Membro do Comitê Diretivo da FCA na América Latina, Márcio Lima é especializado em Gestão Estratégica e mestre em Direito Empresarial. Ele comenta que o desafio é grande, mas que a companhia já estava atenta à questão da privacidade: "A sinergia das novas exigências trazidas pela Lei Geral de Proteção de Dados com o trabalho que já fazemos nos campos jurídico e também de ética e compliance é total". Para além de sua atuação na montadora italiana, Encontro conversou com Márcio Lima sobre 10 questões importantes da LGPD, que podem esclarecer muitas dúvidas, não só da população em geral, mas também de empresários, advogados e outros profissionais envolvidos com a nova legislação.
1) Quais dados devem ser protegidos pela Lei Geral de Proteção de Dados?
É amplo o conceito de dado pessoal previsto na LGPD. Ela abrange qualquer dado de pessoa física identificada ou identificável. Ou seja: dados que, a partir do cruzamento e análise de informações, possam levar à identificação de uma pessoa natural, são considerados dados pessoais. Entre esses dados, podemos destacar a imagem, identidade, CPF, endereço, e-mail e informações de identificação de veículos, como placa, chassi e código Renavam. Também são considerados dados pessoais informações a respeito de hábitos de consumo, hábitos de deslocamento, históricos de compras, informações sobre navegação na internet, como número de IP e aparelho usado na navegação, sempre que for possível identificar a pessoa relacionada a essas informações, o que demonstra que há uma amplitude de dados a serem considerados dados pessoais. Além disso, existe ainda a categoria dos dados pessoais sensíveis, que seriam os dados biométricos, convicção religiosa, dados de saúde, vida sexual, dados de origem étnica, filiação sindical, religiosa, política e filosófica. Para esses dados, a LGPD traz exigências adicionais e impõe algumas restrições a seu tratamento, uma vez que podem levar à discriminação do titular das informações.
2) Qual garantia uma pessoa tem de que seus dados serão de fato apagados por uma empresa, caso isso seja solicitado?
As entidades que tratam e armazenam dados pessoais são obrigadas, sob pena de sanção em caso de descumprimento, a atender às solicitações expressas dos titulares. Caso o controlador não possa adotar imediatamente a providência requerida, deve enviar ao titular uma resposta informando as razões que o impedem de apagar os dados pessoais. Além do direito à eliminação dos dados pessoais coletados com base no consentimento, o titular também tem direito à confirmação da existência de tratamento de seus dados pessoais e acesso a essas informações. Assim, caso uma pessoa tenha solicitado a eliminação de seus dados e não tenha recebido resposta comunicando a impossibilidade da adoção da medida, e queira confirmar que seus dados pessoais foram de fato eliminados após sua solicitação, é possível que ela solicite, a qualquer momento, a confirmação da existência de tratamento dos dados cujo apagamento fora anteriormente requerido. Há, porém, justificativas legais para a preservação dos dados, como por exemplo, em caso de obrigações legais ou regulatórias, de lavagem de dinheiro, trabalhistas e tributárias, ou para fins de execução do contrato.
3) Caso uma pessoa descubra que houve violação de suas informações pessoais, o que ela pode fazer quanto a isso?
O titular dos dados tem o direito de acionar a Autoridade Nacional de Proteção de Dados (ANPD). Os órgãos de defesa do consumidor, como Procon, Senacon e Ministério Público, também podem ser acionados. Estamos observando um grande empoderamento dos titulares dos dados, que constitui um cenário novo para as agências reguladoras setoriais, o Poder Judiciário e órgãos de defesa do consumidor.
4) No caso das redes sociais, que são controladas por empresas estrangeiras, como fica a adequação à nova lei brasileira?
A LGPD aplica-se a qualquer operação de tratamento de dados, independentemente do meio, do país de sua sede, ou do país onde estejam localizados os dados, desde que tenham sido coletados em território nacional, a operação de tratamento seja realizada no território nacional e o tratamento dos dados tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional. As redes sociais se tornaram as principais fontes de utilização de dados pessoais e a forma como a LGPD buscou alcançá-las foi atribuir efeitos extraterritoriais à aplicação da lei. Nesse sentido, seguindo uma tendência global de leis de proteção de dados pessoais, a lei brasileira tem como enfoque atingir empresas estabelecidas em qualquer local. Desta maneira, redes sociais que tenham atividade de tratamento em conexão com o Brasil nos termos acima mencionados devem adequar suas operações para que estejam em conformidade com a LGPD.
5) Pequenas empresas, como comércios em geral, provavelmente terão dificuldades de se adequar à LGPD. O que você sugere que esses empresários façam para não cometer infrações?
As empresas devem ter, em primeiro lugar, clareza de suas obrigações decorrentes da LGPD. É recomendado elaborar um mapeamento de todas as operações de tratamento de dados pessoais realizadas nas atividades da empresa de forma condizente com o seu porte e complexidade das atividades. Então, com base nas obrigações estipuladas pela lei, que sejam identificados as deficiências e pontos de melhoria em suas operações para que o risco de inconformidade da empresa seja o menor possível. A LGPD não estabeleceu um regime claro para micro e pequenas empresas, na medida em que o tema está sujeito a posterior regulamentação por parte da ANPD. Ainda assim, a lei não isenta micro e pequenas empresas de adotarem medidas para se adaptar. Tendo clareza de todos os pontos que podem ser trabalhados, recomenda-se que seja elaborado um plano de ação que tenha por objetivo a adoção de medidas razoáveis visando a concordância com a lei. Isso significa assegurar transparência para com todos os titulares cujos dados são tratados pela empresa e também tomar todas as medidas alcançáveis, técnicas e administrativas, para proteger os dados pessoais tratados e armazenados pela empresa. Toda empresa é responsável pelos dados que armazena e trata e deve prestar contas disto, independentemente de seu tamanho.
6) É provável que boa parte das empresas perca bases de dados importantes durante o processo de adequação, e pode ser que isso cause impacto direto no negócio. Como minimizar esse problema?
A não ser que a base de dados das empresas contemple informações desnecessárias, excessivas ou tratadas em desconformidade com o disposto na LGPD, não haverá necessidade de perda de base de dados, falando-se apenas em adequação das atividades de tratamento e forma de armazenamento dos dados pessoais contidos nas bases. É importante observar que a LGPD ainda será regulamentada, e os bancos de dados formados no passado ainda serão objeto de tratamento específico por parte da ANPD. Assim, a forma de minimizar o impacto de uma possível perda de base de dados é justamente a adequação da coleta, do tratamento e do armazenamento de dados pessoais, uma vez que, se todas as atividades estiverem em conformidade com a LGPD, não haverá necessidade de bloqueio ou eliminação de bases de dados.
7) Quais são as penalidades previstas para quem cometer infração à LGPD?
Além dos danos reputacionais, a companhia em desconformidade com a lei estará sujeita a uma escala crescente de penalidades, como advertência, com indicação de prazo para adoção de medidas corretivas, e multa de até 2% do faturamento da empresa ou do grupo, observado o limite de R$ 50 milhões por infração. A infração será tornada pública após devidamente apurada e confirmada a sua ocorrência e ocorrerá o bloqueio dos dados pessoais a que se refere a infração até a sua regularização e eliminação dos dados pessoais a que se refere a infração. Além destas sanções, ações judiciais podem ser propostas com enfoque no Código de Defesa do Consumidor, podendo resultar em multas de valores significativos e suspensão de atividades. Além disso, sempre que o titular dos dados se sentir prejudicado ou entender que os seus direitos não foram respeitados ele poderá recorrer à justiça para solicitar reparação.
8) Quem vai fiscalizar?
As atividades de tratamento de dados objeto da LGPD serão fiscalizadas, além da ANPD, pelo Ministério Público, Procon e Senacon. Visando a transparência com estes órgãos, o relatório de mapeamento das atividades de tratamento realizadas pelas empresas deve estar sempre atualizado e detalhado, para que, quando solicitada qualquer tipo de informação pelas entidades administrativas, as empresas tenham capacidade de responder de forma satisfatória e imediata, a fim de evitar problemas posteriores. A ideia da LGPD é ter vários agentes capazes de auxiliar na fiscalização e acompanhamento das atividades de tratamento. Ademais, os próprios titulares dos dados, em conjunto com a figura do Encarregado de Proteção de Dados Pessoais, serão outros importantes agentes de fiscalização da transparência. Como vemos, trata-se de um amplo processo de mudança de cultura das empresas.
9) Qual é o maior desafio de dirigir o departamento jurídico de uma empresa como a FCA, tendo em vista a diversidade da legislação brasileira atual?
O sistema jurídico brasileiro é amplo, abrangente e está em constante evolução, acompanhando o desenvolvimento das relações econômicas e sociais nacionais e internacionais. A FCA é uma empresa de cadeia de valor longa, isto é, possui um grande número de fornecedores de múltiplos setores e mantém relações comerciais com as redes de distribuição de cada marca. Também é uma empresa que opera muito próximo do consumidor – é uma B2C [Business-to-Consumer]. E é, do mesmo modo, um grande empregador, um contribuinte expressivo, um exportador de porte e uma empresa cidadã, que interage ativamente com a comunidade, autoridades e vários stakeholders. Uma empresa com uma área tão grande de interface com a sociedade requer cuidado diligente quanto às suas relações, pois nossa atuação toca praticamente todas as disciplinas do Direito. Nosso desafio, desta maneira, é pautar o comportamento corporativo pelas melhores práticas e, ao mesmo tempo, garantir a maior liberdade de movimentos com segurança jurídica.
10) Tem se utilizado bastante o termo "judicialização da política", devido ao fato de a Justiça impor à política uma série de exigências. No âmbito corporativo, pode-se dizer que as empresas estão cada vez mais "reféns" do jurídico? É possível falarmos de uma judicialização da gestão?
Na verdade, não aplicaria o termo judicialização à gestão das empresas. Em todo o mundo as relações comerciais, interpessoais e trabalhistas, a responsabilidade pelo produto que se entrega, a forma de calcular e recolher tributos, entre outros, são reguladas por leis. À medida que a economia se torna mais diversificada e sofisticada, que a sociedade se mostra mais madura, maior é a clareza em torno dos deveres e direitos de cada uma das partes envolvidas nas atividades econômicas e sociais. O Direito é uma área extremamente dinâmica, pois deve refletir a totalidade dos interesses e relações que ocorrem no interior da sociedade. As novas tecnologias, novos produtos, novos conhecimentos introduzem novas modalidades de relacionamento comercial, econômico e social. O consumidor, cada vez mais exigente, tem novas demandas e direitos que precisam ser respeitados. O cidadão tem mais consciência da amplitude de seus direitos. Além disso, com o avanço da tecnologia da informação, um novo universo on-line e virtual de comunicação, relacionamentos e vendas vem somar-se ao mundo real. Tudo isto se traduz em novas regras que asseguram o equilíbrio das relações e o respeito aos direitos de todas as partes envolvidas em qualquer atividade. Assim, a expansão da importância do sistema que elabora e faz cumprir as leis é uma decorrência da crescente complexidade da própria sociedade. E a impressão que tenho é que a velocidade das mudanças na sociedade aumentará muito no futuro, exigindo adaptabilidade da parte das pessoas e empresas, principalmente daquelas que são protagonistas em suas áreas.