LGPD – Como o micro e pequeno empreendedor será afetado?
Afora termos relacionados à pandemia do COVID-19, certamente um dos assuntos mais comentados nos últimos dias é a Lei Geral de Proteção de Dados (LGPD), Lei nº. 13.709/18.
Em meio à pandemia, com a edição de mais uma medida provisória (MP 959) que não virou lei e com uma manobra procedimental do Senado, entrou em vigor dia 18/09/2020 a LGPD.
Sua própria denominação já gera controvérsia, uma vez que de geral ela não tem nada, sendo aplicável apenas aos dados das pessoas físicas, ficando de fora os dados utilizados por outra pessoa física para fins particulares não econômicos, para assuntos jornalísticos, artísticos ou acadêmicos, ou, ainda, para fins de segurança pública ou defesa nacional.
Sabe-se que o termo geral vem diretamente da legislação europeia – General Data Protection Regulation (GDPR) – a qual inclusive é a origem direta de nossa LGPD, eis que, se o Brasil não tivesse tal norma, as empresas com sede na União Europeia não poderiam compartilhar os dados com suas sucursais tupiniquins.
E, já em vigor, todas as empresas precisam de fato se adaptar, sob pena de incorrerem em severas multas administrativas – aplicáveis a partir de 1º/08/21 tanto pelo PROCON como pela futura Autoridade Nacional de Proteção de Dados (ANPD) – que podem chegar a até 2% do faturamento.
Além disso, conforme a gravidade da infração, poderá ser proibida de armazenar dados de pessoas físicas e excluir os registros de seu banco de dados.
Mas como isso afeta o pequeno e o micro empreendedor?
Seja você detentor de um e-commerce, uma imobiliária, uma loja de sapatos, ou um prestador de serviços de consultoria, é certo que você lida com dados de seus clientes.
Mas quais seriam tais dados?
Embora de forma ampla e aberta a interpretações, a LGPD já nos dá um norte de quais seriam eles em seu Art. 5º:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
A essência da LGPD reside justamente na gestão destes dados, desde sua coleta até seu armazenamento.
Vamos a um passo a passo que pode ajudar você a entender a dimensão dessa norma:
Aquele formulário, físico ou eletrônico, precisa ser revisado.
Isso por que não há um padrão, variando a necessidade da informação em cada ramo de atividade: se você vende sapatos, por que razão quer saber o endereço do cliente, seu aniversário, estado civil, e-mail, etc?
Se há um motivo, é preciso que o cliente seja informado do motivo e da finalidade dos dados (por exemplo: usaremos seu e-mail para o envio de promoções).
Apenas para ter o e-mail, sem qualquer finalidade ou motivação específica, pode ser considerada uma exigência abusiva. Se o e-mail é necessário para a emissão de NF-e, tudo bem – porém isso não permite que você mande uma newsletter sem a autorização específica para este fim.
Outro exemplo: qual a relevância de saber o grau de instrução na loja de sapatos? Nenhuma.
Agora, para uma empresa de recrutamento e seleção, a mesma informação é valiosa para direcionar as vagas certas ao candidato.
É a finalidade que define se o dado pode ou não ser coletado – como traz o Art. 6º Inc. I da LGPD:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
A empresa não pode manter os dados para além do período estabelecido pela finalidade para a qual foi coletado.
Além disso, o cliente tem o direito de saber quais dados você possui, bem como pode solicitar sua exclusão.
A lógica, aqui, é que o titular dos dados é a pessoa natural, e não a empresa que os coleta. É exatamente esse conceito que o Art. 5º inc. V da LGPD:
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Outra preocupação que afeta a todas as empresas é o eventual vazamento dos dados. E é neste caso onde as multas são mais pesadas, pois a empresa é diretamente responsável por garantir a higidez e a segurança dos dados que coleta.
Tal dever obriga a empresa tanto a adotar procedimentos internos contra o vazamento, por seus colaboradores, bem como contra a invasão de seus servidores.
Aqui, vamos um passo adiante: a segurança dos dados proíbe também sua comercialização e seu uso para fins não alertados ao cliente.
A empresa não pode vender seu banco de dados – afinal, a LGPD trabalha com o conceito de que o proprietário dos dados é seu titular, e não a empresa que os coleta/detém.
Nem tampouco pode desviar a finalidade para a qual os coletou – um exemplo bastante simples: se você coletou o e-mail para uma campanha de Páscoa, deve eliminar os dados após a Páscoa, não podendo utilizá-lo para a campanha do Natal.
É a finalidade que norteia seu uso, e o cliente deve saber e anuir expressamente com tudo isso, tal como indica o Art. 5º inc. XII da LGPD:
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Existem ainda outros conceitos interessantes que afetam o micro e pequeno empreendedor, como private by design e private by default. Em resumo, tais conceitos significam que todo e qualquer produto/serviço deve ser concebido, em sua origem e como padrão, de forma a manter a privacidade dos dados.
Antes, era o contrário: ao aceitar um produto/serviço, o cliente automaticamente já estava concordando com a coleta e uso de seus dados. Agora, a configuração padrão é o oposto: tudo restrito, tudo preservado, até que o cliente conscientemente permita a coleta.
Novos tempos.
E sua empresa, já está pronta?
Autor
Carlos Stoever
Clique no link e saiba mais sobre o autor.
PUBLICIDADE