Crie um atalho do M&E no seu aparelho!
Toque e selecione Adicionar à tela de início.

Agências e Operadoras / Hotelaria / Serviços

LGPD: agência tem responsabilidade solidária em vazamento de dados

Sancionada em 2018 e em vigor desde o ano passado, a Lei Geral de Proteção de Dados (LGPD) surgiu com objetivo regular a utilização de dados pessoais por pessoas físicas e jurídicas, inclusive nos meios digitais.  Ela foi inspirada na GDPR (General Data Protection Regulation), que entrou em vigência em 2018 na União Europeia, trazendo grandes impactos para empresas e consumidores. Apesar de três anos desde a sua sanção, somente neste mês entraram em vigor os artigos que estabelecem multas e sanções para quem descumprir a LGPD.

O início das punições jogou luz sobre a urgência de empresas se adequarem a nova norma. No turismo, além se adequar, agência e operadoras também terão que estar atentas às políticas dos parceiros com quem trabalham, tendo em vista que a lei, em seu artigo 42, prevê a responsabilidade solidária de quem coletou os dados do titular.

Bases da da LGPD (Fonte: Serpro)

Bases da da LGPD (Fonte: Serpro)

Por se tratar de um mercado onde é comum a transferência de dados pessoais, pelos diversos serviços utilizados durante a viagem (aéreo, hotel, atrações e etc…), operadoras e agências estão sujeitas a problemas, casos os parceiros não estejam em conformidade com a LGPD. De acordo com dados divulgados por consultorias, cerca de 85% do setor de Turismo ainda não está totalmente em conformidade com as novas regras.

Para advogado Eduardo Oliveira, diretor da Agencia de Inteligência – Consulting & Corp, escritório especializado em proteção de dados, a expectativa é de que o início das multas o mercado se adeque rapidamente, não só pelas sanções, mas por exclusão, uma vez que empresas irão optar por parceiros que já estejam seguindo à LGPD.

“Além dos cuidados internos, de se adequar à LGPD, existem também os riscos externos. Por exemplo, a agência de viagens compartilha meus dados com um resort no Nordeste. Na hora que existe este compartilhamento da agência com um parceiro, este parceiro também tem que estar adequado à LGPD, pois se este parceiro comete alguma infração a agência é solidariamente responsável, pois foi ela que coletou os dados. Eu não posso me relacionar com quem não esteja adequado no mesmo nível que eu. Quando vaza um dado do meu cliente eu sou responsável se foi eu que coletei. É função do encarregado mapear estes riscos”, afirma o especialista

“Eu não posso me relacionar com quem não esteja adequado no mesmo nível que eu”

O encarregado, citado por Oliveira, é a figura definida na LGPD como o responsável pelo canal de comunicação com titulares dos dados e com Autoridade Nacional de Proteção de Dados (ANPD), órgão criado para regular o cumprimento da LGPD. Ele deve ser indicado pelo controlador e ter seus contatos disponíveis no site da empresa. No exterior, este profissional é conhecido como Data Protection Officer (DPO).

O advogado salienta que o encarregado deve ter independência para implementar a política de dados da empresa, que deve estar visível em seus canais de comunicação, e também trabalhar em conjunto com setores jurídicos e de compliance para adequar a empresa e orientar colaboradores.

“É importante que este profissional não seja subordinado à empresa e atue de maneira independente para evitar conflitos de interesse. Para a lei, o rosto mais visível é do encarregado, pois ele que assina a política de dados. Mas ele não atua sozinho. É necessário um conjunto de profissionais para auditoria e jurídico, por isso a empresa tem que fazer capacitação dos colaboradores e identificar riscos internos e externos. É necessário um conjunto de profissionais multidisciplinares para adequar uma empresa”, explica.

Eduardo Oliveira é especialista na Lei Geral de Proteção de Dados

Eduardo Oliveira é especialista na Lei Geral de Proteção de Dados

MULTAS E SANÇÕES

As multas, que desde o início de agosto já podem ser aplicadas, variam de 2% do faturamento até um limite de R$ 50 milhões, podendo ser multas simples, aplicadas uma única vez, ou diárias, enquanto haja um descumprimento à LGPD. As empresas também estão sujeitas a punições como a proibição de coletar dados e o bloqueio do uso de dados de sua base até a regularização.

Os valores das multas terão como base o balancete da empresa do ano anterior e dados do Imposto de Renda. As multas também variam de acordo com o tipo de dado vazado e do dano provocado pelo vazamento. “É um cálculo ainda não similar em todos os casos, pois é determinado de acordo com o dano. Se o dado foi vazado, se foi vendido, se dados pessoais foram compartilhados sem consentimento. Então são várias naturezas e fatores de análise que implicam neste cálculo. 2% é apenas o mínimo”, ressalta Eduardo Oliveira.

Para multas e sanções também será considerada a preocupação do controlador em definir normas de governança e adotar medidas de segurança e replicar boas práticas e certificações existentes no mercado. A empresa deve contar ainda com planos de contingência, fazer auditorias e resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados.

CONSENTIMENTO

Um dos elementos essenciais da LGPD é a necessidade de consentimento do titular para cada etapa do uso de seus dados. Sempre que houver uma coleta de dados, o controlador (empresa) ou o operador (responsável da empresa) deve deixar explícito de que forma os dados serão utilizados e solicitar o consentimento para este uso, inclusive para uma possível transferência de dados para parceiros. O titular pode inclusive aceitar parcialmente os termos para o uso de seus dados, solicitar a exclusão de seus dados da base após algum tempo ou até revogar o consentimento.

“Na hora em que são coletados os dados, juridicamente os documentos devem ter uma informação a mais, como o pedido de consentimento, que obedece a definições como a finalidade, o período de armazenamento dos dados e com quem é compartilhado. A lei obriga que haja a transparência sobre estas informações a cada vez que o dado é coletado e isto deve estar explícito”, comenta o diretor da Agencia de Inteligência – Consulting & Corp.

LGPD atores

DADOS PESSOAIS

Outra característica da lei é definir o conceito de dados pessoais. Nesta linha estão informações como nome completo, RG, CPF, número de celular, e-mail e dados bancários. Há ainda os “dados pessoais sensíveis”, que incluem informações que possam provocar constrangimento ou discriminação, como origem étnica, raça, religião, orientação sexual, dados médicos e ainda informações sobre crianças e adolescentes.

FISCALIZAÇÃO

Eduardo Oliveira explica que até 31 de julho, órgãos como a ANPD, Ministério Público e até Procon atuavam por provocação, ou seja, quando ocorriam denúncias. Mas, a partir deste mês, a expectativa é de que ocorram mais fiscalizações. O advogado descarta a possibilidade de uma atuação mais educativa e menos punitiva, devido ao tempo de sanção da lei e os seguidos adiamentos de sua entrada em vigor.

“As empresas tiveram três anos de maturidade. Dois anos de vacatio legis (prazo legal que uma lei tem para entrar em vigor – de 2018 a 2020 no caso da LGPD) e um ano de vigência da lei até o início da aplicação das multas. Com três anos de maturidade, não há mais como dizer que é uma novidade. Claro que temos um ano de pandemia, que dificultou, mas o meu conselho é que as empresas façam aos poucos, pois elas vão ter que fazer. É um fato. E na hora que chega a sanção, além da condenação a empresa terá que se adequar, então é mais fácil se adequar antes da multa e da sanção”, finaliza.

“Com três anos de maturidade, não há mais como dizer que é novidade” – Eduardo Oliveira sobre LGPD

COMO SE ADEQUAR

Para empresas que ainda buscam uma adequação, o conselho é que procurem escritórios especializados. Para empresas de pequeno porte, com um baixo volume de dados tratados, este tipo de contratação pode ser feita a partir de um valor mensal de R$ 600.

Outra alternativa é procurar associações do setor, que podem fornecer informações sobre os caminhos para se adequar ou até negociar pacotes para um grande número associados, barateando os custos contratação.

Esse foi o caso da Braztoa, que negociou uma consultoria para associados, além de realizar um processo educativo. “A Braztoa vem, desde 2019, alertando e disponibilizando informações sobre adequação, legislação e cuidados a respeito da LGPD no Brasil a todos os seus associados. Foram realizadas palestras nesse mesmo ano e seguimos com notícias mensais sobre a evolução do tema, até hoje. Em 2020, identificamos empresas de consultoria para apoiar a adequação a nova lei – que foram revistas recentemente, em busca de negociar condições especiais aos associados”, informou a entidade em nota.

Já a Abav Nacional também investiu no processo de educação dos associados, por meio de lives com especialistas. A ABIH Nacional também realizou lives sobre o tema ao longo de 2020, além de desenvolver uma cartilha para auxiliar associados no enquadramento à LGPD.

Sua empresa já está adequada à LGPD?

Resultados

Carregando ... Carregando ...

Serviço: www.agenciadeinteligencia.org

Receba nossas newsletters