Embora a Lei Geral de Dados (LGPD) esteja em vigor desde setembro de 2020 no Brasil, muitas empresas – entre elas sindicatos – estão ainda em fase de planejamento e adequação em relação aos dados que coletam de pessoas físicas. E como o tema ainda gera dúvidas, o Sistema Fiep promoveu, na última semana, o bate-papo virtual LGPD para sindicatos, ministrado por André Rosa, consultor de Riscos e Compliance do Sistema Fiep. Listamos, a seguir, os principais esclarecimentos prestados pelo profissional. 

1. Quais os dados que precisam ser protegidos?

A Lei nº 13.709/2018 diz respeito à proteção de dados pessoais (ou seja, de pessoas físicas). São informações como documentos, imagem, dados de localização, estado civil, números bancários, entre outros. Há, também, os dados considerados sensíveis que, se vazados, podem ser prejudiciais ao titular. São eles: raça, etnia, filiação sindical, religião, dados biométricos, de saúde, de menores de idade etc.

2. Quais são as sanções previstas e a partir de quando elas começam a vigorar?

A Lei já está em vigor, porém três artigos relacionados a sanções foram adiados para agosto. Isso não impede que as empresas sejam julgadas antes disso em relação a vazamento de dados. As penalidades incluem advertência, multa de até 2% do faturamento da pessoa jurídica limitada a R$ 50 milhões por infração, publicação da infração, bloqueio/eliminação dos dados que levaram à infração, além de possibilidade de suspensão das atividades exercidas. Pode haver, ainda, indenização ao titular dos dados.

3. Quais são os direitos dos titulares dos dados?

A pessoa física tem o direito de saber quais dados dela a empresa utiliza e para qual finalidade, podendo solicitar a alteração ou exclusão, a qualquer momento, dessas informações, caso não tenha havido consentimento ou embasamento legal que justifique o uso dos dados.

4. Qual é o primeiro passo que as empresas devem seguir para se adequar à legislação?

O primeiro é fazer um inventário de dados, que pode ser em formato de relatórios ou planilhas. Ele deve constar apenas informações de pessoas físicas e não precisa ter os dados dos associados, apenas explicitar quais são, onde são coletados e para qual finalidade. Também é preciso explicar quais são tratados e armazenados nos processos do sindicato, bem como quem tem acesso.

5. Em que momento se deve construir a política de privacidade?

É o segundo passo após o inventário de dados. É o que chamamos de privacy by design, que consiste em definir uma metodologia da privacidade de dados, estabelecer uma política de privacidade e um plano para vazamento de dados, bem como quem será o DPO (encarregado dos dados), como será interação da empresa com os titulares, e quais as bases legais que amparam o tratamento de dados.  

6. Qual é o papel do DPO (encarregado de dados)? E ele precisa ser um funcionário?

O Data Protection Officer (DPO), ou encarregado de dados, pode ser da própria empresa ou um consultor externo; ele é responsável por administrar todo o fluxo de informações, da coleta ao tratamento. Não precisa ser só uma pessoa, pode ser uma área, desde que se tenha um e-mail ou telefone que possibilite que se entre em contato.

7. Como devem ser a comunicação e a conscientização aos colaboradores?

Após a estruturação de um plano voltado ao tratamento dos dados, as empresas precisam comunicar sobre a lei para seus colaboradores e parceiros de negócio, usando canais formais – como e-mail –, além de formalizar um treinamento a respeito do assunto. Tudo precisa ser evidenciado.

8. Quando é preciso fazer um termo de consentimento para o uso dos dados?

Quando os dados são coletados para cumprir uma obrigação legal, executar políticas públicas, servir de estudo por órgãos de pesquisa, executar contratos, permitir o exercício de direitos, proteger a vida ou proteger o crédito, por exemplo, não há necessidade de solicitar um termo de consentimento. Porém, para os casos que não possam ser enquadrados em bases legais, é necessário fazer um termo de consentimento explicando que dados serão utilizados e por quanto tempo serão armazenados. Lembrando que o titular pode, a qualquer momento, revogar o consentimento.

9. E como ficam os mailings? É possível continuar usando?

Sim, desde que se adequem às bases legais, ou seja, estejam atrelados a algum dos critérios mencionados anteriormente ou tenham um termo de consentimento atrelado a eles. Vale lembrar que a LGPD não tem um caráter de marco zero, ou seja, todas as bases de contatos que a empresa usa, mesmo as mais antigas, precisam ser enquadradas na LGPD.

10. Várias parcerias entre os sindicatos laborais e patronais exigem o compartilhamento do mailing do sindicato. Isso pode ser feito?

Sim, desde que fique explicitado ao titular dos dados, por meio de um termo de consentimento, quais dados podem ser utilizados por esse parceiro e para qual finalidade e por quanto tempo. Além disso, vale ressaltar que em todos os contratos com parceiros é preciso deixar claras as questões relacionadas à LGPD; caso o sindicato compartilhe com um terceiro os dados de seus associados e esse parceiro vaze, o sindicato pode ser considerado corresponsável e até penalizado.

11. Número de celular é um dado a ser protegido? É possível incluir um número de celular em um grupo sem autorização?

O número de celular é um dado pessoal e que, portanto, pode identificar uma pessoa. Sendo assim, é preciso tratá-lo como qualquer outro dado pessoal, identificando se há base legal para o uso da informação; se não houver, é preciso fazer um termo de consentimento, deixando clara a finalidade, o tempo de uso e como fazer para revogar o uso/deixar de fazer parte. A lei não vai inibir o contato, nem obrigar a apagar os dados, é preciso apenas ter embasamento legal.

Além de responder às dúvidas, André também apresentou algumas referências, como o próprio site do Sistema Fiep, que tem uma área voltada à proteção e privacidade de dados, bem como site da Autoridade Nacional de Proteção de Dados (ANPD), onde estão disponíveis as novidades sobre o tema.

Ele lembrou, ainda, de outros conteúdos que o Sistema Fiep já divulgou sobre o tema: cartilha orientativa, matéria na Indústria em Revista, lives no Canal da Indústria, entrevista no podcast Ligado na Indústria e reportagem no especial no G1. Todos os materiais podem ser usados, a qualquer momento, para ajudar no esclarecimento de dúvidas.

Acesse a apresentação completa AQUI.

Assista abaixo à transmissão completa do evento: