As empresas devem agir com zelo
no tocante à coleta, catalogação, controle de acesso aos dados e armazenamento
de dados pessoais de seus clientes. Mas não é só: as empresas também devem
tomar cautelas ao compartilhar dados pessoais com outras empresas.
Em 14 de agosto de 2018, foi
publicada a lei 13.709, também chamada de lei geral de proteção de
dados (LGPD), a qual dispõe sobre proteção de dados de pessoas físicas e o
tratamento desses dados (coleta, armazenamento, compartilhamento com terceiros
etc.) por empresas. A lei entra em vigor no segundo semestre de 2020, mas é
fundamental que as empresas se programem, tomando uma série de medidas
preparatórias, para estarem em conformidade com as normas em questão, até o
momento da entrada em vigor da lei.
Como amplamente divulgado,
diversas são as obrigações instituídas para as empresas que realizam o
tratamento de dados pessoais de terceiros, isto é, realizam operações
envolvendo quaisquer informações relacionadas a uma pessoa física identificada
ou identificável.
As empresas devem agir com zelo
no tocante à coleta, catalogação, controle de acesso aos dados e armazenamento
de dados pessoais de seus clientes. Mas não é só: as empresas também devem
tomar cautelas ao compartilhar dados pessoais com outras empresas.
Dentre as inúmeras novas regras
trazidas pela LGPD, vale destacar uma delas, a qual afeta diretamente os
serviços prestados entre empresas (business to business): a necessidade de
consentimento expresso e específico do titular dos dados para qualquer operação
envolvendo o tratamento de dados pessoais de terceiros, inclusive no tocante à
coleta e ao compartilhamento.
Tal previsão legal, expressa no
parágrafo quinto do artigo 7º da LGPD, revela a necessidade de que as empresas
sejam mais cautelosas ao compartilhar e ao receber dados de clientes como
decorrência de serviços prestados a outras empresas, uma vez que sempre deverá
haver uma expressa e específica autorização do titular dos dados para que haja
o compartilhamento dessas informações.
Inclusive, ressalta-se que
eventual afronta às obrigações impostas pela referida lei, tais como o
compartilhamento de dados pessoais sem o consentimento do titular dos dados,
poderá ensejar uma sanção administrativa a ser aplicada pela Autoridade
Nacional de Proteção de Dados (ANPD), que pode, em casos graves, traduzir-se em
multa de até 2% (dois por cento) do faturamento da pessoa jurídica, grupo ou
conglomerado no seu último exercício, para cada infração cometida.
Assim, para evitar a aplicação de
quaisquer sanções administrativas, o ideal é que as empresas que realizem
contratos comerciais com outras empresas, previnam-se contratualmente,
inclusive com a celebração de Termos de Confidencialidade (Non-disclosure
agreements – NDAs) que devem levar em conta as regras previstas pela
LGPD, de forma a proteger as empresas, bem como os dados pessoais transmitidos.
*Cristiano Fogaça é sócio da área empresarial do Fogaça,
Moreti Advogados.
Fonte: Migalhas