Tenho uma empresa de pequeno porte, preciso me adequar à Lei Geral de Proteção de Dados (LGPD)?

Algumas considerações sobre a Resolução CP/ANPD nº. 02, que regulamentou à aplicação da LGPD aos agentes de tratamento de pequeno porte.

Toda vez que o assunto Lei Geral de Proteção de Dados (LGPD) é tratado, uma das primeiras perguntas que é feita é sobre a aplicabilidade da lei (Lei nº. 13.709/18) às microempresas e empresas de pequeno porte.

Por diversas vezes nós já tratamos sobre esse assunto, e reforçamos a importância de que todas as empresas façam as adequações necessárias (Verifique nosso texto: https://vaneskadonato.adv.br/11-questoes-sobre-lei-geral-de-protecao-de-dados-que-vao-te-ajudar-a-comecar-a-adequar-a-sua-empresa/).

Agora, contudo, temos novidades, já que a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela edição de normas e orientações para as empresas, publicou, em 26 de janeiro do presente ano, a Resolução CP/ANPD nº. 02, trazendo procedimentos simplificado para os chamados agentes de tratamento de dados de pequeno porte.

Uma resolução semelhante já era há muito esperada, mas decepcionou quem esperava por grandes mudanças.

Para que você entenda exatamente tudo que mudou, o texto de hoje aborda as empresas que estão abrangidas pela Resolução, o que é tratamento de alto risco (capaz de afastar as benesses da lei), e, finalmente, quais são, afinal, os benefícios trazidos pela referida Resolução da ANPD.

Então, não deixe de acompanhar esse texto até o final.

1. Agentes de tratamento de pequeno porte para fins de LGPD.

A lei não fala em micro e pequenas empresas, mas sim em agentes de tratamento de dados de pequeno porte. Justamente por isso, é importante tecermos algumas linhas sobre esse assunto para podermos entender o conceito legal.

Vamos lá?

As microempresas e empresas de pequeno porte são consideradas agentes de tratamento de dados de pequeno porte, havendo inclusão expressa das sociedades simples, sociedades limitadas unipessoais e microempreendedores individuais (MEI).

Da mesma forma, foram incluídas as startups, desde que se enquadrem na definição do Marco Legal das Startups (Lei Complementar nº. 182, de 1º de junho de 2021), ou seja, organizações empresariais ou societárias, nascentes ou em operação recente (menos de 10 anos), cuja atuação caracteriza-se pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados e que tiveram receita bruta máxima anual de até R$ 16.000.000,00 (dezesseis milhões de reais) no ano calendário anterior.

Nós já falamos sobre o Marco Legal das Startups e o conceito por ele trazido em outro texto, então, não deixe de conferir (https://vaneskadonato.adv.br/4-criterios-que-voce-tem-que-conhecer-sobre-o-conceito-de-startup-de-acordo-com-o-marco-legal-das-startups/).

Além disso, a Resolução inclui pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como com pessoas naturais e entes privados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.

Até aqui está fácil de compreender, não é?

A questão é que a Resolução trouxe um outro conceito, que é o tratamento de dados pessoais de alto risco. Se as empresas supramencionadas efetivarem tratamento que se enquadra dentro deste conceito, elas não poderão se beneficiar dos benefícios trazidos pela Resolução em análise.

Então, precisamos saber com exatidão o que é tratamento de alto risco.

2. O tratamento de dados pessoais de alto risco de acordo com a LGPD e a Resolução CP/ANPD nº. 02.

O tratamento de dados pessoais será considerado de alto risco sempre que apresentar pelo menos um dos critérios gerais e um dos específicos, cumulativamente (art. 4º da Resolução).

E quais são esses critérios gerais (constantes do inciso I, do art. 4º)?

São dois:

Tratamento de dados pessoais em larga escala, que pode ser considerado quando o tratamento de dados pessoais abranger número significativo de titulares, considerando o volume de dados envolvidos, a duração, a frequência e a extensão geográfica do tratamento realizado.

E o que seria esse “número significativo de titulares”?

A lei não trouxe um parâmetro objetivo, de modo que apenas a aplicação na prática vai nos demonstrar o que é, de fato, larga escala.

Na dúvida, é interessante que você não pressuponha o enquadramento da sua empresa como agente de tratamento de pequeno porte e faça a adequação dentro dos parâmetros normais trazidos pela Lei Geral de Proteção de Dados.

Tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares.

Neste caso, estamos diante de situações em que a atividade de tratamento pode impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

Uma startup que possui robôs que fazem leitura facial, por exemplo, não poderia, a partir deste critério, se enquadrar como agente de tratamento de pequeno porte dado o grande potencial de afetar significativamente direitos fundamentais dos titulares.

Esses dois são, portanto, os dois critérios gerais.

Além desses, é necessário que se verifique pelo menos um dos critérios específicos (constantes do inciso II, do mesmo art. 4º da Resolução), que são:

1. Uso de tecnologias emergentes ou inovadoras;

2. Vigilância ou controle de zonas acessíveis ao público, que são “espaços abertos ao público, como praças, centros comerciais, vias públicas, estações de ônibus, de metrô e de trem, aeroportos, portos, bibliotecas públicas, dentre outros” (inc. IV, do art. 2º, da Resolução).

3. Decisões exclusivamente automatizadas, inclusive aquelas que definem um perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou

4. Uso de dados pessoais sensíveis ou de crianças, de adolescentes e de idosos.

Dessa forma, se a sua empresa fizer o chamado tratamento de dados de alto risco, as benesses trazidas pela nova Resolução não se aplicam ao seu negócio.

Como a definição do que é alto risco não é tão simples, a lei prevê que a ANPD poderá disponibilizar guias e orientações com o objetivo de auxiliar os agentes na avaliação desse tratamento.

Agora, finalmente, se você passou no teste do tratamento de alto risco com tranquilidade, vamos entender quais são os benefícios trazidos pela Resolução para os agentes de tratamento de dados de pequeno porte.

3. Benefícios trazidos pela Resolução CP/ANPD nº. 02 para os agentes de tratamento de dados de pequeno porte.

O primeiro benefício trazido pela Resolução CP/ANPD é a possibilidade de elaborar um Registro das Atividades de Tratamento de forma simplificada (art. 37, da Lei Geral de Proteção de Dados), a partir de um modelo que ainda será elaborado e fornecido pela ANPD (art. 9º da Resolução).

Nesse ponto, é importante entender que a LGPD ainda é muito nova e demandará muita regulamentação da ANPD.

Justamente por isso, a Resolução sob análise ainda tem muitos conceitos abertos e se encontra na dependência de legislação suplementar, o que deverá acontecer nos próximos meses.

O segundo benefício constante da Resolução é a flexibilização ou procedimento simplificado de comunicação de incidente de segurança, o que também carece de regulamentação específica (art. 10º da Resolução).

O terceiro benefício é a extensão dos prazos para algumas situações. A Resolução, inclusive, apresenta um capítulo específico sobre esse assunto, denominado “Dos Prazos Diferenciados” (artigos 14 e 15 da legislação em comento).

O prazo será em dobro para o atendimento das solicitações dos titulares referentes ao tratamento de seus dados pessoais, conforme previsto no art. 18, §§ 3º e 5º, da LGPD, nos termos de regulamentação específica.

Também será em dobro na comunicação à ANPD e ao titular da ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, “exceto quando houver potencial comprometimento à integridade física ou moral dos titulares ou à segurança nacional, devendo, nesses casos, a comunicação atender aos prazos conferidos aos demais agentes de tratamento” (inciso II, do art.14).

Igualmente em dobro será o prazo no fornecimento de declaração clara e completa (art. 19, II, da LGPD) e em relação aos prazos estabelecidos nos normativos próprios e que se refiram à apresentação de informações, documentos, relatórios e registros solicitados pela ANPD e outros agentes de tratamento.

Da mesma forma, está previsto o prazo de 15 (quinze) dias, contados da data do requerimento do titular, para fornecer a declaração simplificada de que trata o art. 19, I, da LGPD, contados da data do requerimento do titular.

A despeito dos prazos estendidos constantes da Resolução, é importante destacar, contudo, que os prazos originais trazidos pela LGPD são bastante exíguos, de modo que, mesmo em dobro, ainda estamos diante de prazos muito curtos. As empresas que mantiverem monitoramento de dados deficiente ou desorganizado não terão condições de manter os prazos estabelecidos em lei.

O quarto benefício trazido pela Resolução é a possibilidade de estabelecer uma política simplificada de segurança da informação (art. 13º). Esse benefício, na verdade, integra o capítulo da segurança e boas práticas, e visa destacar que os agentes de tratamento de pequeno porte devem sempre adotar medidas administrativas e técnicas essenciais e necessárias, com base em requisitos mínimos de segurança.

E o que seriam esses requisitos mínimos? Podemos mencionar, a título exemplificativo, a aquisição de programas de computador originais, o controle de senhas, a restrição de acesso ao bando de dados, a separação entre senhas de Wi-Fi para empregados e colaboradores e visitante, além da manutenção de antivírus sempre atualizados, além de outras medidas que forem aconselhadas pelo técnico de TI que presta serviço para a sua empresa.

Finalmente, o quinto e mais esperado benefício que consta da Resolução é a possibilidade de os agentes não indicarem um encarregado de dados, isto é, o tão aclamado DPO (Data Protection Officer).

O DPO, ou encarregado de dados, é o profissional que será responsável pelo relacionamento da sua empresa com todas as partes interessadas no tratamento de dados, isto é, colaboradores, titulares dos dados, sociedade, fornecedores e ANPD.

O encarregado é, assim, uma pessoa física que o controlador (aquele que coleta as informações e define como será o tratamento de dados) irá indicar como canal de comunicação com as autoridades. Para saber mais sobre esse assunto, não deixe de verificar um outro texto aqui do Blog, em que tratamos sobre esse assunto com mais profundidade (https://vaneskadonato.adv.br/11-questoes-sobre-lei-geral-de-protecao-de-dados-que-vao-te-ajudar-a-comecar-a-adequar-a-sua-empresa/).

Se a sua empresa optar por não ter um profissional com essa designação, será necessário disponibilizar um canal para a comunicação com o titular de dados (art. 11, § 1º, da Resolução).

A lei esclarece, ainda, que, se mesmo sendo um agente de pequeno porte, a sua empresa decidir nomear um DPO, isso será considerado como uma política de boas práticas e governança (art. 11, § 2º, da Resolução).

Todas as demais disposições da LGPD continuam sendo aplicáveis a empresas de todos os portes sem qualquer tipo de alteração, e é por isso que o art. 6º da Resolução possui a seguinte redação:

“A dispensa ou flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais bem como direitos dos titulares”.

Por isso, não negligencie a aplicação da LGPD na sua empresa e tome medidas efetivas para a adequação!

4. A organização dos agentes de tratamento de dados de pequeno porte em entidades de representação.

A Resolução também traz uma novidade em seu art. 8º, que abrange também os agentes de pequeno porte que fazem tratamento de alto risco.

É a possibilidade de se organizarem por meio de entidades de representação da atividade empresarial para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

A lei faculta a possibilidade de que a referida organização seja feita tanto por pessoas jurídicas ou por pessoas naturais, podendo ser, de fato, um mecanismo interessante para alguns modelos de negócio, especialmente para evitar uma judicialização excessiva dos conflitos que podem advir da aplicação da lei.

5.Como a Resolução CP/ANPD nº. 02 impacta o seu negócio e a sua adequação à LGPD.

Havia uma grande expectativa para uma Resolução que minimizasse muito os efeitos da LGPD para as pequenas empresas, mas essa expectativa não se concretizou.

A Resolução não apenas deixou de trazer as mudanças esperadas pela maioria, como ainda trouxe novos conceitos que vão depender de análise mais aprofundada dos aplicadores da lei.

A realidade é que todas as empresas continuam necessitando tomar cautelas para adequação, sendo necessária a contratação de uma assessoria jurídica especializada para que não haja violações à norma e as consequências dela decorrentes, como multas, indenizações e abalo da reputação.

As informações sobre os dados pessoais, devidamente organizadas em um projeto de adequação, serão essenciais em procedimentos iniciados pela ANPD em caso de incidentes de vazamento de dados.

Ademais, como mencionamos acima, os prazos, mesmo dobrados, continuam bastante reduzidos, o que significa que se a sua empresa tiver um monitoramento de dados muito deficitário, não será possível cumprir os prazos legais.

Agora que você acompanhou o texto até o final, teve a oportunidade de aprender várias coisas, como o que são os agentes de tratamento de dados pessoais de pequeno porte, o que é tratamento de dados de alto risco, quais são os benefícios trazidos pela Resolução CP/ANPD nº. 02 e a possibilidade de organização dos agentes em entidades de representação de atividade empresarial para fins de negociação, mediação e conciliação de reclamações.

Considerando tudo que você conseguiu compreender, a sua percepção é de que a Resolução ajudou na adequação da sua empresa? Me conta aqui nos comentários.

11 questões sobre Lei Geral de Proteção de Dados que vão te ajudar a começar a adequar a sua empresa!

No post anterior aqui do blog (https://vaneskadonato.adv.br/quais-sao-os-impactos-da-lei-geral-de-protecao-de-dados-lgpd-sobre-o-marketing-do-seu-negocio/), nós falamos sobre como a Lei Geral de Proteção de Dados pode impactar o marketing da sua empresa.

Esse post acabou gerando uma série de outras perguntas sobre a adequação das empresas à LGPD no que tange aos mais diversos aspectos, e como dar início nesse processo de adequação, especialmente quando se trata de empresas de pequeno porte, e que não possuem um capital expressivo para investir nesse processo.

Com isso, preparamos o texto de hoje para abordar, de forma bastante assertiva, como você pode começar a adequar a sua empresa da melhor maneira possível.

Não deixe de acompanhar até o final.

1. Qualquer empresa, de qualquer porte, deve se adequar à Lei Geral de Proteção de Dados?

Essa é a pergunta mais recorrente no que tange à adequação das empresas à Lei Geral de Proteção de Dados: meu negócio é classificado como microempresa. Tenho mesmo que me preocupar?

A resposta é sim!

A LGPD não fez diferença entre os portes das empresas, então a lei se aplica a todas elas, e, da mesma forma, às pessoas físicas que eventualmente façam tratamento de dados.

É possível que surjam alterações da norma para minimizar os rigores da lei em relação a pequenas empresas, o que não significa, entretanto, que deixará de ser aplicada no que tange a elas.

Assim, não perca tempo e comece a estudar sobre esse assunto para se planejar!

2. Todas as empresas fazem tratamento de dados?

A resposta também é positiva.

Os dados pessoais mencionados pela LGPD são informações de clientes que são fornecidos à empresa em algum momento, seja para solicitar uma informação, um orçamento ou mesmo para firmar um contrato para venda de um produto ou serviço.

O tratamento de dados é a forma como esses dados são utilizados, e abrange a coleta, arquivamento, utilização para fins de marketing e qualquer outro tipo de ação.

Dessa forma, não existe atividade empresarial sem o tratamento de dados pessoais e todas as empresas terão que adotar medidas adequadas, inclusive administrativas e técnicas, como segurança da informação, para possibilitar que dados de terceiro permaneçam em segurança.

3. Quais são os dados protegidos pela LGPD?

Todos aqueles que identifiquem seu usuário, pessoa física, de forma direta ou indireta.

A título de exemplo, são dados pessoais o número da Cédula de Identidade RG, o número da Inscrição no CPF, endereço, renda, hábitos de consumo, navegação na Internet, entre outros.

Dentre os dados pessoais há uma esfera mais restrita ocupada pelos dados sensíveis, que se referem à origem racial ou étnica, convicções religiosas, saúde, entre outros aspectos de ordem íntima do titular. Esses dados exigem ainda mais cuidado para armazenamento, e consentimento específico para que possam ser tratados pela sua empresa, a menos que sejam destinados ao cumprimento de obrigações legais, políticas públicas, estudos de órgãos de pesquisa, direitos específicos, proteção da vida ou integridade física, e para prevenir eventuais fraudes contra seu titular.

Os dados não abrangidos pela LGPD são os dados anonimizados, e que, justamente por isso, não identificam o seu titular. A Lei Geral de Proteção de Dados define que só serão considerados anonimizados aqueles dados cuja pessoa que era titular não pode mais ser identificada de forma alguma. O Google, por exemplo, afirma utilizar dados dessa forma em análises para desenvolver novos produtos e recursos.

Além disso, os dados públicos (disponíveis em órgãos públicos e de acesso generalizado) podem ser utilizados sem o consentimento do titular. A par desse fato, caso esses dados sejam coletados pela sua empresa, e você queira compartilhá-los de algum modo, deverá solicitar consentimento específico para que isso possa ser realizado.

4. O que significa o acesso facilitado a dados garantido aos seus titulares?

De acordo com as normas trazidas pela Lei Geral de Proteção de Dados, os usuários devem ter acesso facilitado às informações de bancos de dados mantidos pelas empresas.

Eles têm direito a saber quais dados estão armazenados, e a solicitar ajustes ou mesmo remoção de informações, sempre que julgarem necessário. Isso quer dizer que se um usuário ou cliente forneceu dados pessoais para a sua empresa, ele tem o direito de solicitar a remoção dessas informações. A remoção pode ser completa ou parcial.

Para evitar qualquer tipo de problema no que tange a essa questão, é importante que a sua empresa esteja preparada para atender esse tipo de solicitação de maneira rápida e efetiva. É essencial contar com canais de comunicação adequados e que sejam eficientes no atendimento do público.

Também é importante investir em políticas internas para conscientização da sua equipe, inclusive os colaboradores que possuem acesso às informações de terceiros. Além de criar um documento específico para esse assunto, é importante fornecer treinamento prático para que todos saibam fazer o atendimento correto desse tipo de solicitação. O equívoco por parte de qualquer um deles sujeitará a sua empresa a multas e ao abalo reputacional.

5. Minha empresa não tem site. Preciso me adequar à Lei Geral de Proteção de Dados?

Sim!

A LGPD não é específica para negócios online, ao contrário do que muita gente acredita.

A coleta de dados pode ser por meio de acesso ao site da Internet e a aplicativos para celular, mas também pode ser feita mediante preenchimento de formulário em papel, o que normalmente acontece em consultórios médicos, clínicas veterinárias e hospitais, por exemplo.

Se o seu negócio ainda não é digital, você precisará preparar termos de consentimento e outros documentos impressos para que os seus clientes possam assinar.

6. O que é mapeamento de dados, de acordo com as disposições da Lei Geral de Proteção de Dados?

Normalmente, o trabalho que uma assessoria jurídica faz com relação à adequação de uma cliente à LGPD começa com um mapeamento de circulação dos dados dentro da empresa, com escopo de entender o ciclo de vida, isto é: como eles entram na empresa, para que são utilizados e quando são descartados.

Dessa análise decorre uma planilha de mapeamento de dados, que deve refletir o caminho percorrido pelo dado pessoal dentro da empresa, incluindo os processos e os procedimentos pelos quais o dado deve passar.

Um dos principais objetivos do mapeamento de dados é diagnosticar a forma como a sua empresa lida com a privacidade e a segurança da informação de seus clientes, colaboradores e parceiros terceirizados. Com isso é possível identificar as falhas e propor algumas soluções.

Normalmente, constam do mapeamento de dados as seguintes informações: tipo de dados, volume de dados, etapas do fluxo de dados, tecnologias utilizadas, locais de armazenamento, origem dos dados e canais de captura de dados (site, aplicativo, estabelecimento físico, SAC, etc), exercício de direito por parte dos titulares, controles de segurança da informação, retenção e extinção de dados, política de privacidade, base legal, transferência internacional de dados, empresas coligadas, compartilhamento de dados com parceiros e campanhas de marketing.

Do ponto de vista prático, o que ocorre é que o advogado apresenta uma planilha a ser preenchida pela empresa e tece as suas orientações a partir dessas informações. É muito importante que o próprio empresário preencha as suas informações, uma vez que ele é a pessoa que conhece com maior profundidade o seu próprio negócio. Ao advogado cabe a interpretação jurídica dessas informações.

A assessoria jurídica também fornecerá uma orientação quando aos dados que devem ser coletados e mantidos pela sua empresa. Quando definir ações para captar novos contatos ou obter informações específicas sobre o público, é importante focar no que realmente importa para que a sua comunicação seja efetiva. Manter dados desnecessários representa um risco a ser evitado pela empresa.

Além disso, quando solicitar os dados, é importante explicar quais serão as ações realizadas e porque esses dados estão sendo coletados. Jamais utilize dados para marketing se você não avisou o cliente ou usuário sobre essa destinação.

A permissão pode ser solicitada por meio de processos de opt-in ou então de dupla confirmação (double opt-in). Em linhas bem gerais, o opt-in é um processo de permissão simples, que é ofertado quando o usuário preenche um formulário. Já no caso da dupla confirmação, ao se cadastrar em formulários, landing pages ou pop-ups, o usuário terá que autorizar o recebimento de suas comunicações novamente. Esse tipo de confirmação é realizado a partir de um envio de e-mail para o usuário.

7. Mapeamento de dados e mapa do impacto de risco são a mesma coisa?

Não!

Mapeamento de dados, como vimos no item acima, é o mapeamento do fluxo de dados pessoais dentro de uma empresa. O mapa do impacto de risco é mais profundo.

Entendido o caminho pelo qual os dados “caminham” dentro da empresa, a adequação à Lei Geral de Proteção de Dados exige a elaboração de um mapa de impacto de risco de proteção de dados, o qual será elaborado pela assessoria jurídica contratada para esse fim específico.

Com efeito, todas as áreas de uma empresa têm acesso a dados pessoais, de modo que é necessário fazer esse mapa para avaliar os quesitos que precisam ser alterados em cada área específica, e passar ao plano de ação.

Se a sua empresa é de pequeno porte, esse procedimento será realizado de forma simplificada, a partir de um relatório sucinto que lhe será apresentado pelo advogado, antes que ele inicie as correções que precisam ser aplicadas à sua empresa.

8. Por que é necessário fazer treinamentos com a equipe para proceder à adequação à Lei Geral de Proteção de Dados?

É muito importante entender que a adequação à LGPD depende de mudança de hábitos internos da empresa.

Não adianta alterar o que está em desacordo com a LGPD e não mudar a cultura da empresa! Se não houver a instrução sobre os novos parâmetros, a lei será constantemente violada na sua empresa. Por exemplo, muito pouca relevância tem você criar um termo de uso e política de privacidade se os seus empregados não solicitam a sua assinatura por clientes e usuários. Também não há proveito em alterar os modelos de contrato se os seus colaboradores frequentemente assinam outros tipos de instrumento sem a devida análise, e assim sucessivamente.

Pense em investir seu tempo em treinar seu pessoal para boas práticas no que tange ao tratamento dos dados pessoais. Todos precisam entender a importância da adequação e as consequências de não atuar em sua conformidade.

9. É realmente necessário ter um DPO – Data Protection Officer – em minha empresa?

Sim!

A lei exige que haja um encarregado de dados ou DPO (Data Protection Officer) na sua empresa, ou seja, o profissional que será responsável pelo seu relacionamento com todas as partes interessadas no tratamento de dados, isto é, colaboradores, titulares dos dados, sociedade, fornecedores e ANPD.

O encarregado é, assim, uma pessoa física que o controlador (aquele que coleta as informações e define como será o tratamento de dados) irá indicar como canal de comunicação com as autoridades.

O DPO deve entender de tecnologia, mas também de leis e comunicação. Da mesma forma, deve estabelecer um bom diálogo com todos que de algum modo participam da empresa, e estar preparado para fornecer treinamentos e orientações sempre que necessário.

Há várias formas de manter um encarregado de dados na sua empresa.

Uma delas é eleger alguém que já trabalha com você, e tenha interesse de estudar sobre esse assunto, e, de preferência, fazer cursos de qualificação. Outra maneira, que tem sido a opção de muitos empresários, é contratar um DPO externo. Esse DPO não precisa trabalhar de maneira exclusiva para a sua empresa, o que reduz significativamente os custos a serem suportados a esse título.

Importante destacar, igualmente, que o encarregado de dados não precisa ter formação jurídica, e nem precisa ter qualquer tipo de curso específico para poder atuar na área. Basta que tenha interesse e dedicação ao tema.

10. O procedimento de adequação à LGPD é padronizado para todas as empresas?

Não!

A adequação da sua empresa deve levar em consideração também o seu modelo de negócio.

Têm empresas prestando atenção e destinando recursos para quesitos que não são essenciais para elas nesse primeiro momento. O ideal é seguir as prioridades de cada uma.

Da mesma forma, o termo de uso e política de privacidade a ser redigido para a sua empresa será personalizado de acordo com a atividade por ela desenvolvida. Esse termo é o documento com o qual os usuários devem concordar para que você possa fazer o tratamento de seus dados pessoais. Igualmente se procede com relação à política de compliance, com os contratos (inclusive os de trabalho) e demais documentos que a sua empresa precisar.

11. Quais as consequências de não promover a adequação da minha empresa à LGPD?

Nos termos da Lei Geral de Proteção de Dados, a não observância das normas pode levar a multas de até 2% (dois por cento) do faturamento, com o limite de R$ 50 milhões por infração.

A fiscalização da Lei é competência da ANPD (Agência Nacional de Proteção de Dados), assim como também lhe compete orientar como será feita a aplicação da lei. Isso não significa, porém, que apenas a ANPD pode fazer essa fiscalização. Ela também pode ser realizada pelo Poder Judiciário de forma geral, bem como por órgãos de proteção de direitos do consumidor e pelo Ministério Público.

A imposição de pesadas multas já têm sido noticiada frequentemente pelos órgãos de comunicação, mas, ainda mais importante do que evitar multas, é primordial afastar o abalo de reputação que a sua empresa pode sofrer se for reconhecida pelo mercado como uma empresa que não respeita a privacidade de dados. Você não vai querer que isso aconteça com a sua empresa, correto?

Agora que você leu a resposta para as 11 principais perguntas relacionadas com a proteção de dados pessoais, me conta: como você está planejando iniciar a adequação da sua empresa à LGPD? Você já tomou alguma providência nesse sentido?

Quais são os impactos da Lei Geral de Proteção de Dados (LGPD) sobre o marketing do seu negócio?

Aposto que você já ouviu falar sobre a tal LGPD – Lei Geral de Proteção de Dados, não entendeu muita coisa e chegou à conclusão de que ela não impacta no seu negócio, correto?

Desculpe-me por ser a portadora de más notícias, mas a LGPD pode, sim, mudar a forma como você conduz a sua empresa, e a inobservância da lei pode ter uma série de consequências negativas.

Para você começar a entender esse assunto, e para que não sofra mais com isso, no texto de hoje, eu vou te explicar um dos aspectos mais importantes de influência da LGPD, que é sobre o marketing empresarial.

Então, considerando a importância que o marketing tem para o seu negócio, não deixe de acompanhar esse texto até o final.

1. Afinal, o que é LGPD?

A Lei Geral de Proteção de Dados (LGPD) é uma norma que está em vigor no país desde 18 de setembro de 2018 (Lei nº. 13.709/18) e que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade.

Todas essas ações que podem ser feitas com os dados pessoais são chamadas pela lei de tratamento de dados.

Esses dados pessoais podem ser tanto de clientes do seu negócio, como também de todos os possíveis usuários do site da sua empresa.

A LGPD abrange também os dados dos seus empregados, colaboradores, sócios, acionistas e prestadores de serviço.

E o que seriam esses dados pessoais?

Dados pessoais, de acordo com os termos da lei, são todas as informações pessoais de uma pessoa física que são fornecidas à sua empresa em um determinado momento e que permitem que o indivíduo seja identificado de forma direta ou indireta.

Os exemplos de dados pessoais mais comuns são: RG, CPF, data e local de nascimento, endereço, localização via GPS, IP do computador, além de hábitos de consumo, hábitos de navegação de internet, entre outros.

Quando você utiliza ou armazena esses dados, a LGPD entende que você está fazendo o tratamento de dados, o que pode acontecer tanto para fazer um cadastro de clientes, quanto para organizar a forma de direcionamento do marketing do seu negócio.

De acordo com a Lei Geral de Proteção de Dados, os usuários devem ter acesso facilitado às informações de bancos de dados, tanto para que possam verificar o que consta armazenado, como também para solicitar a modificação de dados, sua restrição, ou mesmo sua retirada, sempre que julgarem necessário.

Quem violar as disposições da Lei pode ser multado em até 2% do faturamento (até o limite de R$ 50.000.000,00), além de sofrer o bloqueio ou eliminação dos dados pessoais a que se refere a infração.

Também consta na lista de penalidades a possibilidade de publicação da violação na mídia, após devidamente apurada e confirmada a sua ocorrência. Esse fato poderá ter um forte impacto sobre a reputação da empresa, fazendo com que perca credibilidade e com que seja conhecida no mercado como uma corporação que não respeita os dados pessoais de seus clientes.

2. Quem confere se você está cumprindo a Lei Geral de Proteção de Dados?

A LGPD determinou a criação de uma Autoridade Específica para essa finalidade – a ANPD: Autoridade Nacional de Proteção de Dados.

É de competência da ANPD: atentar para a proteção de dados pessoais, definir procedimentos necessários para a manutenção da Política Nacional de Proteção de Dados Pessoais e Privacidade e aplicar sanções em caso de irregularidades no tratamento de dados.

Seu papel também é educativo, pois ela deverá orientar sobre como será feita a aplicação da LGPD.

Sua atuação iniciou-se a partir de 1º de agosto de 2021, mas não é apenas a ANPD que tem competência para verificar o cumprimento da Lei.

Na verdade, o Procon, o Ministério Público do Trabalho, todo o Poder Judiciário, e outras organizações de proteção dos direitos dos consumidores também têm o dever e o direito de fiscalizar a devida proteção dos dados pessoais ao receber denúncias.

Não se esqueça, ainda, que as denúncias de violação à LGPD podem ser feitas pela Internet mesmo, em sites que são voltados para que os consumidores façam reclamação sobre as empresas, como o “Reclame Aqui”.

A regulamentação da ANPD, de qualquer forma, representou uma nova fase de aplicação da lei, a partir da qual, espera-se, mais empresas sofram penalidades pelo descumprimento das determinações da lei.

Sendo assim, é incontornável que o seu negócio se adapte às disposições da Lei Geral de Proteção de Dados.

3. Classificação dos dados de acordo com a Lei Geral de Proteção de Dados.

Explicamos linhas acima que dados pessoais, de acordo com a LGPD, são todos aqueles que permitem identificar uma pessoa, de forma direta ou indireta.

Esses dados podem ser classificados em comuns ou sensíveis.

Os dados sensíveis são aqueles que se referem à origem racial ou étnica do indivíduo, ou dizem respeito à sua saúde, à sua vida sexual, às suas convicções religiosas, políticas ou filosóficas, entre outros.

A maior parte das empresas não necessita coletar e armazenar dados sensíveis. Se você, contudo, realmente precisar tratar esses dados, tenha o máximo de cuidado em obter o consentimento específico do titular, esclarecendo exatamente qual é a finalidade do tratamento.

É possível também que você possa utilizar esses dados em caso de obrigações legais, políticas públicas, estudos de órgãos de pesquisa, proteção da vida e/ou integridade física e para prevenir eventuais fraudes contra o titular. Se o seu negócio se enquadrar em algum desses dispositivos, entre em contato com uma assessoria jurídica especializada para que você não corra o risco de incidir nas penalidades legais.

Os dados comuns, a contrario sensu, são todos os demais que não se enquadram na categoria de dados sensíveis.

Há, ainda, os dados comuns que são públicos, ou seja, que estão disponíveis para acesso de qualquer um.

Nesse caso, uma empresa pode tratar dados sem solicitar um novo consentimento do titular. De acordo com a LGPD, eles não podem, contudo, ser compartilhados com outras empresas sem autorização do titular.

Os dados anonimizados, ou seja, aqueles a partir dos quais o titular não pode ser identificado de forma alguma, não são abrangidos pela Lei Geral de Proteção de Dados.

4. Como começar a adaptar a sua estratégia de marketing à LGPD?

4.1. Cadastre apenas o necessário, inclusive nos formulários do seu site.

A primeira preocupação que você deve ter, para estar adequado à LGPD, é cadastrar apenas os dados que são essenciais para o seu negócio. Assim, é necessário um foco no que realmente importa para que a sua comunicação seja efetiva.

Se você está fazendo o cadastramento para o envio de um newsletter, será que você realmente precisa do CPF do usuário? Solicite apenas as informações que são essenciais.

Da mesma forma, em um formulário para receber promoção de produtos, solicite apenas informações que ajudem a entender os interesses do visitante e informe a forma de contato que pretende utilizar para informar as novidades.

Além disso, esteja preparado para explicar a razão pela qual você precisa daqueles dados e quais serão as ações realizadas a partir do momento em que o usuário preencher um formulário da sua empresa, por exemplo.

4.2. Marketing direto e marketing indireto.

O marketing é tradicionalmente dividido entre marketing direto e marketing indireto.

O marketing direto é a técnica de comunicação com o objetivo de atingir o público-alvo diretamente, isto é, pessoas que já tem interesse no seu produto ou serviço. Esse tipo de marketing tem um menor potencial de culminar na violação da LGPD.

O marketing indireto, ao contrário, visa atingir público indeterminado, de maneira aleatória. Algumas ações de publicidade com esse objetivo podem implicar no desrespeito a normas da Lei Geral de Proteção de Dados.

O marketing indireto, com encaminhamento de e-mails sem autorização dos titulares, só é permitido em caso de legítimo interesse de quem está tratando os dados, ou seja, cumprimento de obrigações legais, prevenção de fraudes, pesquisas, entre outras hipóteses previstas pela LGPD.

Para evitar quaisquer problemas, é ideal que, quando você for captar novos contatos a partir das redes sociais ou do seu site na Internet, essa captação já seja feita de maneira adequada à LGPD, com ampla ênfase na obtenção de consentimento.

4.3. Caso faça o rastreamento de visitantes no site, peça permissão.

O site da sua empresa, além de ser um canal importante para a captação de clientes, pode também ser utilizado para entender melhor o comportamento do público.

Em linhas gerais, esse rastreamento possui a finalidade de identificar os interesses do público a partir do tipo de interação que eles fazem com o site.

É importante notar que este rastreamento não está proibido nos termos da LGPD, mas deve ser devidamente informado ao usuário, com a subsequente coleta de permissão para que ele possa acontecer licitamente.

Essa permissão pode ser solicitada assim que o usuário acessar o site, por meio de um pop-up, por exemplo.

Depois que o usuário confirma que os dados de navegação podem ser utilizados, você pode criar ações pontuais e fluxos de automação para manutenção de um relacionamento qualificado com quem está interessado em adquirir produtos ou serviços da sua empresa.

4.4. E-mail marketing.

Apesar de toda a força das redes sociais, o marketing por meio de e-mail ainda é um dos meios mais eficazes de comunicação.

O e-mail marketing é a utilização do e-mail em campanhas de marketing digital, com o objetivo de criar e manter o relacionamento com clientes, gerando melhor resultado de vendas.

A LGPD não proíbe que esse tipo de marketing se desenvolva, mas é necessário que haja um direcionamento específico para o público interessado no conteúdo que você vai disponibilizar.

O primeiro cuidado a ser observado pela sua empresa no que tange a esse ponto é evitar a compra de listas de e-mail. Essa é ainda uma prática muito comum, especialmente por quem busca resultados imediatos, mas vai contra os princípios básicos da Lei Geral de Proteção de Dados, uma vez que nenhum dos titulares dos e-mails listados confirmou interesse em receber o seu conteúdo.

Outro cuidado fundamental é o não compartilhamento de dados. Caso você necessite compartilhar esses dados por algum motivo, é necessário esclarecer essa ocorrência ao usuário e coletar a sua autorização.

Em acréscimo, é uma boa prática fazer uma limpeza na sua base de dados. Com efeito, se você já está no mercado há algum tempo, é possível que algumas pessoas que estão na sua lista tenham deixado de ter interesse pela sua marca ou mesmo que tenham mudado o endereço de seu e-mail, o que inclusive vai prejudicar o desempenho das suas ações de marketing.

Se já não há mais contato ou proximidade, retire o usuário da sua lista de remetentes, fazendo a análise de engajamento do seu público, seja manualmente, ou então por ferramentas de e-mail marketing que disponibilizam relatórios que podem ajudar nesse quesito.

Algumas empresas disponibilizam modelos específicos de e-mail marketing em plataformas automatizadas a partir das quais é possível solicitar aos contatos a revisão de dados que estão contidos na base de clientes. Dada a automatização, o serviço acaba sendo acessível também a pequenas empresas e empreendedores autônomos.

4.5. Da criação de um canal de comunicação.

Para atender plenamente os preceitos da LGPD, é necessário pensar na criação de canais de comunicação para que o titular possa exercer seus direitos.

Isso significa que o empresário, além de se preocupar em pedir a autorização do titular para rever esses dados, ainda precisa desenvolver um meio claro e simples para que os seus contatos possam consultar, revisar ou excluir dados pessoais dos cadastros, ou mesmo revogar o consentimento que tinham ofertado anteriormente.

Conforme vimos ao longo deste texto, a Lei Geral de Proteção de Dados trouxe em seu bojo uma série de alterações legislativas que demandam a alteração nas principais políticas das empresas, especialmente no que tange ao marketing. A relevância de manutenção de um bom canal de comunicação com o cliente é mais importante do que nunca, mas devem ser seguidas algumas regras para que haja a plena observância da LGPD.

Uma política de comunicação transparente tornará possível identificar as pessoas que têm verdadeiro interesse em receber material publicitário da sua empresa, o que significa a economia de recursos financeiros e tempo!

É sempre importante ressaltar, ao final, a importância de que a sua empresa se encontre bem assessorada juridicamente para verificar qual o contexto em que seu negócio se insere e quais as medidas que deverão ser tomadas para que tudo esteja em conformidade com a LGPD.

Agora que você já sabe tudo sobre LGPD e Marketing, me conta aqui nos comentários o que a sua empresa já fez para se adequar à nova lei.

Fale agora com um Advogado