O Papo de Lojista da última segunda-feira (2) foi um programa histórico. Bem no dia em que a Lei Geral de Proteção de Dados (LGPD) entrou em sua fase final de implementação, com o início das sanções que vão desde uma simples advertência a multas de até R$ 50 milhões às empresas e aos órgãos públicos que não se adaptarem às normas, a Associação dos Revendedores de Tintas (Artesp) promoveu um bate papo com Luíza Patusco, advogada da Duarte Tonetti Advogados, especialista em processos de adaptação jurídica ao LGPD. A transmissão foi feita pelos canais da Artesp do Facebook e do Youtube e continuam disponíveis para quem não pode assistir.
Luíza Patusco lembrou que a lei foi promulgada em 2018 e entrou em vigor em 18 de setembro de 2020, inspirada no regulamento europeu, mais conhecido como GDPR, norma referência mundial em termos de proteção de dados. “É uma lei que visa a proteger os direitos fundamentais da pessoa física, ser humano, tais como liberdade, privacidade, direitos da personalidade. Os nossos dados pessoais (informação que identifica ou que torna identificável) são hoje um dos ativos mais valiosos que uma empresa pode ter, pois através deles é possível inferir o perfil comportamental nos mais diversos aspectos da vida da pessoa e assim, desenvolver e ofertar produtos específicos para determinada pessoa. A LGPD não veio impedir os negócios ou utilização de dados pessoais, um de seus fundamentos é inclusive a livre iniciativa. Ela veio regular a forma como os dados pessoais são utilizados ante seu uso indiscriminado que interfere principalmente na liberdade e privacidade das pessoas.”
Segunda a advogada, a adequação à lei é importante não apenas para fins de compliance e evitar sanções administrativas e judiciais, mas especialmente porque as empresas adequadas consigam se posicionar melhor no mercado, gerando vantagem competitiva em relação aos seus concorrentes. “O processo de adequação envolve aspectos jurídicos e de segurança da informação, os quais terão impacto em todos os processos que tratam dados pessoais. Ou seja, qualquer informação que identifique ou torne identificável uma pessoa natural: nome, RG, CFP. Dados sensíveis: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, organização religiosa, política, dados relativos à saúde, orientação sexual, genéticos, biométricos”, afirmou
A LGPD entrou em vigor de forma integral com a aplicação das sanções administrativas em agosto. A multa simples, de até dois por cento do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração é uma das sanções administrativas a ser aplicada pela ANPD. Além dela tem advertência, publicização da infração após devidamente apurada e confirmada a sua ocorrência, bloqueio dos dados pessoais a que se refere a infração até a sua regularização, eliminação dos dados pessoais a que se refere a infração, suspensão do exercício das atividades relacionadas ao tratamento, proibição de exercício das atividades relacionadas ao tratamento.
Alguns exemplos de infrações dado por Luíza foram incidente de segurança, vazamento de dados pessoais, acesso a dados pessoais por funcionários não autorizado, descarte irregular e acesso por terceiros, inobservância dos princípios da LGPD em especial da finalidade, necessidade e adequação. “A ANPD só pode aplicar sanções para fatos ocorridos após 01/08/2021, aquele de natureza continuadas iniciados antes desta data e iniciará a fiscalização após a publicação de regulamento específico que já está em fase final de conclusão.”
A advogada lembrou que o judiciário brasileiro já proferiu 600 decisões sobre privacidade e proteção de dados pessoais, desde o início da vigência da lei, no ano passado, na liderança está o Estado de São Paulo com 84% das decisões proferidas.
As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
I – a gravidade e a natureza das infrações e dos direitos pessoais afetados; II – a boa-fé do infrator; III – a vantagem auferida ou pretendida pelo infrator; IV – a condição econômica do infrator; V – a reincidência; VI – o grau do dano; VII – a cooperação do infrator; VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei; IX – a adoção de política de boas práticas e governança; X – a pronta adoção de medidas corretivas; e XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
“As metodologias para as sanções pecuniárias devem ser previamente publicadas e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na LGPD, o estudo já está em desenvolvimento”, explicou a especialista em processos de adaptação jurídica ao LGPD.
Quando perguntada sobre os principais cuidados que os lojistas de tintas devem tomar a partir de agora, Luiza apontou que o varejista trata diretamente com o consumidor final, assim é muito importante operacionalizar os direitos dos titulares. “É preciso informar em linguagem fácil e acessível, tanto na loja, quanto no site quais são dados coletados, porque são coletados, para que são utilizados, como são utilizados, por quanto tempo são utilizados, as medidas de segurança adotadas, os direitos que eles possuem, canal de atendimento, contato do responsável.”
Outra sugestão dela é a utilização somente dos dados estritamente necessários para a finalidade específica. Adoção de medidas de segurança. Atenção com a interação com os terceiros – dados de titulares que são compartilhados com prestadores de serviços da empresa. “A coleta dos dados deve ser realizada através de ferramentas seguras que prezam pela privacidade, substituir whatsapp pelo signal, por exemplo. Atentar para as formas de recebimento e coleta de dados financeiros, como anotações em papel, treinar os funcionários e avaliar as empresas de pagamentos sobre adequação à LGPD. Atentar-se também para as listas de transmissão e ações de marketing, utilizar a base legal adequada, dar opção ao consumidor de não receber ofertas e promoções, criação de blacklist para não infringir a lei.”
O diretor Operacional da Artesp, Salvador Nascimento, lembrou que uma prática comum nas lojas de tintas são os programas de pontos para pintores e arquitetos. “A lei já está em vigor desde o ano passado. Assim, já é necessário que as empresas tenham coletado o consentimento dos pintores, arquitetos e demais titulares que façam parte do programa de pontos. As sanções administrativas começaram agora, mas as judiciais já estão em vigor. Caso não haja o consentimento, há tratamento irregular dos dados passíveis de sanção”, sugeriu a advogada. “Além disso, é muito importante ter atenção para ações de marketing a serem realizadas com os dados dos fidelizados. Traçar o perfil comportamental para campanhas direcionadas a cada fidelizado. O compartilhamento destes dados com outras empresas. É preciso que o fidelizado tenha ciência de tudo que é feito com o dado dele”, completou.
É importante que os lojistas de tintas considerem que não somente o vazamento de dados é passível de sanção, mas também o descumprimento de obrigações previstas na LGPD. “Avaliar as circunstâncias do vazamento, os dados pessoais e informações envolvidos, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados, as possíveis consequências e efeitos negativos sobre os titulares dos dados afetados. Em casos de risco e dano grave deve-se comunicar a ANPD e os titulares. Este trabalho deve ser realizado em conjunto TI, jurídico e marketing, para os casos de comunicação aos titulares”, disse Luíza Patusco.
De acordo com ela, através da implementação de programa de governança em privacidade as empresas podem se proteger do uso indevido de dados. “Um projeto de adequação varia de acordo com o volume dados que a empresa trata, sendo importante observar o modelo de negócios, o porte, a atividade principal, a definição de prioridades, alocação de recursos humanos e financeiros, integração com práticas existentes. Não há uma regra para forma de implementação, varia de acordo com cada empresa, mas possui etapas básicas: Conscientização, mapeamento, criação de políticas e procedimentos específicos, revisão de documentos, monitoramento contínuo e começa-se com um projeto de adequação e ele se transforma em um programa de governança de dados”, finalizou.
2021-08-04