Como a Lei de Proteção de Dados Pessoais afetará a minha pequena empresa?
Publicado em 27 de julho 2018No artigo anterior, tratei sobre os aspectos gerais da Lei de Proteção de Dados Pessoais – PLC 53/2018, aprovada recentemente pelo Legislativo Federal. Apesar da importância dessa atualização normativa, o assunto parece muito distante para os empreendedores, principalmente de pequenas e médias empresas.
Esse “afastamento” do assunto é natural, uma vez que os casos de desvirtuamento da finalidade dos dados pessoais de usuários e clientes geralmente encontra-se atrelado às grandes corporações, que têm tecnologia suficiente para – num cenário que parece futurístico – utilizar da big data e da análise de dados para induzir comportamentos humanos, como comprar um produto específico, votar ou não em determinado candidato ou adotar certos posicionamentos pré-estabelecidos. E isso não é futuro: é a realidade.
Porém, engano de quem acha que a Lei de Proteção de Dados Pessoais afetará somente as grandes empresas de base tecnológica. A norma, em sua essência, atingirá toda e qualquer pessoa – natural ou física, de direito público ou privado – “independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”, que: i) trate dados no Brasil; ii) o tratamento de dados tenha o objetivo de oferecer produtos ou serviços no Brasil, ou, por fim; iii) a coleta de dados tenha sido realizada no Brasil.
Então, saiba que por menor que seja a sua empresa, se ela tratar dados, estará sujeita aos deveres da Lei. E por “tratar” dados, entenda “[…] toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.” (art. 5º, XII).
Ou seja: considerando que é quase impossível qualquer empresa, seja ela MEI, de pequeno, médio ou grande porte, prestar qualquer serviço sem coletar dados pessoais de seus clientes e fornecedores, todas estas estão submetidas às determinações legais.
Dentre as inúmeras obrigações a serem realizadas pelas empresas para se adequarem à LGPD, está a atualização dos documentos empresarias, no intuito de tornar claro ao usuário como os seus dados serão tratados, a quem serão fornecidos, dentre outras funções. Essa atualização tem o intuito de obrigar o proprietário dos dados que forneça o consentimento inequívoco para a utilização de seus dados por terceiros. E por tais documentos, entenda Termos de Uso, Políticas de Privacidade, Contrato de Prestação de Serviços, et al.
Ademais, a própria estruturação das empresas poderá ser afetada, uma vez que as formas de atendimento ao usuário para que este tenha informação sobre o tratamento dos seus dados deverá ser facilitada e estendida, nos termos do art. 8º da LGDP. Com isso, o usuário deverá ter a opção de executar os seguintes comandos de forma simplificada: solicitar o acesso aos dados existentes; a anonimização, bloqueio ou eliminação de dados desnecessários; a portabilidade dos dados para outras empresas, bem como a exclusão total dos dados do sistema.
Em que pese o período de 18 meses concedido pela Lei para que as empresas se adaptem às mudanças, é importante que tais atualizações sejam feitas de forma antecipada e por profissionais especializados, uma vez que as sanções aos transgressores no tratamento de dados são graves, partindo desde multas até à suspensão parcial das atividades empresariais.