As empresas do setor da construção devem tomar uma série de providências para não sofrerem as pesadas sanções decorrentes de vazamento de dados pessoais em seu poder. As sanções, que podem chegar a multas de até R$ 50 milhões por infração, além da publicidade das mesmas, estão prevista na Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto.
Esta foi uma das principais mensagens da apresentação feita pelas advogadas Natália Brotto e Vanessa Pareja Lerner a um público de cem pessoas, em 3 de março, no SindusCon-SP. O evento, foi aberto e encerrado pelo coordenador do Conselho Jurídico do SindusCon-SP, Marcos Minichillo de Araujo.
A regularização e a proteção de informações pessoais precisam abranger cuidados com dados pessoais de colaboradores próprios e de todas as empresas subcontratadas (empreiteiros, projetistas, consultores, advogados, contadores etc.), com a comprovação da adoção de providências para que tais informações não vazem, recomendaram Natália e Vanessa.
As advogadas preconizaram uma série de medidas para as empresas do setor da construção, como:
Mailing comprado
Outras providências se fazem necessárias. Práticas usuais, como a utilização de dados de mailings comprados sem o consentimento dos titulares dos mesmos, serão manifestamente ilegais. As empresas precisarão se estruturar para atender as exigências da legislação, envolvendo as áreas de Marketing, RH, Tecnologia da Informação e Comunicação, e Jurídico.
A lei obriga a instituição de um Encarregado da Proteção de Dados (DPO), que deverá aceitar reclamações e comunicações dos titulares, receber comunicações da Autoridade Nacional de Proteção de Dados (a ser criada), adotar providências, orientar os funcionários e os contratados, e liderar o programa de conformidade com a LGPD.
As advogadas sugeriram um roteiro para as empresas iniciarem o mapeamento dos dados e a análise de risco em face das novas exigências legais. Devem definir quais os dados estritamente necessários que necessitam de seus clientes, colaboradores e de terceiros; quem na empresa deve acessá-los e por quais motivos; quais recursos tecnológicos serão utilizados para o acesso e o armazenamento dos dados; elencar as bases legais para o tratamento das informações; definir as políticas internas; rever os contratos com os parceiros, introduzindo cláusulas sobre os dados em posse dos mesmos; instituir uma infraestrutura segura e adequada; e estabelecer um procedimento de comunicação com os titulares dos dados, em caso de vazamento ou perda dos mesmos.
Outras providências consistem em confirmação da existência e acesso aos dados coletados; correção de dados incompletos; evitar ao máximo informações que possibilitem a identificação dos titulares (anonimização); bloquear o acesso e eliminar dados desnecessários; informar aos titulares sobre as entidades públicas e privadas com as quais os dados foram comartilhados; informar aos titulares que podem não dar consentimento e as eventuais consequências dessa negativas; e aceitar as revogações de consentimentos.
É preciso ter em conta que dados somente podem ser coletados para finalidade específica, com consentimento que demonstre a efetiva manifestação de vontade do titular. Caso se altere aquela finalidade, é preciso obter novo consentimento, de forma comprovada.
Controladores e operadores
A LGPD faz uma distinção relevante entre controlador (responsável por tomar as decisões referentes ao tratamento de dados pessoais, e pelas operações de tratamento de dados) e o operador (que trata os dados seguindo as ordens do controlador). Este só será responsável se processar dados em desacordo com as instruções do controlador ou para fins adicionais.
As advogadas recomendaram muito cuidado na redação de cláusulas e contratos entre controladores/operadores: o papel de cada agente deve ser limitado (providência relevante especialmente em relação ao compartilhamento de currículos); o operador somente poderá processar os dados na forma indicada pelo controlador; logo, deve estar claro ao operador como deve tratar os dados; cláusulas de indenização e responsabilidade dos agentes também devem ser claras e precisas; e examinar-se a possibilidade de contratação de seguro específico.
Objetivo e abrangência
A LGPD objetiva regular e garantir o controle sobre dados pessoais, de forma a proteger a privacidade e autodeterminação informativa das pessoas físicas titulares dos dados. Aplica-se ao tratamento de dados pessoais de pessoas físicas, em meio físico ou digital, realizado por pessoas físicas ou jurídicas.
Tratamento significa toda e qualquer operação realizada com dados pessoais. Por exemplo, armazenamento de currículos de candidatos a processos seletivos, processamento de informações de alunos, compartilhamento de dados com terceiros, dentre outros.
GTLGPD
No dia 15 de janeiro, o Conselho Jurídico do Sinduscon São Paulo deu início às atividades do Grupo de Trabalho da Lei Geral de Proteção de Dados (GTLGPD) n.13.709/18. O primeiro encontro estabeleceu as principais diretrizes de ações para os próximos encontros, a forma de atuação do grupo e tratou dos principais pontos que serão debatidos.
O grupo ainda pretende elaborar uma cartilha aos associados sobre o tema e, para tanto, os associados poderão enviar seus questionamentos a respeito da Lei de Proteção de Dados pelo e-mail
Introdução ao Relatório Jornal Contábil de Empresas no Brasil O Brasil encerrou 2024 com 21,6 milhões…
A reforma tributária, solução para simplificar a tributação sobre o consumo, apresenta desafios significativos para…
Se você participou de alguma edição do Enem, quer parcelar seus estudos e está tentando…
A inteligência artificial (IA) está transformando diversos setores da economia, e com os escritórios contábeis…
Nesta terça-feira, dia 04 de fevereiro, é uma data dedicada ao Dia Mundial do Câncer.…
A integração de inteligência artificial (IA) avançada, como o Deepseek, está transformando a contabilidade em uma…