Jurídico

Empresas precisam regularizar e proteger informações pessoais

Palestra no SindusCon-SP apontou providências para conformidade com a Lei Geral de Proteção de Dados

Por Rafael Marko 03/03/2020 12:54:35

Vanessa Lerner, Marcos Minichillo e Natália Brotto membros do GT LGPD do Conselho Jurídico do Sinduscon São Paulo

As empresas do setor da construção devem tomar uma série de providências para não sofrerem as pesadas sanções decorrentes de vazamento de dados pessoais em seu poder. As sanções, que podem chegar a multas de até R$ 50 milhões por infração, além da publicidade das mesmas, estão prevista na Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto.

Esta foi uma das principais mensagens da apresentação feita pelas advogadas Natália Brotto e Vanessa Pareja Lerner a um público de cem pessoas, em 3 de março, no SindusCon-SP. O evento, foi aberto e encerrado pelo coordenador do Conselho Jurídico do SindusCon-SP, Marcos Minichillo de Araujo.

A regularização e a proteção de informações pessoais precisam abranger cuidados com dados pessoais de colaboradores próprios e de todas as empresas subcontratadas (empreiteiros, projetistas, consultores, advogados, contadores etc.), com a comprovação da adoção de providências para que tais informações não vazem, recomendaram Natália e Vanessa.

As advogadas preconizaram uma série de medidas para as empresas do setor da construção, como:

  • criar políticas de privacidade específica contendo a finalidade do tratamento dos dados;
  • criar políticas internas de tratamento de dados e sensibilizar a equipe em relação ao tema;
  • processar o mínimo possível de dados, o que inclui analisar a base de dados já existentes;
  • implementar mecanismos de segurança;
  • armazenar dados num formato que seja difícil identificar os indivíduos;
  • melhorar a transparência (informações dos titulares dos dados devem ser claras, precisas e facilmente acessíveis);
  • viabilizar mecanismos para que os titulares controlem e tenha ciência dos dados tratados;
  • buscar e monitorar os procedimentos dos parceiros subcontratados em relação aos dados, para que estejam em conformidade com a lei.

Mailing comprado

Palestrantes apresentam os principais pontos da LGPD

Outras providências se fazem necessárias. Práticas usuais, como a utilização de dados de mailings comprados sem o consentimento dos titulares dos mesmos, serão manifestamente ilegais. As empresas precisarão se estruturar para atender as exigências da legislação, envolvendo as áreas de Marketing, RH, Tecnologia da Informação e Comunicação, e Jurídico.

A lei obriga a instituição de um Encarregado da Proteção de Dados (DPO), que deverá aceitar reclamações e comunicações dos titulares, receber comunicações da Autoridade Nacional de Proteção de Dados (a ser criada),  adotar providências, orientar os funcionários e os contratados, e liderar o programa de conformidade com a LGPD.

As advogadas sugeriram um roteiro para as empresas iniciarem o mapeamento dos dados e a análise de risco em face das novas exigências legais. Devem definir quais os dados estritamente necessários que necessitam de seus clientes, colaboradores e de terceiros; quem na empresa deve acessá-los e por quais motivos; quais recursos tecnológicos serão utilizados para o acesso e o armazenamento dos dados; elencar as bases legais para o tratamento das informações; definir as políticas internas; rever os contratos com os parceiros, introduzindo cláusulas sobre os dados em posse dos mesmos; instituir uma infraestrutura segura e adequada; e estabelecer um procedimento de comunicação com os titulares dos dados, em caso de vazamento ou perda dos mesmos.

Outras providências consistem em confirmação da existência e acesso aos dados coletados; correção de dados incompletos; evitar ao máximo informações que possibilitem a identificação dos titulares (anonimização); bloquear o acesso e eliminar dados desnecessários; informar aos titulares sobre as entidades públicas e privadas com as quais os dados foram comartilhados; informar aos titulares que podem não dar consentimento e as eventuais consequências dessa negativas; e aceitar as revogações de consentimentos.

É preciso ter em conta que dados somente podem ser coletados para finalidade específica, com consentimento que demonstre a efetiva manifestação de vontade do titular. Caso se altere aquela finalidade, é preciso obter novo consentimento, de forma comprovada.

Controladores e operadores

Público participante do evento no Sinduscon São Paulo

A LGPD faz uma distinção relevante entre controlador (responsável por tomar as decisões referentes ao tratamento de dados pessoais, e pelas operações de tratamento de dados) e o operador (que trata os dados seguindo as ordens do controlador). Este só será responsável se processar dados em desacordo com as instruções do controlador ou para fins adicionais.

As advogadas recomendaram muito cuidado na redação de cláusulas e contratos entre controladores/operadores: o papel de cada agente deve ser limitado (providência relevante especialmente em relação ao compartilhamento de currículos); o operador somente poderá processar os dados na forma indicada pelo controlador; logo, deve estar claro ao operador como deve tratar os dados; cláusulas de indenização e responsabilidade dos agentes também devem ser claras e precisas; e examinar-se a possibilidade de contratação de seguro específico.

Objetivo e abrangência

A LGPD objetiva regular e garantir o controle sobre dados pessoais, de forma a proteger a privacidade e autodeterminação informativa das pessoas físicas titulares dos dados. Aplica-se ao tratamento de dados pessoais de pessoas físicas, em meio físico ou digital, realizado por pessoas físicas ou jurídicas.

Tratamento significa toda e qualquer operação realizada com dados pessoais. Por exemplo, armazenamento de currículos de candidatos a processos seletivos, processamento de informações de alunos, compartilhamento de dados com terceiros, dentre outros.

GTLGPD

No dia 15 de janeiro, o Conselho Jurídico do Sinduscon São Paulo deu início às atividades do Grupo de Trabalho da Lei Geral de Proteção de Dados (GTLGPD) n.13.709/18. O primeiro encontro estabeleceu as principais diretrizes de ações para os próximos encontros, a forma de atuação do grupo e tratou dos principais pontos que serão debatidos. O grupo ainda pretende elaborar uma cartilha aos associados sobre o tema e, para tanto, os associados poderão enviar seus questionamentos a respeito da Lei de Proteção de Dados pelo e-mail juridico@sindusconsp.com.br.

 









Horário de atendimento

seg-qui 08h00 às 18h00

sex 08h00 às 12h00

Rua Drº Bacelar, 1.043 | 5º andar

Vila Clementino,

São Paulo-SP,

04026-002

Tel (11) 3334-5600

sindusconsp@sindusconsp.com.br



Horário de atendimento

seg-qui 08h00 às 18h00

sex 08h00 às 12h00

Rua Drº Bacelar, 1.043 | 5º andar

Vila Clementino,

São Paulo-SP,

04026-002

Tel (11) 3334-5600

sindusconsp@sindusconsp.com.br