Rodrigo de Natale é sócio fundador do escritório Palma, de Natale & Teracin Consultores e Advogados, especializado em Lei Geral de Proteção de Dados Pessoais. Em conversa com a Revista SETCESP, ele destacou os principais pontos da adequação à LGPD, em vigor desde setembro do ano passado, mas com a aplicação das sanções previstas para agosto de 2021
Por onde as empresas do setor de transporte rodoviário de cargas que ainda não se adequaram à LGPD devem começar?
O primeiro passo é ter a compreensão da importância dos dados pessoais na atualidade, que são todos os dados que possam identificar ou tornar identificável uma pessoa. As empresas transportadoras trabalham com os seguintes dados pessoais: de seus sócios; de seus colaboradores; dos representantes legais de seus clientes (quando pessoas jurídicas) e colaboradores destes (que atuam após o contrato ser implantado); dos seus clientes pessoas físicas; dos transportadores eventuais (autônomos e contratados por demanda); de seus fornecedores (representantes legais e colaboradores destes após o contrato ser implantado); das pessoas físicas que recebem as mercadorias transportadas e em situações de informações bancárias, fiscais e previdenciárias pela legislação.
A Lei Geral de Proteção de Dados Pessoais trouxe regras e princípios que precisam ser observados pelas empresas que manuseiam esses dados, em todas as etapas da sua prestação de serviços.
Como essas empresas devem se precaver? O que elas devem fazer para estarem em conformidade com a legislação?
As empresas devem buscar assessoria especializada, geralmente, sugerimos jurídica e de gestão de processos com tecnologia embarcada, a fim de que, sejam identificados e realizados os procedimentos de implantação da Lei Geral de Proteção de Dados Pessoais.
O procedimento tem início com o conhecimento e análise da estrutura dos arquivos de dados da empresa, físicos e digitais, com mapeamento e respectiva administração destes dados, incluindo, revisão contratual e a criação de procedimentos internos de implementação das boas práticas, de acordo com as normas estipuladas pela LGPD. Possibilitando, assim, a comprovação de que foram realizados procedimentos, tanto jurídicos como tecnológicos, na coleta, proteção, deleção e descarte de dados pessoais pela empresa. As penalidades e observância do cumprimento da LGPD são diminuídas com a constatação de que a empresa tem um procedimento instituído de proteção dos dados pessoais, quer sejam estes físicos ou digitais.
Quais setores dentro de uma empresa de transporte serão mais impactados e devem ter uma maior preocupação com essa Lei?
Todos os setores das empresas têm acesso a dados pessoais, ou compartilham os dados entre os departamentos. Sendo que, os que mais devem se preocupar são os de Recursos Humanos, Financeiro, e o próprio setor Operacional, que efetiva o transporte das mercadorias junto a profissionais terceirizados, ou faz a contratação de autônomos. As empresas que prestam serviço B2C, em especial, têm sob sua responsabilidade dados do consumidor final, sendo um tema importante nas verificações e implementações do Programa de LGPD.
A LGPD classifica as empresas entre operadoras e controladoras. O que essa divisão significa? E as empresas do TRC, em sua maioria, se classificam em qual categoria?
Uma empresa controladora corresponde a uma pessoa jurídica que coleta dados pessoais e decide sobre a finalidade e tratamento desses dados. Ao passo que, uma empresa operadora realiza o tratamento de dados pessoais, recebendo as regras, instruções e meios a serem utilizados para o tratamento dos dados, ou seja, realiza o tratamento de dados pessoais sob as ordens do Controlador.
Na maior parte dos casos, as empresas exercerão os dois papéis em suas operações, como controladoras de seus empregados e operadoras de seus clientes. Uma empresa unicamente controladora é aquela que não tem clientes pessoas físicas e presta seus serviços unicamente a outras empresas. Assim, as empresas do TRC podem estar em ambas as categorias, dependendo dos clientes que atendem.
Como o empreendedor deve proceder com dados coletados e os contratos firmados antes de agosto de 2020 para se adequar às exigências da legislação? Será preciso um processo retroativo de adequação? Caso sim, a partir de qual data?
A Lei Geral de Proteção de Dados Pessoais só retroagiria sobre situações em que o direito é sucessivo como, por exemplo, contratos de plano de saúde ou situações de direito que se perpetuem no tempo. Em relação ao contrato em vigor, iniciado antes da vigência antes da aplicação da lei, é indicada a realização de um aditivo ajustando as cláusulas referente aos dados pessoais recebidos, por exemplo, dados constantes de quem recebe a mercadoria. Essa revisão deve fazer parte da implementação da política de LGPD.
O que um bom termo de consentimento deve ter para atender a Lei e garantir a transparência com os clientes?
A LGPD conceitua “consentimento” como uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, a ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. A legislação estipula também que cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com a Lei, sendo que as autorizações genéricas para o tratamento de dados pessoais serão consideradas nulas. Assim, um bom termo de consentimento para atender a Lei e garantir a transparência com os clientes, em respeito à LGPD, deve conter, todas estas previsões, de forma clara e específica, que reflitam exatamente os dados que estão sendo coletados, sua finalidade, forma de armazenamento e descarte.
No caso de vazamento de dados de uma companhia, a partir de agosto, quais são as possíveis sanções previstas na LGPD?
As penalidades poderão variar entre advertência, multa simples ou diária e, ainda, suspensão e proibição do tratamento de dados. Essas sanções somente serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros e critérios definidos na lei e portarias da Autoridade Fiscalizadora, sempre sendo observado o procedimento da empresa no tratamento dos dados pessoais coletados. A demonstração que a empresa possui política de governança de proteção de dados, pode ser considerada como atenuante pela Autoridade Fiscalizadora, que tende a observar o esforço da mesma em reduzir os efeitos de um possível vazamento.
Já tivemos alguns vazamentos de dados por parte das instituições privadas e públicas. Quais são os direitos da empresa ou do cliente, caso tenha seus dados vazados? E que penalidade essas instituições poderão sofrer?
Sim, já tivemos diversos vazamentos recentes. Como por exemplo, o do Detran do Rio Grande do Norte, que acarretou na disponibilização de 70 milhões de dados de motoristas cadastrados com os seus endereços e dados de CNH. Os titulares dos dados vazados têm o direito de pleitear indenização e aplicação das penalidades à instituição, seja ela pública ou privada. No entanto, as penalidades da Lei Geral de Proteção de Dados só serão aplicadas a partir de agosto de 2021. Com a entrada em vigor, tal instituição poderá sofrer desde advertências até multa simples ou diária.
A Lei permite o compartilhamento de dados sem o consentimento em alguns casos. Pode dizer quais são eles? E se algum deles inclui o cadastro de motoristas, usados comumente pelas Gerenciadoras de Riscos?
Os dados pessoais compartilhados têm a dispensa do consentimento nas seguintes hipóteses:
– Quando os dados forem indispensáveis para o controlador cumprir obrigações legais ou regulatórias;
– Quando o tratamento compartilhado de dados for necessário para a execução de políticas públicas;
– Para que os órgãos de pesquisa possam realizar estudos, sempre observando a anonimização de dados pessoais sensíveis;
– Para o exercício regular de direitos, incluindo contrato e processo judicial, administrativo e arbitral;
– Em caso de proteção da vida ou segurança física do titular dos dados ou de terceiros;
– Para tutela de saúde, em procedimentos que devem ser realizados por profissionais ou serviços de saúde/autoridade sanitária;
– Para garantir que o titular dos dados estejam seguro e prevenido de fraudes, sempre observando o direito à informação e transparência garantido pela Lei (exceto em casos nos quais a proteção dos dados seja fundamental para garantir direitos e liberdades);
– Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Tratando-se de banco de dados (“Score de Motorista”) cujos dados tratados já são públicos, há dispensa do consentimento, mas o direito do titular, perante esses controladores se mantém, tais como acesso a seus dados, correção de dados incompletos, inexatos ou desatualizados; bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Qual a mensagem que gostaria de deixar aos nossos leitores?
A LGDP é uma consequência da era da informação, de uma sociedade mundial informatizada e conectada, de modo que sua implementação, além de obrigatória, deve ser vista pelos empreendedores transportadores como uma oportunidade de organização de procedimentos e de modernização. As regras da LGPD devem ser observadas tanto nos arquivos físicos quanto digitais das empresas. As empresas que demonstram, no mercado, que estão se adequando a essas normas são vistas como empresas mais conscientes, organizadas, eficientes e seguras. Por isso, é fundamental a criação e divulgação de uma boa política de governança de proteção de dados, inserindo esses conceitos no dia a dia da equipe, de modo que possa fazer parte da cultura da empresa.
voltar