Entrevista: LGPD (Lei geral de proteção de dados) em Reformadoras de Pneus e Auto Center

Entrevista com o Dr. Danilo Max Schulze, advogado e especialista em LGPD ( Lei Geral de Proteção de Dados), para tratar dos desafios das empresas do segmento de Reforma de Pneus, Auto Center, Truck Center e Lojas de Pneus no que tange a adequação a legislação e como ela afeta o dia a dia de negócios destes segmentos.

O material é uma produção da Junsoft, empresa de tecnologia e líder nacional em sistemas de gestão e tecnologia para o segmento de Reforma de Pneus e especialista no segmento de Truck Center, Auto Center e Loja de Pneus.

Clique no link abaixo para assistir ao vídeo na íntegra:

A seguir a transcrição das perguntas e respostas contidas na entrevista:

Edilson: Danilo, a lei ela traz alguns riscos quando não é aplicada corretamente, quais são os riscos, as possibilidades de penalidades?

Danilo: Uma vez que, a legislação não é respeitada, as aplicações das penalidades administrativas estão vigentes desde agosto de 2021. Elas abrangem, desde uma multa, que é limitada a 2% do faturamento da empresa e a 50 milhões de reais, obviamente esse valor vai depender do faturamento da empresa. A lei não diz se é do faturamento líquido ou faturamento bruto. Existe também a possibilidade de multa diária, dentro desse limite, a depender da infração cometida pela empresa. E também, a suspensão da utilização do banco de dados e a proibição do seu uso. Não existe um parâmetro sobre quais dados serão proibidos de ser utilizados, se são os dados relativos aquela infração cometida ou se todo banco de dados que está sob o comando daquela determinada empresa. E a empresa pode ainda, sofrer processos judiciais. Podendo ser processos cíveis de indenizações, por danos materiais e morais principalmente, no que diz respeito ao tratamento inadequado de dados pessoais. Existem situações trabalhistas que foram a juizado por colaborador de determinada empresa, porque essas entidades corporativas não corresponderam a lei geral de proteção de dados. E mediante a esse desrespeito da LGPD o colaborador ou ex colaborador acabou ajuizando uma ação trabalhista. Então o leque de penalidades que o empresário está sujeito é bem extenso.

Edilson: E quando você comenta os dados pessoais que são protegidos por essa lei, o empresário pode imaginar que por trabalhar só com empresas ele não tem dados pessoais, existe essa possibilidade de essa empresa não trabalhar com dados pessoais? Quais dados são protegidos por essa lei?

Danilo: Os empresários perguntam muito “O meu negócio é B2b, eu vendo para empresas, qual o meu risco?”, ou ainda, tem aqueles que dizem, literalmente, “eu não tenho risco, então eu não preciso me adequar”, o que não é verdade. Toda empresa ela efetua o tratamento de dados pessoais.  Vamos dar o exemplo da própria empresa com modelo de negócio B2B, se ela tiver acesso ao contrato social, ali naquele determinado contrato social terão dados pessoais dos sócios. Se no contrato de prestação de serviço ou venda de produto que ela firmar com outra empresa, muitas delas colocam o nome do sócio ou preposto representante da empresa que vai assinar aquele contrato, terão ali dados pessoais e por esse motivo devem respeitar a LGPD. Outro ponto importante, os colaboradores, cada colaborador possui uma ficha de registro, uma carteira de trabalho, cópia de RG e CPF, atestados médicos, documentação para planos e etc., todos esses documentos que são de pessoas físicas, eles estão armazenados no banco de dados da empresa, seja ele físico ou digital. A partir do momento que a empresa tem esses dados, seja qual for, ela está sujeita a LGPD.

Edilson: Então quer dizer que se eu receber no e-mail um currículo eu já estou sujeito a legislação? Já estou de posse de dados pessoais de alguém que tem direito a esse sigilo?

Danilo: Os colaboradores inclusive, ela engloba dados pessoais, e dados pessoais sensíveis, e dados pessoais de crianças e adolescentes. Se por acaso o colaborador tem filhos menores de idade e a empresa oferece algum benefício como plano de saúde ou qualquer outro benefício, o colaborador é obrigado a fornecer esses dados, mas a empresa está legalmente obrigada a oferecer o tratamento adequado desses dados sensíveis.

Edilson: Quais são os dados pessoais e os dados pessoais sensíveis e qual a gravidade de cada um deles?

Danilo: A lei, ela não traz um rol taxativo de quais são os dados pessoais, dados pessoais sensíveis e dado pessoal de criança e adolescentes. Ela traz alguns exemplos.
Dados pessoal: Toda e qualquer informação que seja capaz de identificar uma pessoa (nome, sobrenome, RG, CPF, endereço residencial, celular, fotografia, inclusive informações como modo de se vestir, preferencia gastronômica, carro que usa, corte de cabelo e cor dos olhos), tudo isso é considerado dado pessoal porque faz com que uma pessoa se torne identificável e seja identificada.
Dados pessoais sensíveis: São os dados pessoais que uma vez que divulgados tem o poder de gerar um prejuízo para essa pessoa.
Já os dados pessoais de criança e adolescentes: são os dados pessoais que são cuidados pelo Instituto da Criança e do Adolescente que vai dos 0 até os 18 anos. Criança até 12 anos e adolescente a partir dos 16.

Edilson: Tem um caso que se chama efeito cascata, eu posso ter um fornecedor um escritório de contabilidade, uma empresa que dá assistência no meu software ou uma consultoria que presta assistência e pode acabar tendo contato com esses dados pessoais e dados pessoais sensíveis, como funciona o efeito cascata na prática para essas empresas?

Danilo: O efeito cascata ele é aquela situação onde a empresa não está adequada ela pode prejudicar a sua parceira de negócio que está adequada a lei geral de proteção de dados. Por exemplo, empresa fornecedora e empresa consumidora se uma delas está adequada e outra não está (ou está em processo de adequação), a empresa que não está adequada a LGPD,  se ela for fiscalizada ou de alguma forma responsabilizada pelo tratamento inadequado de dados, a outra empresa por mais que esteja adequada a lei, ela também pode ser responsabilizada, em decorrência desse fluxo de dados que acontece entre essas empresas. A partir do momento que essa empresa que não está adequada ela sofre um ataque ou por um erro interno acaba causando um incidente com dados pessoais, se esses dados pessoais corresponderem ao banco de dados daquela outra empresa, elas serão responsáveis solidariamente. Responderão, talvez não no mesmo grau, porque se uma empresa ela está adequada, ela terá uma documentação para comprovar isso, ela está adequada, porém houve uma falha.  Essa falha quer dizer que você errou na eleição do seu fornecedor e você não vigiou o processo realizado pelo seu fornecedor. O que ajuda é ela ter uma documentação que demonstre que ela além de cobrar a empresa fornecedora, ela efetuou a fiscalização querendo saber sobre o processo de adequação a LGPD. 

Edilson: Em uma Reforma de Pneus, ou um Auto Center, que recebe clientes, empresas, autônomos, pessoas físicas, o que ela precisa fazer para estar adequada? Como ela precisa gerenciar esses dados para atender a legislação?

Danilo: Organizar os processos internos para gerenciar o fluxo de dados pessoais. Então uma empresa como um auto center ou uma reformadora de pneus que trabalha tanto com B2B ou B2C, quais são os cuidados que ela deve ter. Primeiro o mapeamento de dados, que é você analisar por onde entra o dado pessoal, por onde circula dentro da empresa, onde é armazenado e como e quando ele é eliminado e se é eliminado. Para uma empresa que atende outras empresas, ela vai ter um trabalho um pouco menor, em decorrência do menor fluxo de dados internos. Um auto center onde o cidadão leva o carro, ele está lá como uma pessoa física e faz um cadastro, onde ele coloca seus dados pessoais. Esse cadastro ele tem que ser armazenado em um banco de dados seguro, e todo esse fluxo de dados até ele chegar no banco de dados, ele tem que ser mapeado. Ele tem que passar pelas mãos corretas, o cadastro do cliente por exemplo ele não tem a necessidade de passar pela “zeladoria”, ele tem que passar pelo gerente, esse fluxo deve ser mantido sem intermediações. E no caso do B2B a mesma questão, com um fluxo menor, mas deve manter a segurança. 

Edilson: também na LGPD existe a figura do DPO, que empresas são obrigadas a ter e qual a função desse DPO dentro da empresa?

Danilo: O DPO ele é o encarregado de dados, quem está à frente do processo de adequação do processo da lei geral de proteção de dados. Na LGPD nós temos 3 atores, o encarregado de dados que é o DPO, o controlador e o operador. Então o encarregado ele é responsável pelas atividades realizadas pelo controlador e operador. Operador é o operário daquela situação, quem recebe o comando do controlador para efetuar dados pessoais.  Por exemplo, a controladora pede para a operadora armazenar dados, a operadora vai armazenar, a controladora pede um backup, a operadora vai realizar e mandar para a controladora. E o encarregado de dados vai fiscalizar esse processo, vai analisar como está o sendo o processo do controlador e do operador. O DPO também é o responsável por receber as reclamações dos usuários que tem os dados armazenados nessas empresas e também as autuações realizadas pelas ANPD, ministério público ou as intimações, ele deve estar sempre 100% ciente dos processos que acontecem ali.