A Lei Geral de Proteção de Dados (LGPD), nº 13.792 de 2018 instituída no Brasil no governo Michel Temer, foi promulgada pelo presidente Jair Bolsonaro (sem partido) em 2020 e passou a vigorar as sanções a partir de 1° de agosto de 2021.
O advogado, Laerte Moura, especialista em Direito Digital e Compliance, explica que a LGPD tem como finalidade o tratamento adequado e proteção de dados dos titulares. A lei restringe o uso demasiado de dados por parte de empresas.
“Se eu chego em uma farmácia e vou comprar um medicamento não pode ser cobrado de mim dados em excesso e dados que não se sabe para que eles serão utilizados”, esclarece.
A LGPD visa proteger os dados de titulares que estão inseridos nos bancos de dados das empresas independente se eles estiverem em formato digital ou físico.
“Coletou dado para tratamento tem que ter uma proteção. Se é um dado físico tem que ter uma arca bolso de mecanismos que visam proteger ele, guardar em local reservado e protegido, sem acesso das demais pessoas ou funcionários que trabalham na empresa que não estejam credenciados. Se for um dado digitalizado tem que se investir em segurança e aumentar o componente de profissionais de Tecnologia da Informação dentro dessa empresa. O profissional de TI é fundamental agora dentro da empresa com o advento da nova lei de proteção de dados, pois é ele quem vai cuidar dessa informação, visto que a ação de hackers é cada vez mais frequente”, explica.
Membro da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), Laerte Moura, salienta que dados pessoais são comumente comercializados no mercado negro, a fim de serem vendidos às empresas para a realização de campanhas de marketing digital e telemarketing. Ele salientou que agora com a LGPD esse tipo de prática é ilegal, não permitida.
Para que haja o marketing digital feito através de dados pessoais deve haver o consentimento do próprio titular através de documentação formalizada constando a finalidade e destino das informações.
“Se ele não consentir, a empresa pode ser responsabilizada. Isso é aplicada também para pessoas físicas que usam dados para fins comerciais. Elas têm que se adequar”, comentou.
Como exemplo, o especialista alertou que sites de fofoca e veículos sensacionalistas podem ser penalizados com a Lei Geral de Proteção de Dados, uma vez que o titular tem sua vida privada veiculada ou exposta sem dar o seu prévio consentimento.
Há outros casos que a LGPD envolve pessoas físicas, como por exemplo, aquelas que exercem em algum ramo, atividades comerciais, que não estejam formalizadas com CNPJ.
“A pessoa tem um comércio informal, sem possuir CNPJ, mas que está com sua atividade e tem o costume de passar mensagens para todos os contatos da agenda telefônica, ela não pode mais fazer isso. Elas não podem pegar os contatos da agenda e fazer marketing digital com o celular, passando mensagens promocionais da padaria, pizzarias, lanchonetes. etc. Esses contatos não podem ser feitos diretamente ao celular porque ele não deu autorização. Se quiser fazer isso tem que pedir autorização e tem que ser escrita”, orienta.
Dados sensíveis
A LGPD restringe também o que se chama de dados sensíveis. Esses dados dizem respeito as informações privadas
Em uma empresa a LGPD estabelece que haja os agentes de tratamento de dados que são: controlador e operador. Estes profissionais são responsáveis e lidam diretamente com dados de pessoas e têm que se adequar às exigências da lei.
Escritórios de advocacia e contabilidade, hospitais, unidades de saúde, escolas, associações, sindicatos, partidos políticos, são estabelecimentos que tratam de dados sensíveis e necessitam de um tratamento minucioso com os dados de seus titulares.
De acordo com o Art. 5º, § II, dados sensíveis são todos aqueles dados pessoais que descrevem origem racial, étnica, convicção religiosa, opinião política, filiação em sindicatos ou organização de caráter religioso, filosófico ou político, referente a saúde ou a vida sexual, genético ou biométrico quando vinculados a uma pessoa natural.
São exemplos de dados sensíveis que requerem tratamento diferenciado: o quadro clínico de um paciente, dados de crianças e adolescentes – que precisam ter o prévio consentimento dos pais ou responsáveis -, associação de classe que fale sobre gênero, vínculo de pessoas a partidos políticos cujas informações constam nos dados da empresa, entre outros.
“A forma de consentimento, de elaborar os contratos têm que ser adequada porque não é mais feito como anteriormente e tem uma mudança de comportamento a partir de agora”, pontou.
Segundo o site oficial da Receita Federal, somente no Brasil existe em média 21.279.341 (Vinte e um milhões, duzentos e setenta e nove mil, trezentos e quarenta e um) CNPJs ativos, além de 11. 988.301 empresários individuais, 5.540.801 sociedades empresárias, 789. 689 empresários individuais de responsabilidade limitada e 546.460 produtores rurais necessitando de adequação aos ditames da LGPD.
“Existe um leque grande de empresas – CNPJ ativos – no Brasil que precisam se adequar. Se tem CNPJ ativo tem que se adequar independente do ramo de atividade”, disse Laerte Moura.
Adequação
Para adequação das empresas à LGPD, o advogado, especialista em Direito Digital e Compliance, enfatiza que há procedimentos que vão desde a conscientização até a implementação e monitoramento. Para isso, existem profissionais especializados no ramo do Direito Digital e os DPOs (Data Protection Officer) que são profissionais encarregados dos trâmites de adequação, ou seja, a pessoa que faz comunicação e estabelece o elo entre a empresa, o titular de dados e Agência Nacional de Proteção de Dados.
“As pessoas devem procurar associações, entidades de classe que contém esses profissionais ou pessoas expertises”, orienta citando a Agência Nacional dos Profissionais de Privacidade de Dados, bem como a Associação Nacional de Advogados de Direito Digital (ANADD) e o Conselho Nacional de Proteção de Dados (CNPD).
“Dentro dessas associações há um leque grande de profissionais com expertises”, citou.
Segundo colocou Laerte Moura, no Brasil existe menos de 10 mil profissionais da área para a grande quantidade de CNPJs necessários.
O processo de adequação de uma empresa por menor que seja o porte leva, no mínimo seis meses. O especialista ressalta que é necessário muito cuidado por parte dos empresários para que não se iludam com “profissionais” que oferecem o serviço de adequação em tempo recorde prometendo concluir no prazo em um ou dois meses.
“O processo de adequação é lento, minucioso e uma empresa de porte médio não leva menos de seis meses para se adequar. É de seis meses a dois anos. Quem promete adequação em tempo recorde é importante o empresariado ficar atento com isso porque junto com a lei aparece uma série de golpistas que prometem e dificilmente conseguem entregar”, alerta Laerte Moura.
Sanções
O especialista em Direto Digital relata que a Lei Geral de Proteção de Dados aplica sanções em empresas que não se adequam às suas normas. A primeira delas é a advertência, seguida de multa que varia de 2% do capital da referente aos últimos 12 meses infração até o montante de R$ 50 milhões para cada infração que o órgão fiscalizador encontrar e pode ser agravar para suspensão parcial ou total do tratamento de dados por seis meses a 1 ano, paralização das atividades, exclusão dos dados do banco, e a publicização do ato.
“A empresa que está irregular pode ter o nome divulgado. A publicização do ato está na lei”, afirmou.
Hackers
Laerte esclarece que o ataque de Hackers ao banco de dados das empresas pode ocorrer de diferentes formas, não apenas por meio tecnológico.
Instituições atacadas por Hackers só se dão conta da invasão com no mínimo de 38 até 78 dias depois.
Para minimizar os riscos de ataques dessa natureza a orientação é que o empresário invista em segurança da rede do banco de dados, criptografia, levando em consideração os pilares da segurança da informação como privacidade, integridade, disponibilidade, acesso aos dados, bem como o fator comportamento tanto por parte do setor administrativo quanto por colaboradores.
“A maioria dos ataques que as empresas sofrem é de caráter pessoal, ou seja, de pessoas que trabalham na própria empresa e que estão insatisfeitas”, destacou.
Ainda sobre ataques foi enfatizado outro fator que é chamado engenharia social. “O hacker vê aspectos da personalidade humana e vai detectar fragilidades no pessoal da empresa, se ela tem política de mesa limpa, como há acessos a determinados setores. O ataque hacker vai muito além do ataque cibernético”, frisou Laerte Moura.
O empresário que necessita de esclarecimentos e consultoria elaborada sobre o processo de adequação à LGPD, pode procurar o escritório de advocacia de Laerte Moura, situado na Avenida Tininha de Sá, nº 154, antiga avenida Industrial, no bairro Boa Sorte, em Picos. Além das redes sociais como Facebook e Instagram o especialista pode ser contato pelo telefone Whatsapp (89) 9 8106 5724.