Este artigo tem por objetivo ampliar o grau de conhecimento das empresas, em especial as de mineração, quanto à nova regulamentação trazida pela LGPD, bem como quanto à importância e à necessidade de urgente adequação das empresas aos dispositivos e requisitos legais nela previstos.
Certamente você já ouviu falar da Lei Geral de Proteção de Dados Pessoais (LGPD), a Lei 13.709/2018, que é um dos assuntos mais discutidos nos últimos tempos, despertando a curiosidade de muitos e levantando a uma série de questões técnicas e jurídicas, no que diz respeito ao tratamento de dados pessoais coletados e veiculados de diversas formas no dia a dia.
Desta forma, importa de início esclarecer, o conceito de dado pessoal que, segundo a própria LGPD, é a informação relacionada à pessoa natural identificada ou identificável, ou seja, um conceito amplo e aberto, pois qualquer dado, isoladamente (dado pessoal direto) ou agregado a outro (dado pessoal indireto), que possa permitir a identificação de uma pessoa natural, pode ser considerado como dado pessoal. Como exemplos, poderíamos citar a data de nascimento, profissão, nacionalidade, entre outros.
Assim como o conceito amplo a respeito dos dados pessoais, a LGPD apresenta um conceito aberto e um rol exemplificativo das ações que são consideradas como tratamento de dados pessoais, qual seja toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Trazendo o tema para o setor mineral, área de atuação especializada pela FFA LEGAL LTDA., urge a necessidade de apresentarmos, de forma simples e objetiva, as principais informações sobre a nova Lei Geral de Proteção de Dados Pessoais de maneira que as empresas, inclusive as de mineração, possam avaliar os futuros riscos quanto à forma de atuação e então implementar as MUDANÇAS E ADEQUAÇÕES NECESSÁRIAS, as quais deverão ocorrer ANTES DE AGOSTO DE 2020, quando então a LGPD entrará em VIGOR em sua integralidade.
A LGPD se aplica a qualquer pessoa, física ou jurídica, que realize o tratamento de dados pessoais, online e/ou off-line, motivos pelos quais podemos depreender que a LGPD possui aplicação muito abrangente, envolvendo grande parte dos projetos e atividades do cotidiano empresarial e, portanto, todas as empresas de mineração estão submetidas à LGPD.
Importante destacar, que a LGPD também possui aplicação extraterritorial, ou seja, às empresas que não só tenham estabelecimento no Brasil, mas também ofereçam serviços ao mercado brasileiro, ou ainda, que coletem e tratem dados de pessoas localizadas no país.
De extrema importância para o Brasil, ao proporcionar maior segurança jurídica, atrairá relevantes investimentos do exterior pois elevará, em muito, o nível de proteção legal de dados que agora poderemos dispor.
Dentre os objetivos da LGPD estão a proteção de direitos fundamentais de liberdade e privacidade, assim como a definição de regras e limites para empresas a respeito da coleta, armazenamento, tratamento e compartilhamento de dados.
A LGPD é norteada, quanto ao tratamento de dados, pelos princípios da finalidade (propósitos legítimos), adequação (compatibilidade), necessidade (mínima coleta) e transparência, sendo o da finalidade um dos princípios mais relevantes, por meio do qual os dados pessoais deverão ser utilizados apenas para as finalidades específicas para as quais foram coletados e devidamente informadas aos seus titulares
Como sabemos, todas as empresas do setor mineral, de todos os portes, tratam dados pessoais. E como exemplo, poderíamos mencionar os departamentos de recursos humanos, suprimentos, logística, dentre outros.
Assim sendo, os titulares de dados pessoais passarão a ter direitos à confirmação da existência de tratamento, ao acesso aos dados, à correção de dados incompletos, incorretos ou desatualizados, à anonimização, à portabilidade, à eliminação, à informação a respeito do compartilhamento dos dados, à possibilidade de receber informação sobre não fornecer o consentimento e suas consequências, e ainda, à revogação do consentimento.
E para fiscalizar o cumprimento da LGPD, bem como aplicar sanções em casos de violação, foi criada a Autoridade Nacional de Proteção de Dados (ANPD) que, dependendo da situação, poderá aplicar desde uma simples advertência até uma multa de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Por esse motivo, as empresas deverão adotar desde logo medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, implementando, assim, boas práticas de governança, segurança e prevenção.
Portanto, visando a adequação à LGPD, e de maneira a evitar eventuais violações aos seus dispositivos legais, o que como dito, poderá implicar em sanções gravíssimas e de elevado valor econômico, a FFA LEGAL LTDA. recomenda a adoção de algumas medidas básicas, como:
a) Buscar o envolvimento dos diretores e executivos desde o início do plano de adequação para que a proteção de dados pessoais esteja incorporada aos valores da empresa e assim o tema ganhe o engajamento e a força necessária;
b) Definir as ações e um líder para o plano, identificando os principais projetos e áreas da empresa afetadas pela LGPD;
c) Criar um programa de governança em proteção de dados com a elaboração de medidas e controles para o acompanhamento da implantação de padrões que estejam em conformidade com a LGPD;
d) Estruturar a área com a indicação de um encarregado (DPO – “Data Protection Officer”) pela proteção de dados;
e) Elaborar e rever documentos jurídicos com a realização de eventuais aditivos aos contratos existentes para adequação aos padrões de proteção de dados, principalmente para aqueles que envolvam o tratamento e compartilhamento de dados pessoais;
f) Garantir o exercício dos direitos dos titulares, mediamente a confirmação da implementação de medidas técnicas e organizacionais;
g) Realizar treinamentos internos para apresentação das novas políticas de proteção de dados pessoais.
Importantíssimo, ainda, apresentar os 10 princípios introduzidos pela LGPD, os quais servirão de orientação para a boa conduta na proteção de dados pessoais, assim como para as práticas que serão inadequadas no dia a dia das relações profissionais, vejamos:
1) Finalidade: A partir da LGPD não será mais possível tratar dados pessoais com finalidades genéricas ou indeterminadas. O tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e informados. Ou seja, as empresas devem explicar para que usarão cada um dos dados pessoais. Essas finalidades também devem estar dentro dos limites da lei e devem vir expressamente acompanhadas de todas as informações relevantes para o titular. Além disso, a empresa não está autorizada a modificar a finalidade durante o tratamento. Se sua startup solicita o e-mail do cliente para a finalidade específica de login na plataforma, você não pode automaticamente utilizar esse mesmo e-mail para enviar publicidade, ofertas, etc.
2) Adequação: Os dados pessoais tratados devem ser compatíveis com a finalidade informada pela empresa. Ou seja, sua justificativa deve fazer sentido com o caráter da informação que você pede. Por exemplo: se o seu negócio é produção de brita , ouro etc., dificilmente será justificável pedir dados de saúde aos usuários. Então, se não é compatível, o tratamento se torna inadequado.
3) Necessidade: As empresas em geral devem utilizar apenas os dados estritamente necessários para alcançar as suas finalidades. Procure fazer uma ponderação entre o que é realmente essencial para o seu negócio e o que é apenas conveniente. Lembre-se que quanto mais dados você tratar, maior será a sua responsabilidade, inclusive em casos de vazamentos e incidentes de segurança.
4) Livre acesso: A pessoa física titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa detenha a seu respeito. Além disso, devem ser especificadas questões como: o que a empresa faz com as suas informações, de que forma o tratamento é realizado e por quanto tempo.
5) Qualidade dos dados: Deve ser garantido aos titulares que as informações que a empresa tenha sobre eles sejam verdadeiras e atualizadas. É necessário ter atenção à exatidão, clareza e relevância dos dados, de acordo com a necessidade e com a finalidade de seu tratamento.
6) Transparência: Todas as informações passadas pela empresa, em todos os seus meios de comunicação, devem ser claras, precisas e verdadeiras. Além disso, a empresa não pode compartilhar dados pessoais com outras pessoas de forma oculta. Se você repassa dados pessoais para terceiros, inclusive para operadores, fornecedores que sejam essenciais para a execução do serviço, o titular precisa saber.
7) Segurança: É responsabilidade das empresas buscar procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros, ainda que não sejam autorizados, como nos casos de invasões por hackers. Além disso, devem ser tomadas medidas para solucionar situações acidentais, como destruição, perda, alteração, comunicação ou difusão dos dados pessoais de suas bases.
8) Prevenção: O princípio da prevenção objetiva que as empresas adotem medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais. Ou seja, as empresas devem agir antes dos problemas e não somente depois.
9) Não Discriminação: Os dados pessoais jamais podem ser usados para discriminar ou promover abusos contra os seus titulares. A própria LGPD já criou regras específicas para o tratamento de dados que frequentemente são utilizados para discriminação, os chamados dados pessoais sensíveis, como os que tratam sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico.
10) Responsabilização e Prestação de Contas: Além de se preocuparem em cumprir integralmente a Lei, as empresas devem ter provas e evidências de todas as medidas adotadas, para demonstrarem a sua boa-fé e a sua diligência. Alguns bons exemplos estão na comprovação que fizeram treinamentos de equipe, a contratação de consultorias especializadas, a utilização de protocolos e sistemas que garantam a segurança dos dados e o acesso facilitado do titular a empresa sempre que preciso. Assim, compreendendo e internalizando a verdadeira intenção da LGPD se torna mais fácil para as startups desenharem seus modelos de negócios e a todas as empresas tratarem os dados na prática.
Não temos dúvidas de que as empresas irão passar por um processo de adaptação, e neste sentido sugerimos a imediata elaboração de um plano específico de adequação à norma e às novas regras, sendo imperioso destacar a necessidade de que as empresas revisem e atualizem a maioria de seus contratos e documentos jurídicos, o que poderá ser realizado através de algumas ações (i) interna, entre os próprios funcionários; e (ii) externa, perante consumidores e fornecedores; a segunda, em relação a dados fornecidos a operadores ou colhidos de terceirizadas, bem como qualquer terceiro (Ex: dados e informações pessoais de terceirizados).
Nesse sentido, a empresa de mineração, na qualidade de empregadora, deverá atualizar os contratos com todos os seus colaboradores, revisando ou adicionando cláusulas que assegurem o devido tratamento de dados pelas empresas, independentemente do meio (físico ou digital), ressaltando que o mesmo procedimento deverá ser feito em relação aos fornecedores de produtos e serviços, aos quais a empresa deverá dar ciência inequívoca quanto ao tratamento dos seus dados.
E ainda, será imprescindível proceder a uma revisão nos contratos junto a terceiros que, por exemplo, tratam da gestão de recursos humanos tais como folha de pagamento, plano de saúde, recrutamento, mala direta de e-mails, contabilidade, compra e venda de produtos, emissão e controle de notas fiscais, de prestação de serviços jurídicos, dentre outros, bem como quando a empresa receber ou acessar dados de outras empresas, como seria o caso das suas prestadoras de serviços terceirizados (operação de mina, limpeza, manutenção, segurança, etc.).
Entendemos, assim, que o procedimento prioritário seja o de se proceder às adaptações contratuais nos contratos de trabalho dos próprios colaboradores, uma vez que é fato cotidiano o tratamento dos dados pessoais destes em toda empresa.
Diante da importância do tema, e considerando que a sua empresa têm por obrigação adequar-se à LGPD, nós da equipe FFA estamos desde já à disposição para ajudá-los, acreditando que tenha ficado clarividente a importância em se planejar e se adequar à LGPD, com a maior brevidade possível, sob pena de assunção de altíssimos riscos, como os acima mencionados, em especial as severas sanções pecuniárias previstas na Lei.
Este artigo de: Luis Maurício Azevedo (OAB/RJ 80.412) e Rodrigo dos S. P. Cabral (OAB/RJ 116.820), respectivamente sócio e advogado sênior da FFA LEGAL, escritório especializado no atendimento jurídico, contábil-fiscal e administrativo à empresas do setor mineral, e direcionado a seus clientes e parceiros, sendo de propriedade da FFA LEGAL.
Fontes: planalto.gov.br
LGPD – Lei Geral de Proteção de Dados – Comentada 2º edição 2019 – Viviane Nóbrega Maldonado e Outros – Editora Revista dos Tribunais.