Ninguém discorda que a Lei 13.709/18, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), trouxe impactos significativos ao mundo empresarial.
Como a Lei regulamentou o tratamento de dados pessoais por empresas de pequeno a grande porte e exigiu a implementação de um Programa de Governança em Privacidade, a correria para vender esse serviço fomentou a disseminação de fakes news, infelizmente.
Essas fake news criaram a falsa impressão de que a LGPD é uma vilã das empresas, um empecilho, o que acaba desestimulando ou desencadeando o tratamento inadequado de dados pessoais.
Ao invés de ser vista como estímulo aos cuidados com os dados pessoais e um reflexo positivo no mercado, a LGPD acabou se tornando uma dor de cabeça para os empreendedores desavisados.
Neste artigo, vamos tratar de 3 fake news sobre a LGPD que você precisa saber para não ser pego de surpresa na hora de adequar sua empresa.
1. Sempre devemos excluir os dados quando o titular solicitar.
Um dos direitos do titular dos dados previsto na LGPD é a eliminação dos seus dados pessoais.
Mas isso nem sempre será possível, já que, em muitos casos, a hipótese legal que justifica o tratamento de dados não é o consentimento.
Caso o tratamento de dados esteja sendo feito com base em uma das hipóteses elencadas no artigo 7º da LGPD, que não seja o consentimento, os dados podem ser mantidos mesmo após o fim do contrato com o titular ou mesmo após sua solicitação.
Vale destacar que mesmo que o dado esteja sendo utilizado com base no consentimento, ele poderá ser mantido após o término do tratamento nas seguintes hipóteses:
a) no âmbito e nos limites técnicos das atividades;
b) a fim de serem utilizadas para o cumprimento de obrigação legal ou regulatória pelo controlador;
c) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
d) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD ou;
e) para uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Por exemplo, digamos que um colaborador foi demitido e ele solicita a exclusão de todos os seus dados pessoais no banco de dados da empresa, com base na LGPD.
Essa solicitação pode ser negada, pois há prazos de guarda de documentos trabalhistas, por exemplo: Exames médicos (como admissional, mudança de função e demissional); Dados obtidos, incluindo: avaliação clínica; exames complementares; conclusões e medidas (Segunda a Portaria Portaria MTb nº 3.214/1978 - NR 7 , subitens 7.4.1, 7.4.2, 7.4.5 e 7.4.5.1, com redação da Portaria SSST nº 24/1994, esses documentos podem ser guardados por 20 anos (contados após o desligamento do trabalhador).
Ainda, com base na CF/1988, art. 7º, XXIX, os seguintes documentos podem ser armazenados pela empresa por 5 anos: Acordos de compensação de horas; Acordos de prorrogação de horas; Guias de recolhimento; Recibos de adiantamento de salários; 13º salário; gozo de férias; pagamentos em geral; Requerimento do empregado: da 1ª parcela do 13º salário; do abono pecuniário de férias.
Essas situações demonstram que ser ‘sempre’ uma obrigatoriedade à exclusão de dados pessoais após a solicitação do titular é uma fake news.
2. O colaborador é operador do tratamento
O tratamento de dados pessoais pode ser realizado por dois agentes de tratamento segundo a LGPD: o controlador e o operador.
Temos um artigo aqui que explica com mais detalhes o que são os agentes de tratamento.
É muito importante para qualquer empresa saber qual o seu papel no tratamento de dados pessoais, pois possuem características e responsabilidades diferentes.
Basicamente, o controlador determina as finalidades e os meios de tratamento de dados pessoais e o operador exerce suas atividades de acordo com as diretrizes gerais que são fornecidas pelo controlador.
O operador não lida com os detalhes a respeito dos dados pessoais, já que não é ele quem toma as decisões sobre tais dados.
Agora, imagine a seguinte situação: um grave incidente de segurança acontece por causa de um colaborador seu que deixou seus servidores desprotegidos sem senhas.
Qual será a responsabilidade dele? Sendo a sua empresa a controladora de dados, o seu funcionário deve ser tratado como operador de dados?
Infelizmente, muitos deduziram erroneamente que sim, mas a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) deixou claro em seu guia que "não são considerados controladores ou operadores os indivíduos subordinados, tais como os funcionários, os servidores públicos ou as equipes de trabalho de uma organização, já que atuam sob o poder diretivo do agente de tratamento".
Mais uma fake news que pode causar muita confusão.
Fique atento, você, seja como controlador ou operador dos dados, deverá arcar com as responsabilidades que lhe cabem.
Aliás, vale lembrar que uma das responsabilidades do controlador é treinar seus colaboradores e ter políticas internas claras para questões de LGPD.
3. Se violar a Lei, a multa é de 50 milhões!
Talvez esse terceiro item seja um dos mais disseminados, principalmente quando as sanções entraram em vigor em agosto deste ano.
Acontece que essa multa não será para todos.
A multa prevista na LGPD é de até 2% do faturamento, limitada a 50 milhões por mês. Esse valor milionário é o teto do cálculo do percentual do faturamento.
Por exemplo, uma empresa que faturou 500 mil reais no último ano, excluídos os tributos, poderá ser sancionada em, no máximo, 2% do faturamento, ou seja, 10 mil reais por infração.
Além disso, há sanções que podem ser aplicadas antes, que apenas serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros e critérios da LGPD.
Temos um artigo mais detalhado sobre as sanções aqui.
Por isso, é essencial que sua Startup/Empresa busque uma assessoria jurídica especializada para que não caia em fake news que podem inviabilizar seu produto/serviços.
Por Mariana Mena Barreto