Advogado lei proteção dados

Empresas pequenas, médias e grandes de vendas de produtos ou serviços que utilizem dados de clientes estão sujeitos a Lei Geral de Proteção de Dados

A principal consequência é a exigência de maior transparência em relação ao tratamento de dados, devendo as empresas estar preparadas para fornecer aos titulares informações sobre o tratamento realizado, permitir acesso aos dados e efetuar correções apontadas pelos titulares, bem como excluir tais dados nos casos previstos por lei, inclusive em casos de revogação do consentimento. Adicionalmente, os titulares de dados pessoais passam a ter direito a portabilidade dos dados de um fornecedor para o outro.

As empresas deverão respeitar as hipóteses legais para o tratamento de dados pessoais, dos quais destaca-se a obtenção de consentimento, livre, informado e inequívoco do titular dos dados. Apesar da lei prever a hipótese de tratamento em razão de interesse legítimo do controlador, esse tratamento não poderá prevalecer sobre os direitos e liberdades fundamentais do titular.

A partir da entrada em vigor da lei, as empresas devem tratar somente o mínimo de dados necessários para a realização de suas finalidades, devendo ainda eliminar tais dados após a finalidade para os quais estes foram coletados ter sido concluída, ou caso tais dados deixem de ser necessários ou pertinentes para tal finalidade.

O tratamento dos dados pessoais de crianças passa a exigir o consentimento específico e em destaque de ao menos um dos pais ou responsável legal da criança.

As empresas deverão registrar todas as atividades de tratamento realizadas, incluindo informações relativas ao tipo de dado, o prazo do tratamento e fundamentação para este. Também será necessário elaborar relatórios de impacto à proteção de dados pessoais em relação a tratamentos que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação.

As empresas deverão ainda indicar um Data Protection Officer (oficial de proteção de dado, definido na LGPD como “encarregado”), cuja função será de servir como canal de comunicação entre os titulares dos dados e a empresa, bem como supervisionar e fiscalizar o cumprimento das regras de proteção de dados pessoais.

A transferência internacional de dados pessoais também foi regulamentada, sendo permitida somente em casos específicos dos quais destaca-se a obtenção de consentimento específico do titular, a existência de regras no país ou organização de destino que proporcionem proteção em grã lei ou mediante a comprovação pelo controlador de garantias de cumprimento dos princípios, dos direitos, do titular e do regime de proteção de dados previstos na LGPD, incluindo através de cláusulas-padrão contratuais e normas cooperativas globais.

A segurança dos dados também possui destaque, devendo ser adotados padrões de segurança no processo de tratamento dos dados, bem como práticas de proteção de dados pessoais desde a concepção  dos produtos e serviços até a sua efetiva execução.

Por fim, incidentes de segurança de informação passarão a ter que ser notificados à autoridade ser criada, devendo as empresas ainda notificar tais incidentes aos titulares e ao público, conforme a gravidade da natureza do incidente.

Vale destacar que a Lei prevê sanções administrativas às empresas que descumprirem as disposições da LGPD, dentre as quais multa simples ou diária de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos ou tributos, limitada, no total,a R$ 50.000.000 por infração.

Atenção especial deve ser dada ao programa de fidelidade.

Qualquer que seja o caso, a coleta de dados dos participantes de programas de fidelidade é essencial. Informações mínimas sobre os clientes são necessárias para registro de sua performance no programa e consequente recompensa, conforme as regras aplicáveis. Assim, qualquer empresa que queira instituir um programa de fidelidade, por mais simples que sejam suas características, deverá coletar dados pessoais, o que, por si só, torna estes programas suscetíveis à LGPD.

LGPD e Franquia

Normalmente o franqueador recebe dados pessoais por parte dos franqueados e os armazena em um banco de dados central. O compartilhamento expressivo de dados entre franqueado e franqueador deve ser um ponto de atenção para os players. Nesse sentido, recomenda-se a estruturação de um fluxo de dados entre as partes que garanta uma divisão clara de responsabilidades, inclusive em contrato. A criação de uma política de privacidade que englobe toda a rede de franquias é de fundamental importância para garantir um tratamento uniforme, podendo este documento ser um anexo ao contrato de franquia.

O compartilhamento de dados com parceiros comerciais é ponto relevante para o modelo de franquias. Recomenda-se que tanto franqueador com franqueado tenham a devida diligência para com seus parceiros e realizem revisões e análises periódicas com enfoque em privacidade e proteção de dados pessoais.

A gestão de cada hipótese de tratamento é de fundamental importância na LGPD, e, como cada unidade franqueada opera basicamente da mesma maneira, é possível traçar um plano de tratamento de dados que englobe toda a operação da franquia.

Portanto, franqueadores e franqueados devem contar com seu plano de compliance em proteção de dados, que deve ter como premissa as indicações de boas práticas e governança trazidas pela LGPD.

Neste aspecto, é importante levar em consideração análises de um time de especialistas que possam averiguar aspectos jurídicos e de segurança da informação.