Resolução da ANPD estabelece penalidades para empresas que não cumprirem LGPD
A Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por garantir a aplicação da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), publicou no dia 27 de fevereiro de 2023 a Resolução nº 04/2023, que estabelece os parâmetros para a dosimetria e o efetivo cumprimento de sanções administrativas para os infratores da lei.
Junto à Resolução nº 28/2021 que rege o processo administrativo sancionador, o dispositivo permite que a ANPD possa aplicar sanções para aqueles que descumprirem obrigações da proteção de dados pessoais no território nacional. A medida visa proporcionar segurança jurídica, respeitando o devido processo legal e o contraditório.
O Regulamento já está em vigor desde a data da sua publicação e instrumentaliza a aplicação de todas as sanções previstas na LGPD, quais sejam:
- Advertência;
- Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 por infração;
- Multa diária, com limite total de R$ 50.000.000;
- Publicização da infração;
- Bloqueio dos dados pessoais;
- Eliminação dos dados pessoais;
- Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação;
- Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Além da definição da sanção a ser aplicada, levando em consideração fatores como a escala do tratamento, o tratamento de dados sensíveis, a relação com os direitos fundamentais dos titulares, dentre outros, o regulamento dispõe ainda de critérios e parâmetros para as sanções pecuniárias e não pecuniárias, bem como as formas e dosimetrias para o cálculo do valor-base das multas, instrumentalizando o exercício da competência sancionadora da ANPD, disposto nos artigos 52 e 53, da Lei Geral de Proteção de Dados e da Resolução nº 01/2021.
Com exceção das multas, todas as demais sanções poderão ser aplicadas ao Poder Público.
Além das multas, a ANPD poderá aplicar punições severas aos infratores que não se adequarem às disposições da Lei Geral de Proteção de Dados Pessoais (LGPD), como o bloqueio ou a eliminação definitiva dos dados pessoais irregularmente tratados.
A arrecadação das multas aplicadas pela ANPD será destinada ao Fundo de Defesa de Direitos Difusos, que tem por finalidade a reparação dos danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos.
A publicação do Regulamento faz parte de uma série de ações da Autoridade Nacional nos últimos meses e a expectativa é de que as primeiras sanções recaiam sobre as grandes corporações tecnológicas.
Nesse cenário, é essencial que as empresas se adequem à LGPD, com a execução correta e documentada de um programa de proteção de dados, estando atentas aos seus processos internos, como na homologação de novos fornecedores e parceiros, uma vez que poderão ser responsabilizadas pelo tratamento de dados pessoais realizados por si próprias ou terceiros por ela contratados.
MSA e Solarplex disponibilizam modelos de adequações à LGPD
Para auxiliar empresas a se adequarem à Lei Geral de Proteção de Dados, a MSA Advogados, junto com a Solarplex Consultoria, produziu alguns materiais online para que as empresas possam se adaptar.
São vídeos explicativos, modelos, formulários eletrônicos, roteiros e aulas que auxiliam sua empresa a adequar processos e documentação de acordo com a legislação, baseado nas certificações ISO.
São cinco planos que variam de acordo com as entregas realizadas, que vão até a customização de políticas e documentos e horas de consultoria. São planos variados que se adaptam de acordo com o que a empresa precisa para aderir corretamente à LGPD.
Confira na página https://www.lgpd-cert.com.br qual o plano que melhor se encaixa para a realidade da sua empresa e não perca tempo!
Resolução da ANPD estabelece multas em relação ao não cumprimento da LGPD
A Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por garantir a aplicação da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), publicou no dia 27 de fevereiro de 2023 a Resolução nº 04/2023, que estabelece os parâmetros para a dosimetria e o efetivo cumprimento de sanções administrativas para os infratores da lei.
Junto à Resolução nº 28/2021 que rege o processo administrativo sancionador, o dispositivo permite que a ANPD possa aplicar sanções para aqueles que descumprirem obrigações da proteção de dados pessoais no território nacional. A medida visa proporcionar segurança jurídica, respeitando o devido processo legal e o contraditório.
O Regulamento já está em vigor desde a data da sua publicação e instrumentaliza a aplicação de todas as sanções previstas na LGPD, quais sejam:
- Advertência;
- Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 por infração;
- Multa diária, com limite total de R$ 50.000.000;
- Publicização da infração;
- Bloqueio dos dados pessoais;
- Eliminação dos dados pessoais;
- Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação;
- Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Além da definição da sanção a ser aplicada, levando em consideração fatores como a escala do tratamento, o tratamento de dados sensíveis, a relação com os direitos fundamentais dos titulares, dentre outros, o regulamento dispõe ainda de critérios e parâmetros para as sanções pecuniárias e não pecuniárias, bem como as formas e dosimetrias para o cálculo do valor-base das multas, instrumentalizando o exercício da competência sancionadora da ANPD, disposto nos artigos 52 e 53, da Lei Geral de Proteção de Dados e da Resolução nº 01/2021.
Com exceção das multas, todas as demais sanções poderão ser aplicadas ao Poder Público.
Além das multas, a ANPD poderá aplicar punições severas aos infratores que não se adequarem às disposições da Lei Geral de Proteção de Dados Pessoais (LGPD), como o bloqueio ou a eliminação definitiva dos dados pessoais irregularmente tratados.
A arrecadação das multas aplicadas pela ANPD será destinada ao Fundo de Defesa de Direitos Difusos, que tem por finalidade a reparação dos danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos.
A publicação do Regulamento faz parte de uma série de ações da Autoridade Nacional nos últimos meses e a expectativa é de que as primeiras sanções recaiam sobre as grandes corporações tecnológicas.
Nesse cenário, é essencial que as empresas se adequem à LGPD, com a execução correta e documentada de um programa de proteção de dados, estando atentas aos seus processos internos, como na homologação de novos fornecedores e parceiros, uma vez que poderão ser responsabilizadas pelo tratamento de dados pessoais realizados por si próprias ou terceiros por ela contratados.
MSA e Solarplex disponibilizam modelos de adequações à LGPD
Para auxiliar empresas a se adequarem à Lei Geral de Proteção de Dados, a MSA Advogados, junto com a Solarplex Consultoria, produziu alguns materiais online para que as empresas possam se adaptar.
São vídeos explicativos, modelos, formulários eletrônicos, roteiros e aulas que auxiliam sua empresa a adequar processos e documentação de acordo com a legislação, baseado nas certificações ISO.
São cinco planos que variam de acordo com as entregas realizadas, que vão até a customização de políticas e documentos e horas de consultoria. São planos variados que se adaptam de acordo com o que a empresa precisa para aderir corretamente à LGPD.
Confira na página https://www.lgpd-cert.com.br qual o plano que melhor se encaixa para a realidade da sua empresa e não perca tempo!
Resolução da ANPD flexibiliza LGPD para empresas de menor porte
Uma das leis mais impactantes dos últimos tempos, e que atinge diretamente as empresas brasileiras é a Lei Geral de Proteção de Dados – LGPD, que foi publicada em 2018 e até hoje causa dúvidas e discussões, tanto para pequenos como grandes empresários.
A lei, no primeiro momento igualou todas as empresas, independente de tamanho ou estrutura, e agora o Conselho Diretor na ANPD (Autoridade Nacional de Proteção de Dados) aprovou uma nova resolução que tenta corrigir essas diferenças.
No intuito de minimizar seus impactos para microempresas, empresas de pequeno porte e outras figuras, a resolução nº 2 flexibiliza alguns pontos da Lei 13.079/2018.
Mas o que diz a resolução? Ela determina, dentre outros assuntos, que os chamados agentes de tratamento de pequeno porte (ATPPs) não precisam de uma estrutura própria de responsáveis e de tratamento de dados. É o que entenderemos a seguir:
A resolução se preocupou em fazer as definições necessárias:
Art. 2º Para efeitos deste regulamento são adotadas as seguintes definições:
I – agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
Dentre o rol acima apresentado, destacaremos duas figuras, as ME’s e as EPP’s, que, logicamente responderão pela maior fatia dos ATPPs, mas que, conforme o artigo 3º, não se beneficiarão das vantagens da resolução caso:
• Realizem tratamento de alto risco para os titulares, preservando a possibilidade de se organizar por meio de entidade de representação de sua atividade, por pessoas jurídicas ou naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados;
• Tenham receita bruta superior aos limites estabelecidos na Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Comple-mentar nº 182, de 2021;
• Caso pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no item anterior, conforme o caso.
Vemos que a flexibilização encampada na resolução conta com alguns limites, o que é natural, mas notamos que o tratamento permanece rígido em outros momentos, demandando uma atenção especial por parte dos ATPPs.
Um dos exemplos da flexibilização é a possibilidade de se atender à exigência de elaboração e manutenção de registro de operações de tratamento de dados pessoais de forma simplificada, o que será feito com a utilização de um modelo a ser fornecido pela ANPD.
Um outro exemplo de facilitação para a adequação à LGPD é o prazo em dobro relação às demais empresas, por exemplo, a comunicação em caso de incidentes de segurança passaria dos 2 dias úteis recomendados pela ANPD para 4 dias úteis.
Ainda em relação às facilidades criadas pela Resolução nº2, temos a possibilidade de os ATPPs se assim desejarem, se organizarem por meio do Sindicato Patronal, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
Já em relação à necessidade de nomear um encarregado, a resolução nº2 da ANPD faculta a nomeação de um encarregado pelo tratamento dos dados pessoais, mas impõe a criação de um canal de comunicação para atender às reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências.
Ou seja, ao mesmo tempo que a resolução faculta a nomeação, ela impõe que haja uma pessoa capacitada, como se encarregado fosse.
Essas são apenas algumas das novidades trazidas pela resolução nº 2, que traz uma certeza: a LGPD se mostra cada vez mais como uma lei que veio para ficar. Prova disso é que ela começa a ter a devida regulamentação por parte da ANPD, órgão integrante da Presidência da República, o que é um indício de que será aplicada, e não se adequar pode gerar problemas para as empresas que não estiverem prontas.
Importante orientar e ajudar os clientes que estão enquadrados na resolução, podendo evitar custos desnecessários e até mesmo se defender caso ocorra algum questionamento ou fiscalização.
A LGPD e a resolução nº2 da ANPD: flexibilização ou alerta?
Uma das leis mais impactantes dos últimos tempos, e que atinge diretamente as empresas é a lei Geral de Proteção de Dados – LGPD, que foi publicada em 2018 e até hoje causa dúvidas e discussões.
No intuito de minimizar seus impactos para microempresas, empresas de pequeno porte e outras figuras, o Conselho Diretor da ANPD (Autoridade Nacional de Proteção de Dados) aprovou a resolução nº 2, que flexibiliza alguns pontos da Lei 13.079/2018.
Mas o que diz essa resolução? Ela determina, dentre outros assuntos, que os chamados agentes de tratamento de pequeno porte (que chamaremos de ATPPs) não precisam de uma estrutura própria de responsáveis e de tratamento de dados. É o que entenderemos a seguir:
Primeiro, vamos recorrer à própria Resolução para entender quem são os ATPPs:
Art. 2º Para efeitos deste regulamento são adotadas as seguintes definições:
I – agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador;
Dentre o rol acima apresentado, destacaremos duas figuras, as ME’s e as EPP’s, que, logicamente responderão pela maior fatia dos ATPPs, mas que, conforme o artigo 3º, não se beneficiarão das vantagens da resolução caso:
• Realizem tratamento de alto risco para os titulares, preservando a possibilidade de se organizar por meio de entidade de representação de sua atividade, por pessoas jurídicas ou naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados;
• Tenham receita bruta superior aos limites estabelecidos na Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021;
• Caso pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no item anterior, conforme o caso.
Vemos que a flexibilização encampada na resolução conta com alguns limites, o que é natural, mas notamos que o tratamento permanece rígido em outros momentos, demandando uma atenção especial por parte dos ATPPs.
Um dos exemplos da flexibilização é a possibilidade de se atender à exigência de elaboração e manutenção de registro de operações de tratamento de dados pessoais de forma simplificada, o que será feito com a utilização de um modelo a ser fornecido pela ANPD.
Um outro exemplo de facilitação para a adequação à LGPD é o prazo em dobro relação às demais empresas, por exemplo, a comunicação em caso de incidentes de segurança passaria dos 2 dias úteis recomendados pela ANPD para 4 dias úteis.
Ainda em relação às facilidades criadas pela Resolução nº2, temos a possibilidade de os ATPPs se assim desejarem, se organizarem por meio do Sindicato Patronal, por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.
Já em relação à necessidade de nomear um encarregado, a resolução nº2 da ANPD faculta a nomeação de um encarregado pelo tratamento dos dados pessoais, mas impõe a criação de um canal de comunicação para atender às reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências.
Ou seja, ao mesmo tempo que a resolução faculta a nomeação, ela impõe que haja uma pessoa capacitada, como se encarregado fosse.
Essas são apenas algumas das novidades trazidas pela resolução nº 2, que traz uma certeza: a LGPD se mostra cada vez mais como uma lei que veio para ficar. Prova disso é que ela começa a ter a devida regulamentação por parte da ANPD, órgão integrante da Presidência da República, o que é um indício de que será aplicada, e não se adequar pode gerar problemas para as empresas que não estiverem prontas.
PorThais Balbi
ANPD estabelece procedimentos de fiscalização e regras para sanções
O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) aprovou, por meio da Resolução ANPD nº 1, de 28 de outubro de 2021, o regulamento que estabelece os procedimentos de fiscalização e as regras a serem observadas nos processos administrativos sancionadores.
A atividade de fiscalização da ANPD terá por finalidade orientar, prevenir e reprimir as infrações à Lei Geral de Proteção de Dados Pessoais (LGPD), sendo um estímulo à proteção dos direitos dos titulares de dados pessoais.
Destacamos algumas premissas a serem adotadas pela ANPD no processo de fiscalização:
- A atuação de forma responsiva, com a adoção de medidas proporcionais ao risco identificado e à postura dos agentes regulados;
- O estímulo à promoção da cultura da proteção de dados pessoais;
- O incentivo à responsabilização e prestação de contas pelos agentes de tratamento;
- O estímulo à conciliação direta entre as partes com a resolução do problema e da reparação do dano pelo controlador;
- A mínima intervenção na imposição de condicionantes administrativas ao tratamento de dados pessoais.
Segundo o regulamento, a ANPD poderá atuar de ofício, em decorrência de programas periódicos de fiscalização, de forma coordenada com órgãos e entidades públicos ou em cooperação com autoridades de proteção de dados pessoais de outros países.
A ANPD promoverá medidas visando à orientação, à conscientização e à educação dos agentes de tratamento, dos titulares de dados pessoais e dos demais integrantes ou interessados no tratamento de dados pessoais.
As medidas de orientação dos agentes de tratamento de dados não constituem sanção ao agente regulado, podendo ser guias de boas práticas e de modelos de documentos, sugestão de treinamentos e cursos, elaboração e disponibilização de ferramentas de autoavaliação de conformidade e de riscos, reconhecimento de regras de boas práticas e de governança, e recomendações de padrões técnicos, de governança e códigos de conduta.
Os agentes de tratamento poderão ainda receber da ANPD avisos contendo a descrição da situação e informações suficientes para que identifiquem as providências necessárias, solicitações de regularização e informes com prazo determinado e, para as situações de maior complexidade, a elaboração de um plano de conformidade.
A resolução trouxe diversos avanços em relação ao exercício da competência sancionatória da ANPD, estabelecendo prazos, procedimentos e requisitos. No entanto, as metodologias e o regulamento das sanções administrativas, conforme previsto no art. 53, da LGPD, não foram definidos.
A resolução entrou em vigor na data da publicação, em 29 de outubro de 2021, e o primeiro ciclo de monitoramento terá início a partir de janeiro de 2022.
As empresas que buscam promover a implementação dos programas de governança poderão se orientar pelo Mapa de Temas Prioritários da ANPD que será realizado em periodicidade bianual e estabelecerá os temas prioritários para fins de estudo e planejamento da atividade de fiscalização da ANPD.
MSA promoveu evento sobre LGPD para empresas de menor porte
Realizado no dia 25 de agosto, o evento digital “LGPD: chegou a hora!”, contou com a presença de mais de 100 pessoas simultâneas, e mais de 150 que chegaram a entrar no ambiente em algum momento do encontro.
Promovido pela MSA Advogados, com apoio de escritórios de contabilidade parceiros e sindicatos patronais, além da Solarplex Consultoria, o evento teve a participação de João Romero, que fez a principal explanação sobre a Lei Geral de Proteção de Dados, e de Marco Medeiros, que intermediou as perguntas e fez também observações sob os aspectos jurídicos da lei.
Marco Medeiros, sócio da MSA Advogados, abriu o evento contando um pouco da história da LGPD no Brasil, seu trâmite pelo Congresso e a sanção presidencial em agosto de 2020, que adiou a parte relacionada às punições para agosto de 2021.
No começo da sua explanação, João Romero falou sobre as necessidades de pequenas empresas se adaptarem e se prepararem para responder a solicitações que possam vir, seja pelos seus clientes, seja pela ANPD (Autoridade Nacional de Dados Pessoais) ou, em último caso, pela própria Justiça. O sócio da Solarplex explicou que a lei foi feita para proteção de dados do cidadão e que ele possa acionar a agência e a justiça, se achar que foi prejudicado. “A ANPD não foi criada para fiscalizar as empresas, mas sim como um órgão que possa verificar, quando solicitada, exageros ou irregularidades feitas pelas instituições”, enfatizou.
Ele também fez um breve histórico sobre a LGPD e sua inspiração na GPDR, legislação que regula os dados pessoais na Europa, que entrou em vigor em 2018, e enfatizou que a justiça vai aprendendo a dosagem de aplicação de punições conforme os casos vão aparecendo. Isso já está acontecendo na Europa, onde casos parecidos vão tendo outro tipo de interpretação ao decorrer do tempo, tendo adaptações e evitando radicalizações ou injustiças.
Conceitos
Os principais conceitos da LGPD foram vistos pelo palestrante, como o consentimento do cidadão na utilização dos seus dados, qual o limite da utilização desses dados a partir do que foi consentido pela pessoa, casos em que a empresa deve compartilhar os dados (pedidos da Justiça ou de investigação), e as situações em que pode compartilhar os dados pessoais com parceiros, desde que autorizado pelo dono das informações explicitamente para este fim.
Outro ponto importante levantado é que o consentimento pode ser revisto e mudado a qualquer hora pelo titular dos dados, ou seja, se a pessoa permitiu compartilhar os dados com parceiros, pode pedir a qualquer momento que esse dado não seja mais compartilhado, ou que o dado seja apagado da base de uma determinada empresa.
João Romero ainda falou sobre dados sensíveis, responsáveis pelos dados de menores de idade e precauções que as empresas devem ter, bem como o descarte dos dados após a sua utilização. Ressaltou ainda que vários o uso dos dados precisam ter data para seu término. E fechando os conceitos, ele falou sobre o direito do cidadão a acessar seus dados pessoais a qualquer momento, e sobre a governança dos dados pessoais: processos internos delimitando e esclarecendo quem tem acesso, quem pode manipular, e como é o processo desse tratamento dentro da instituição. “A governança disso dentro da empresa é fundamental para evitar problemas. Com uma governança de dados que funcione, a empresa já dá um grande passo no processo de gestão de dados”, explicou ele.
Governança e sistema de gestão de dados
Após a exposição de histórico e conceitos, o sócio da Solarplex explicou como empresas menores, de baixo risco de vazamento de informações ou escritórios contábeis podem implementar uma gestão de dados eficaz, baseado na LGPD, nas normas ISO de números 27001 e 27002.
“Quanto melhor e mais seguro for esse sistema, maior a chance de o controlador estar cumprindo a lei, tendo provas documentais sistematizadas, para uma eventual demanda judicial” enfatizou Romero.
A partir daí, mostrou que o desenvolvimento de um sistema de gestão de dados depende muito da governança implementada, mas que a maioria das empresas pode construir algo aderente à LGPD e de acordo com as ISOs 27001 e 27002 que tratam do assunto.
Para isso, há uma série de procedimentos, começando por um diagnóstico aprofundado sobre a gestão de dados pessoais dentro da empresa, uma série de documentos que devem ser produzidos, tanto de processos como de responsabilidades, guarda física dos dados e treinamentos para todos os colaboradores.
Por último, João Romero explicou como funciona a figura do DPO dentro de uma empresa. O responsável legal pela guarda dos dados dentro da instituição deve ter alguns requisitos estipulados pela lei e não necessariamente precisa ser algum funcionário da empresa. O DPO pode ser uma pessoa de fora da empresa com os pré-requisitos necessários, assim como pode ser uma empresa especializada que forneça este serviço.
Dúvidas sobre a LGPD
Após as explanações, Marco Medeiros fez considerações a respeito de algumas situações que poderiam ser motivo de ações ou de pedidos de entrega de vídeos ou documentos pessoais para a empresa e como esta deve se comportar.
“Por exemplo, tem uma briga no seu estabelecimento e a parte que foi prejudicada pede o vídeo da câmera de segurança, você deve dar? Não, ali tem imagens que podem expor terceiros e você não pode ceder porque alguém pediu, pode dar problema depois para a empresa. Agora, se a polícia ou se a justiça pedirem, aí é um pedido oficial, aí está previsto na lei e a responsabilidade passa a ser do órgão que pediu as imagens”, exemplificou o sócio da MSA Advogados.
Ele também colocou as perguntas que os participantes colocaram no chat, como:
• Se houver furto próximo a empresa, deve-se passar as imagens da câmera de segurança?
• É necessário um documento específico para que os colaboradores da empresa tenham que dar consentimento para o uso de seus dados para as atividades da empresa?
• O escritório de contabilidade deverá criar algum formulário de consentimento no ato de sua admissão de funcionários? e os colaboradores antigo deverão assinar este formulário?
• Como os órgãos estão se preparando para fiscalizar as empresas?
Todas foram respondidas por Marco Medeiros e por João Romero ao final do evento e podem ser vistas na gravação disponibilizada no canal da MSA Advogados no Youtube.
Evento da MSA Advogados debate LGPD
Realizado no dia 25 de agosto, o evento digital “LGPD: chegou a hora!”, contou com a presença de mais de 100 pessoas simultâneas, e mais de 150 que chegaram a entrar no ambiente em algum momento do encontro.
Promovido pela MSA Advogados, com apoio de escritórios de contabilidade parceiros e sindicatos patronais, além da Solarplex Consultoria, o evento teve a participação de João Romero, que fez a principal explanação sobre a Lei Geral de Proteção de Dados, e de Marco Medeiros, que intermediou as perguntas e fez também observações sob os aspectos jurídicos da lei.
Marco Medeiros, sócio da MSA Advogados, abriu o evento contando um pouco da história da LGPD no Brasil, seu trâmite pelo Congresso e a sanção presidencial em agosto de 2020, que adiou a parte relacionada às punições para agosto de 2021.
No começo da sua explanação, João Romero falou sobre as necessidades de pequenas empresas se adaptarem e se prepararem para responder a solicitações que possam vir, seja pelos seus clientes, seja pela ANPD (Autoridade Nacional de Dados Pessoais) ou, em último caso, pela própria Justiça. O sócio da Solarplex explicou que a lei foi feita para proteção de dados do cidadão e que ele possa acionar a agência e a justiça, se achar que foi prejudicado. “A ANPD não foi criada para fiscalizar as empresas, mas sim como um órgão que possa verificar, quando solicitada, exageros ou irregularidades feitas pelas instituições”, enfatizou.
Ele também fez um breve histórico sobre a LGPD e sua inspiração na GPDR, legislação que regula os dados pessoais na Europa, que entrou em vigor em 2018, e enfatizou que a justiça vai aprendendo a dosagem de aplicação de punições conforme os casos vão aparecendo. Isso já está acontecendo na Europa, onde casos parecidos vão tendo outro tipo de interpretação ao decorrer do tempo, tendo adaptações e evitando radicalizações ou injustiças.
Conceitos
Os principais conceitos da LGPD foram vistos pelo palestrante, como o consentimento do cidadão na utilização dos seus dados, qual o limite da utilização desses dados a partir do que foi consentido pela pessoa, casos em que a empresa deve compartilhar os dados (pedidos da Justiça ou de investigação), e as situações em que pode compartilhar os dados pessoais com parceiros, desde que autorizado pelo dono das informações explicitamente para este fim.
Outro ponto importante levantado é que o consentimento pode ser revisto e mudado a qualquer hora pelo titular dos dados, ou seja, se a pessoa permitiu compartilhar os dados com parceiros, pode pedir a qualquer momento que esse dado não seja mais compartilhado, ou que o dado seja apagado da base de uma determinada empresa.
João Romero ainda falou sobre dados sensíveis, responsáveis pelos dados de menores de idade e precauções que as empresas devem ter, bem como o descarte dos dados após a sua utilização. Ressaltou ainda que vários o uso dos dados precisam ter data para seu término. E fechando os conceitos, ele falou sobre o direito do cidadão a acessar seus dados pessoais a qualquer momento, e sobre a governança dos dados pessoais: processos internos delimitando e esclarecendo quem tem acesso, quem pode manipular, e como é o processo desse tratamento dentro da instituição. “A governança disso dentro da empresa é fundamental para evitar problemas. Com uma governança de dados que funcione, a empresa já dá um grande passo no processo de gestão de dados”, explicou ele.
Governança e sistema de gestão de dados
Após a exposição de histórico e conceitos, o sócio da Solarplex explicou como uma empresa com baixo risco de vazamento de informações pode implementar uma gestão de dados eficaz, baseado na LGPD, nas normas ISO de números 27001 e 27002.
“Quanto melhor e mais seguro for esse sistema, maior a chance de o controlador estar cumprindo a lei, tendo provas documentais sistematizadas, para uma eventual demanda judicial” enfatizou Romero.
A partir daí, mostrou que o desenvolvimento de um sistema de gestão de dados depende muito da governança implementada, mas que a maioria das empresas pode construir algo aderente à LGPD e de acordo com as ISOs 27001 e 27002 que tratam do assunto.
Para isso, há uma série de procedimentos, começando por um diagnóstico aprofundado sobre a gestão de dados pessoais dentro da empresa, uma série de documentos que devem ser produzidos, tanto de processos como de responsabilidades, guarda física dos dados e treinamentos para todos os colaboradores.
Por último, João Romero explicou como funciona a figura do DPO dentro de uma empresa. O responsável legal pela guarda dos dados dentro da instituição deve ter alguns requisitos estipulados pela lei e não necessariamente precisa ser algum funcionário da empresa. O DPO pode ser uma pessoa de fora da empresa com os pré-requisitos necessários, assim como pode ser uma empresa especializada que forneça este serviço.
Dúvidas sobre a LGPD
Após as explanações, Marco Medeiros fez considerações a respeito de algumas situações que poderiam ser motivo de ações ou de pedidos de entrega de vídeos ou documentos pessoais para a empresa e como esta deve se comportar.
“Por exemplo, tem uma briga no seu estabelecimento e a parte que foi prejudicada pede o vídeo da câmera de segurança, você deve dar? Não, ali tem imagens que podem expor terceiros e você não pode ceder porque alguém pediu, pode dar problema depois para a empresa. Agora, se a polícia ou se a justiça pedirem, aí é um pedido oficial, aí está previsto na lei e a responsabilidade passa a ser do órgão que pediu as imagens”, exemplificou o sócio da MSA Advogados.
Ele também colocou as perguntas que os participantes colocaram no chat, como:
• Se houver furto próximo a empresa, deve-se passar as imagens da câmera de segurança?
• É necessário um documento específico para que os colaboradores da empresa tenham que dar consentimento para o uso de seus dados para as atividades da empresa?
• O escritório de contabilidade deverá criar algum formulário de consentimento no ato de sua admissão de funcionários? e os colaboradores antigo deverão assinar este formulário?
• Como os órgãos estão se preparando para fiscalizar as empresas?
Todas foram respondidas por Marco Medeiros e por João Romero ao final do evento e podem ser vistas na gravação disponibilizada no canal da MSA Advogados no Youtube.
Contactual reproduz artigo sobre multas da LGPD
A Contactual Contabilidade publicou artigo sobre a aplicação de multas para infratores da Lei Geral de Proteção de Dados, a LGPD. A lei vigora há um ano, mas só agora, em agosto, as multas podem ser aplicadas para empresas que descumprirem a legislação.
O artigo, escrito pelo sócio da MSA Advogados Marco Aurélio Medeiros, destaca alguns pontos que devem ser observados e que podem ser causas de solicitações de punições.
Você pode ver o conteúdo em nosso blog ou no site da Contactual.
Artigo alerta sobre multas em relação a LGPD
Artigo escrito por Marco Aurélio Medeiros, sócio da MSA, alerta que multas relativas a infrações da Lei Geral de Proteção de Dados começam a ser cobradas a partir de agosto. A lei entrou em vigor há um ano, mas só agora as punições começam a acontecer. O texto foi compartilhado também no site contadores.cnt.br.
Você pode ver o conteúdo no nosso blog ou no site do contadores.cnt.br.
Multas da LGPD estão chegando…
A Lei Geral de Proteção de Dados (LGPD) está em vigor desde agosto de 2020, contudo, os artigos que tratam das penalidades somente entram em vigor em agosto de 2021. Em resumo, agora é para valer!
O ser humano é protelador por natureza, e o brasileiro levou a técnica ao estado da arte.
Sem o risco de multas, poucas empresas se ocuparam da nova norma; isso vale também para as grandes empresas. Pesquisas mostram que mais de 50% das companhias listadas na B3 ainda não se adaptaram. “Nova norma” é um eufemismo: a lei n° 13.709 é de 2018, e a maior parte dos seus artigos entrou em vigor em 2020, ficando as penalidades para 2021 (artigos 52, 53 e 54).
Os jornais noticiaram na semana passada ações de sindicatos contra empresas já exigindo penalidades para aquelas que expuseram os dados de seus funcionários. Como já esperávamos, a lei será um motivador de litígios – alguns legítimos, muitos unicamente pecuniários.
Leis protetivas ajudam hipossuficientes eventualmente injustiçados, mas também atraem arrivistas e gananciosos, outro esporte no qual contamos com recordistas olímpicos em profusão. De maneira que recomenda-se dar atenção à lei e preparar a empresa para isso.
Nos processos recém ajuizados sobre o tema, livraram-se aquelas empresas que demonstraram a adoção de medidas e boas práticas no intuito de cumprir as determinações legais; as outras estão sendo obrigadas a se adaptar em custo espaço de tempo, sob pena de multas diárias impostas pelo judiciário.
Para relembrar alguns pontos da lei, colocamos abaixo alguns conceitos relevantes e cuidados que toda empresa deve ter:
- Os dados protegidos pela lei são aqueles das pessoas físicas somente, não das PJ.
- Dado pessoal não se restringe àqueles mantidos em sistema de informática, mas é qualquer informação da pessoa física que seja controlada por uma pessoa jurídica: vai do atestado médico admissional ao boletim escolar, passando pela caderneta de vacinação dos filhos, dados de sócios em um contrato social, e o histórico de crédito, dentre outros.
- Toda empresa precisa ter um encarregado de dados pessoais, pessoa assim nomeada para atuar como canal de comunicação entre o controlador dos dados e os seus titulares, bem como a ANPD – Autoridade Nacional de Proteção de Dados.
- A utilização de dados pessoais deve ser precedida de consentimento por escrito do titular dos dados.
- Exclui-se da necessidade de consentimento a utilização para fins jornalísticos, acadêmicos, cumprimento de obrigações legais, utilização judicial, execução de contratos, proteção do crédito dentre outros.
- O compartilhamento dos dados deve também ser precedido de consentimento.
- Encerramento o tratamento dos dados, os mesmos devem ser eliminados.
- O titular dos dados pode, a qualquer momento, acessar os dados, confirmar a sua existência, portar os dados para outro fornecedor, revogar o consentimento e solicitar a sua eliminação.
- Pode o controlador dos dados implementar programa de governança com regras próprias para o tratamento dos dados e seu acesso por terceiros, bem como o cumprimento da lei.
- As penalidades por descumprimento da lei podem chegar a até 2% do faturamento, limitada a R$ 50 milhões por infração.
Como dito, tudo já estava valendo, menos as penalidades, que entram em vigor em agosto/2021. Para quem ainda não se adaptou, passou da hora.
Claro que gasta-se alguma energia, tempo e dinheiro; mas empresas pequenas e médias conseguem realizar um programa de governança de dados de maneira acessível.
O programa começa por um diagnóstico com a indicação dos pontos críticos, ou seja, identificando processos internos nos quais dados são tratados; em seguida, é hora de criar regras para esses processos. Por fim, é o momento de adaptar seus documentos, contratos, e políticas internas para o atendimento da lei: inserção de cláusulas em contratos padrão, adoção de um termo de consentimento padrão, criação de uma política de privacidade, dentre outros.
Quem quiser, pode ainda realizar a certificação da ABNT específica para a LGPD, o que lhe garantirá, além da consultoria espontânea que todo processo de certificação acaba causando, uma prova documental da implementação de boas práticas.
Ela está chegando!