Chegou a hora da adequação, a lei passou a vigorar em setembro.

A Lei Geral de Proteção de Dados (LGPD), dispõe sobre o tratamento de dados pessoais – inclusive nos meios digitais – por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade de todo cidadão brasileiro dentro e fora do país.  Inspirada em um modelo europeu, a LGPD estabelece padrões sobre o uso dos dados coletados, sejam eles pessoais ou sensíveis, além de trazer regras acerca de como essas informações devem ser tratadas, armazenadas e descartadas. Vamos dar um “giro” pela LGPD e conhecer os principais pontos da lei:

Para que não haja confusão, a lei clarifica no seu início o que são dados pessoais, define que há alguns desses dados sujeitos à cuidados ainda mais específicos como os dados sensíveis. Define também que dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação. 

DADO PESSOAL     X     DADO SENSÍVEL

Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal (Art. 5° I).

Nome; RG; CPF; Data de nascimento; Telefone; Endereço residencial; localização via GPS; Retrato em fotografia, Hábitos de consumo; Endereço de IP (Protocolo da Internet) etc.

Quando vinculado a uma pessoa natural e pode gerar discriminação. (Art. 5° II)

Origem racial ou étnica; convicção religiosa; Opinião política; Filiação a sindicato ou caráter religioso; Filósofo ou político; Dado referente à saúde sexual ou vida sexual; Dado genético ou biométrico etc.

A LGPD possui 65 artigos, mas nem todos são de aplicabilidade às empresas de direito privado, sendo muitos exclusivos para a área pública. Citaremos aqui os de maior impacto nas suas atividades:

LGPD RESUMIDA

Para um melhor entendimento dos processos necessários, temos aqui um resumo de como funcionará o tratamento dos dados e aplicabilidade da LGPD:

Como a LGPD interferirá na minha Factoring, Securitizadora ou ESC ?

Em relação as operações:

 

De acordo com o manual de prevenção à lavagem de dinheiro e ao financiamento do terrorismo definido pelo COAF, é necessário que a empresa realize os procedimentos de identificação, classificação de risco e qualificação dos clientes e demais envolvidos na operação. Para cumprimento das normas estabelecidas pelo COAF (no caso das Factoring’s e futuramente Esc´s), é necessária a solicitação de dados pessoais dos sócios ou representantes ou procuradores dos envolvidos na operação. Exemplo de dados: Nome, CPF, Endereço e Telefone dentre outros classificados como sensíveis: caso o representante ou demais envolvidos sejam pessoas politicamente expostas seria um bom por exemplo.

Neste momento sua empresa torna-se CONTROLADORA das informações e deverá tomar decisões sobre o uso das informações coletadas. Após as decisões e necessidade dos dados, os mesmos são repassados aos colaboradores OPERADORES, que realizaram o tratamento dos dados do cliente e em muitos casos, imputam as informações em sistemas gerenciais. É necessário portanto que seja definido na empresa um DPO – Data Protection Officer, encarregado pela proteção dos dados e responsável pela comunicação entre toda a cadeia de informações assim como a forma mais segura quanto ao descarte das informações.

No caso das empresas regidas pelo COAF, é obrigatório o armazenamento e conservação de registros e documentos das informações. Sendo assim, caso o titular dos dados solicite o descarte das informações, o DPO deverá informa-lo que tais dados não poderão ser descartados mediante legislação aplicada e deixando claro toda a jurisprudência para a posse dos mesmos.

Segundo o item 9 do manual do COAF a  empresa, seus funcionários e colaboradores, utilizando o programa de gerenciamento das operações e bancos de dados públicos e privados, deverão conservar os cadastros e registros de que tratam os itens 5 e 6, bem como as correspondências de que trata o item 5, por, no mínimo 5 (cinco) anos, contados do encerramento da relação contratual com o cliente.

9.1 – A guarda desses documentos poderá ser feita:

9.1.1 – Quando forem documentos eletrônicos, elaborados na forma da Medida Provisória n.º 2.200-2 (publicada no DOU 27.08.2001), permanecerão em meio magnético;

9.1.2 – Quando os documentos forem originados em meio físico (principalmente em papel), poderão ser digitalizados a critério da EMPRESA, preferencialmente por Programa Validador e Assinador (PVA), ressalvadas as vedações legais.

É importante que todo esse detalhamento esteja definido no contrato e aditivo assinado pelo cliente, demonstrando ao mesmo que a empresa está cumprindo com algumas, ou todas as 10 bases legais definidas no art. Art. 7º da LGPD. Indicamos que avalie com o jurídico de sua empresa quais bases serão importantes para inclusão.

 

Em relação aos meus funcionários.

 

Como a LGPD visa resguardar os dados de todas as pessoas físicas no Brasil e no exterior, sua empresa precisa também se adequar quanto aos dados coletados junto aos funcionários, podendo incluir tais informações em contrato de trabalho, aditivos e demais formulários usados pela empresa. É importante que haja acompanhamento do seu consultor contábil e jurídico na confecção e inclusão das regras a fim de analisar quais dados são realmente essenciais no processo, determinar o consentimento do uso dos dados com finalidade/propósito, conscientização de todos os envolvidos no processo de tratamento de dados e clarificar as soluções de armazenamento e controle dos dados.

Autor: Ana Vidal – Patrimonial Inteligência Contábil e Financeira

Fonte: SERPRO, Congresso Online Brasileiro de Contabilidade, Diário Oficial da União, Planalto Federal, Thomson Reuters Sistemas.