Com a entrada em vigor da Lei nº 13.709/2018, também conhecida como Lei Geral de Proteção de Dados (LGPD), diversas exigências passaram a ser feitas a empresas públicas e privadas no que toca ao tratamento de dados pessoais de pessoas físicas.
A LGPD vela, acima de tudo, pela inviolabilidade dos dados de clientes, colaboradores e fornecedores, que estejam em posse da companhia, a fim de evitar com que o vazamento destes dados traga prejuízos aos seus titulares.
Eventual vazamento de dados por uma má estruturação em seu tratamento, pode gerar ao seu titular danos não só de natureza moral, como também material. Além do mais, colocaria em risco toda a privacidade a ele inerente, e constitucionalmente protegida pela Carta Magna.
Em relação à companhia, por sua vez, os danos podem ser ainda maiores. Em caso de sansão aplicada na forma prevista pela LGPD, em seu artigo 52 e seguintes, diversas são as penalidades previstas.
Veja:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
VII - (VETADO);
VIII - (VETADO);
IX - (VETADO);
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Perceba que multas equivalentes a 2% (dois por cento) do faturamento da pessoa jurídica podem ser aplicadas a depender do caso.
E não só isso.
O inciso IV do artigo 52 da LGPD deixa claro a possibilidade de publicização da infração após apurada e confirmada sua ocorrência, o que pode ocasionar diversos danos à imagem da empresa, fazendo com que a mesma venha a perder clientes, fornecedores, investimentos e consequentemente lucro.
E não pense que eventual condenação de uma corporação por transgressões à LGPD seja algo muito distante da realidade. O Ministério Público, bem como o PROCON de vários estados brasileiros tem acompanhado de perto a atuação das empresas para com os dados por elas administrados, assim como tem aplicado multas recorrentes em caso de violação da lei.
A titulo de exemplo, cita-se o caso da empresa virtual Netshoes, que em 2018, teve duas listas contendo informações de 2.000.000 de clientes vazadas, e por isso, fora condenada a pagar uma multa de R$ 500.000,00 e se adequar, obrigatoriamente, aos termos da lei de proteção de dados em vigência à época.
Como a legislação em questão é aplicada a todas as pessoas jurídicas de direito público e privado, incluem-se também neste rol os empreendimentos do ramo varejista, aí integrados os supermercados.
Quanto a este tipo de comércio em específico, vários são os setores que atuam diretamente no tratamento de dados pessoais, como por exemplo, Recursos Humanos, Comercial, Financeiro, Marketing, dentre outros.
Dados como nome, CPF, endereço, número de telefone, titulo de eleitor, CTPS, filiação sindical, dentre outros, são dados invariavelmente colhidos por estabelecimentos supermercadistas, visando viabilizar estratégias de marketing, promoções, contratações, demissões, e etc.
Como tais dados são protegidos pela LGPD, alguns cuidados são necessários para que não haja vazamentos.
Segundo Alexandre Atheniense (2020, p.18), o método PDCA pode ser o mais eficaz para o ramo varejista. Ao discorrer sobre o mecanismo, argumenta:
O PDCA é uma ferramenta de gestão da qualidade com finalidade de proporcionar a melhoria contínua dos processos, por meio de quatro ações: Plan (Planejar), Do (Fazer), Check (Verificar) e Act (Agir). O propósito é entender não somente o problema, que chamaremos de “oportunidade de melhoria”, mas, principalmente, suas causas, e não as consequências. Uma vez que a oportunidade de melhoria foi identificada – no nosso caso, a adequação à LGPD –, é hora de colocar em prática o PDCA e atingir o resultado almejado com qualidade e eficiência.
Aduz ainda o autor que:
Antes de começar a aplicar esse método, a organização deve definir uma pessoa para liderar o Projeto de Proteção de Dados. Na Lei, essa é a figura do DPO (encarregado de proteção de dados), bem como uma equipe para auxiliar o DPO no desenvolvimento do Projeto de Proteção de Dados e no Compliance de proteção de dados da instituição.
No caso do ramo supermercadista, o mais aconselhável é que primeiramente seja formada uma equipe multidisciplinar com membros da área de T.I, Recursos Humanos, Jurídico, Marketing, Financeiro e Compras, a fim de que todos esclareçam a forma como é feita a colheita de dados, quais dados são adquiridos, onde são armazenados, por qual finalidade são armazenados, e em que casos são excluídos.
Com tais informações, será possível criar um relatório contendo os impactos da proteção dos dados, assim como mapear a categoria de todos os dados pessoais coletados (empregados, terceiros, clientes, etc.).
Logo após, o mais indicado é que sejam excluídos todos aqueles dados de titularidade de clientes, colaboradores e fornecedores que não tem mais por que serem tratados pela empresa.
Depois, recomenda-se a elaboração de um termo de consentimento de tratamento de dados pela empresa, e seja repassados a todos aqueles os forneceram, a fim de que seja documentada a responsabilidade da companhia para com os dados que realmente são necessários. Com isso, fica a corporação obrigada a tratar adequadamente dos dados disponíveis, a divulgar aos titulares, quando solicitado, quais dados estão sendo tratados, e pedir nova autorização em caso de transferência destes.
Recomenda-se ainda reanalisar todos os contratos que o supermercado tem com outras empresas, a fim de verificar a existência ou não de cláusula que vele pela proteção dos dados das pessoas diretas e indiretamente envolvidas.
Segundo Atheniense (2020, p. 33), vale ainda ter os seguintes cuidados:
- Manter todos os sistemas com a versão atualizada para reduzir os riscos de segurança da informação;
- Não compartilhar senhas com terceiros não autorizados;
- Consultar sempre os responsáveis pela TI, ou o comitê multidisciplinar que lida com assuntos relativos ao tratamento de dados pessoais, quando não souber realizar alguma atividade relativa ao tratamento de dados pessoais;
- Instalar somente programas e aplicativos nas máquinas quando expressamente autorizada;
- Nunca baixar arquivos sem saber do que se trata;
- Nunca clicar em links sem saber do que se trata;
- Orientar os clientes sobre seus direitos de forma clara e coerente, revelando qual será a finalidade do tratamento de dados em conformidade com a legislação vigente;
- Saber como preservar as provas em conformidade legal e quais as orientações da empresa quanto ao contingenciamento, quando ocorrer um incidente;
Seguindo estes passos, certamente sua empresa terá os riscos reduzidos instantaneamente.
Além do mais, passará uma imagem à sociedade de presteza, solicitude, conformidade e eficiência, atraindo cada vez mais investidores e lucros.
