares dos dados e as empresas. “As pessoas terão maior conhecimento sobre o que é feito com seus dados pessoais e tomarão decisões mais conscientes. Hoje não há uma justificativa clara para muitos dos dados coletados”, afirma.

Como se adequar

O processo de adequação à lei depende do porte da companhia e do seu fluxo de dados. A LGPD não diferencia grandes, médias e pequenas empresas. No texto há apenas uma menção de que as especificações dessa natureza ficarão a cargo da Autoridade Nacional de Proteção de Dados.

De acordo com os especialistas, o primeiro passo é entender o ciclo de vida dos dados na empresa e identificar quais informações são coletadas, como são armazenadas e tratadas pelos departamentos, com quem são compartilhadas e como são eliminadas.

Após o mapeamento, o passo seguinte é encaixar os dados nas bases legais da LGPD. Blum diz que esse inventário costuma ser um pouco trabalhoso e alerta para o prazo. “É preciso correr, pois há pouco tempo até a lei entrar em vigor. E, em caso de desconformidade com a legislação, a empresa poderá ser multada”.

O papel da governança é fundamental para o sucesso da adequação à LGPD. A advogada Maria Cecilia afirma que a capacitação dos funcionários representa o caminho mais barato para se adequar. “A pessoa que trabalha para você precisa saber do que se trata a LGPD, o que pode ser feito, quais os riscos e as precauções a serem tomadas”.

A lei determina que toda empresa tenha uma figura responsável pela proteção de dados chamada encarregado. Esse novo profissional, uma versão brasileira do europeu Data Protection Officer, da GDPR, pode ser uma pessoa física ou jurídica.

Entre outras atribuições o encarregado irá responder as demandas dos titulares, orientar os funcionários, dialogar com a ANPD e prestar esclarecimentos referentes ao tratamento de dados pessoais. A posição será peça-chave, analisa Leonardi. “É um profissional de perfil múltiplo que chega para construir a cultura de proteção de dados e aplicar a legislação”.

A lei não esclarece, porém, se todos as empresas terão esse novo profissional. Essa será mais uma das especificidades a serem definidas pela Autoridade Nacional de Proteção de Dados. “Na Europa, com exceções, a presença do encarregado é obrigatória nas empresas com mais de 250 funcionários”, informa Blum. Mesmo que a presença do encarregado não seja obrigatória, a empresa, por menor que seja, precisará indicar alguém responsável pelos dados pessoais.

Na prática

O gerente de Tecnologia do hotel Unique (SP), Rafael Sakovic Galan, afirma que a LGPD provocará uma importante revisão nos procedimentos da Hotelaria. “As áreas de Reserva e de Recepção serão as mais afetadas”, aponta o profissional, que atuará como o encarregado do hotel.

Galan considera a lei abrangente e endossa a importância da participação de todos. “Do manobrista à diretoria, é preciso envolver a todos. Não adianta termos uma excelente política de proteção de dados se algum funcionário deixar a ficha com as informações do hóspede em cima do balcão”.

Para readequar os padrões de proteção de dados à LGPD, Galan está investindo na capacitação dos funcionários por meio de workshops e treinamentos. “Essa parte educacional é imprescindível”, garante ele, que orienta: “não precisa fazer loucuras financeiras para se adaptar à lei. Se os recursos forem limitados, o caminho mais eficiente é capacitar os colaboradores”.

Rogério Pires, CIO de Tecnologia da Informação da JHSF, empresa detentora da maior parte dos hotéis Fasano, revela que o processo de adequação à lei teve início em dezembro passado com um mapeamento das informações.
“Contratamos uma consultoria especializada para realizar o levantamento de todos os dados tratados pela empresa. Assim, poderemos compreender o que precisamos para nos adequarmos à lei: quanto teremos que investir em ferramentas de TI, quais processos deverão ser modificados e quais são os pontos críticos”, explica Rogério.

O executivo prevê que os impactos da lei nas atividades do hotel serão grandes. “A LGPD é um projeto para a empresa inteira, pois envolve todas as áreas. O nosso maior desafio é criar a consciência desses impactos. Você pode ter as melhores ferramentas de TI, mas, lá na ponta, sempre haverá alguém manipulando a informação. Essa pessoa precisa estar consciente da importância da lei”, afirma.

Para dinamizar o processo de adaptação, Rogério afirma que a empresa criou um comitê para debater a LGPD. “Esse comitê reúne o presidente da empresa e representantes de diferentes áreas, como jurídico, TI e Processos. No momento estamos terminando a fase de Assessment do nosso Plano de Adequação à LGPD para então colocá-lo em prática”.

A Accor, que opera 321 hotéis no Brasil, começou a sua readequação à LGPD no início de 2019, afirma Magda Kiehl, vice-presidente sênior jurídica de Riscos e Compliance da rede na América do Sul. “A adequação às leis de proteção de dados pela Accor é global, mas é customizada regionalmente”. Desde 2016 a empresa cumpre as normativas da GDPR e de leis de países onde opera.

A executiva conta que o plano de adequação da companhia inclui customização na sede e em todos os hotéis. “Elaboramos um Risk Assessment para cada unidade de negócio a fim de garantir 100% de conformidade. Temos representantes de todas as áreas atuando nos ajustes e na implantação do programa”.

A executiva reforça a importância do engajamento dos funcionários. “A capacitação é um dos pilares do nosso programa e prevê treinamentos presenciais e online. Proteção de dados está muito além de leis. Proteção de dados é preservar pessoas, sua imagem, sua vida, seja clientes, colaboradores, fornecedores ou parceiros”.

Deixe uma resposta