Observamos atualmente um crescimento exponencial no uso da internet e da tecnologia no mundo dos negócios. Por outro lado, as empresas estão cada vez mais agressivas em suas ações de marketing e utilizando os dados pessoais para fins de promover as suas atividades. Ademais, verificamos, rotineiramente, a ocorrência de vazamentos de dados em todos os setores da sociedade, bem como hackers agindo na rede por motivos econômicos e outros tantos que nem podemos imaginar.
A
sociedade civil e alguns políticos perceberam a dinâmica acima, o que gerou a
criação de leis visando regular estas questões, de modo a proteger os direitos
fundamentais da privacidade, liberdade e livre formação da personalidade de
cada indivíduo.
O
Brasil espelhou a legislação europeia e promulgou a nossa Nova Lei Geral de
Proteção de Dados Pessoais (LGPD) que elenca como seus princípios norteadores a
finalidade, transparência, não discriminação, necessidade e limitação,
segurança, prestação de contas, livre acesso, prevenção e exatidão, bem como
determina que as companhias promovam medidas de adequação de suas atividades
internas aos termos da legislação e outras providências.
As
principais mudanças referem-se à revisão dos procedimentos internos que tratam
dados pessoais, cujo início se dá com o registro das operações (Record of
Processing Activities, ROPA) o qual permitirá à organização visualizar as áreas
mais sensíveis à incidência da Lei e adotar medidas, salvaguardas e mecanismos
de mitigação dos riscos identificados. Ao final deste processo de risk
assessment e risk management, a companhia deverá compilar tais dados no
Relatório de Impacto (RIPD), documento este fundamental para se provar
conformidade frente às autoridades públicas. Por fim, cabem às organizações a
nomeação de um Encarregado (Data Protection Officer, DPO), bem como estruturar
e estabelecer planos de resposta às solicitações de titulares e de incidentes
de privacidade nos prazos legais.
Cabe
sempre lembrar que se entende por dados pessoais todas as informações
suficientes para identificar uma pessoa natural, tais como os números de
telefone e do Cadastro de Pessoais Físicas do Ministério da Fazenda (CPF/MF) ou
uma imagem obtida por meio de câmera instalada em uma loja. Ademais, a LGPD
denomina como “titular” a pessoa natural a quem se referem os dados pessoais
que são objetos de tratamento, bem como “controlador” qualquer pessoa jurídica
ou física que usa informações para fins econômicos e a quem compete às decisões
sobre o tratamento de dados, existindo, ainda, a figura do “operador” que é
quem realiza o tratamento de dados pessoais em nome do controlador.
Nessa
esteira, cumpre esclarecer que a LGPD dispõe sobre as regras acerca da
responsabilidade dos agentes (controlador e operador) em cenários de incidentes
e prevê penalidades administrativas diversas, quais sejam, advertência, multas,
bloqueio de dados e publicização da infração. Em resumo, responderá o
controlador em primeiro lugar, podendo ser incluído solidariamente o operador
quando, em razão do tratamento de dados pessoais, descumprir as obrigações da
Lei ou não seguir as instruções lícitas do controlador, conforme os artigos 42
e seguintes.
Este
ponto é sensível às redes de franquia, uma vez existindo compartilhamento de
dados entre as empresas franqueadora e franqueada, prática esta corriqueira.
Vale ressaltar que as penalidades previstas são pesadas, incluindo, conforme
acima, a publicização do evento, o que pode representar severo prejuízo à
imagem da marca e da rede como um todo.
Na
relação franqueado – franqueador podemos verificar um cenário em que ambos são
co-controladores para determinados dados e não para outros (por exemplo, quando
há o tratamento em conjunto de dados pessoais dos clientes). Ou ainda uma
situação em que o franqueador é operador dos dados controlados pelo franqueado
(por exemplo, quando existe o compartilhamento dos dados dos colaboradores dos
franqueados com os franqueadores).
Nessa
linha, cabe a franqueadora adaptar os seus contratos de franquia e definir as
políticas de privacidade da rede sobre a gestão e tratamento dos dados
pessoais, além de promover as medidas de segurança da informação compatíveis.
Dentro deste escopo, há a necessidade de a franqueadora exigir e
viabilizar o respeito dos franqueados acerca de sua política de governança
sobre o assunto. Do lado dos franqueados, estes também devem seguir o
estipulado na legislação, igualmente considerando as suas características.
Por
fim, importante destacar que a conformidade com a LGPD está intimamente
relacionada ao processo de “transformação digital”, na medida em que, a partir
do avanço tecnológico das organizações, cuidados com a privacidade devem ser
intensificados para garantir que os processos internos ocorram de forma
sustentável e dentro da legalidade. Frisa-se que os riscos à privacidade dos
indivíduos aumentam quando existe a prática de atividades que envolvam a
computação em nuvem, internet das coisas, automação e big data.
Daniel Cerveira - sócio do escritório Cerveira,
Bloch, Goettems, Hansen & Longo Associados Advogados Associados, Consultor
Jurídico do Sindilojas-SP, professor dos cursos MBA em Varejo e Gestão de
Franquias da FIA – Fundação de Instituto de Administração, pós-graduado em
Direito Econômico pela Fundação Getúlio Vargas São Paulo e autor da obras
"Shopping Centers - Limites na liberdade de contratar", São Paulo, 2011,
Editora Saraiva e “Franchising”, São Paulo, 2021, Editora Thomson Reuters
Revista dos Tribunais.
Nenhum comentário:
Postar um comentário