A adequação das cooperativas à Lei Geral de Proteção de Dados
Data: 03/11/2021 08:41
Autor: OCB
Os temas relacionados à proteção de dados pessoais, cuja discussão e necessidade de enfrentamento foi potencializada pela entrada em vigor da Lei Geral de Proteção de Dados Pessoais – LGPD no ano passado, não são mais novidade (ou, ao menos, não deveriam ser). Aliás, de início, deixo uma recomendação: se para a sua cooperativa o tema é muito novo, apresse-se, a necessidade de conhecê-lo é urgente.
Há quem diga que a LGPD possui viés proibitivo e que, de alguma maneira, afetará negativamente as atividades das cooperativas. Discordo completamente. A Lei, que inaugura uma série de regras que devem ser observadas durante as atividades que se utilizam de dados pessoais e que, inclusive, resguarda interesses industriais e comerciais, produzirá efeitos bastante positivos já que estimula a transparência, informação e cooperação. Rapidamente, podemos concluir que o modelo de relações que a LGPD pretende estimular está em linha com alguns dos 7 (sete) princípios do cooperativismo – educação, formação e informação e interesse pela comunidade.
Estabelecer um microssistema jurídico específico de garantias, direitos e deveres relacionados às atividades diversas que envolvem a utilização de dados pessoais (dados de pessoa física) – são, exemplificadamente, atividades que envolvem a utilização de dados pessoais: seleção, admissão e demissão de colaboradores, controle de jornada, processamento de folha de pagamento, gestão de benefícios diversos, emissão de notas fiscais, remessa de comunicados de marketing e publicidade por e-mail, telefone ou qualquer outro meio, formalização de contratos, realização de eventos e treinamentos, emissão de documentos diversos em que estejam indicados dados de pessoa física, monitoramento de ambientes, dentre inúmeras outras atividades (comumente, organizações de médio porte têm entre 150 e 300 atividades distintas de utilização de dados pessoais). O objetivo da LGPD não é outro que não colocar a todos nós, titulares de dados pessoais, em posição onde (talvez) jamais estivemos – de efetivamente estarmos bem informados sobre os propósitos para os quais nossos dados pessoais são utilizados, de podermos responsabilizar aqueles que os utilizam indevidamente, bem como de, em algumas situações, podermos decidir se nossos dados pessoais serão ou não utilizados para determinados objetivos.
A lista é longa e não cabe, detalhadamente, aqui, especialmente porque, via de regra, as cooperativas utilizam em múltiplas atividades uma série de dados pessoais de a) colaboradores; b) familiares de colaboradores; c) associados; d) clientes; e) visitantes; f) candidatos a vagas de emprego; g) prestadores de serviços pessoa física e outras tantas categorias. No entanto, destaco alguns itens: 1) justificar as atividades de utilização de dados pessoais (inclusive, mediante a confecção de Registro das Atividades de Tratamento de Dados Pessoais), de acordo com as bases legais indicadas em Lei; 2) estabelecer e registrar finalidades específicas para cada uma das atividades para as quais os dados pessoais são utilizados, garantindo que não sejam utilizados para outros fins; 3) informar detalhadamente as pessoas que têm seus dados pessoais utilizados sobre como, por quanto tempo, para quais objetivos e com quem são compartilhados enquanto a cooperativa os utiliza; 4) implementar políticas internas e externas, específicas e gerais, de proteção de dados pessoais, indicando os procedimentos padronizados que devem ser respeitados por toda a cooperativa e pelo núcleo com o qual se relaciona; 5) adotar medidas de segurança para proteção e monitoramento do ambiente físico e digital pelo qual transitam os dados pessoais; 6) manter estrutura capaz de atender aos direitos (que são vários!) alcançados para todos nós, enquanto titulares de dados pessoais; 7) qualificar e treinar colaboradores e prestadores de serviços para que atuem em conformidade; 8) regularizar contratos e documentos utilizados para formalizar relações que envolvem a utilização de dados pessoais ou compartilhamento de dados pessoais com fornecedores; 9) atuar de forma preventiva, considerando a privacidade das pessoas e os direitos estabelecidos pela LGPD desde a concepção dos processos de negócio/atividades que tratam dados pessoais.
Para adequação é essencial que as cooperativas identifiquem, inclusive de acordo com sua capacidade de investimento, automatização de controles, recursos humanos disponíveis e qualificação destes recursos, o formato mais adequado para desenvolvimento do projeto de implementação da conformidade. O primeiro passo, sem dúvida, passa pela criação de um grupo de trabalho (uma espécie de comitê) dentro da cooperativa para tratar sobre o tema e definir o formato do projeto de adequação. É essencial que tal grupo avalie, ainda que de forma superficial em razão da possível ausência de familiaridade com o tema, os impactos da LGPD nas atividades da cooperativa (com seus associados, colaboradores e outras pessoas que pela cooperativa têm seus dados tratados) e defina se o projeto será realizado apenas com recursos internos (ou seja, pelas mãos dos próprios colaboradores da cooperativa) ou com a ajuda de recursos externos (consultorias). Para aquelas cooperativas que optarem pela contratação de consultorias, na etapa de escolha, recomenda-se que optem por fornecedores que encarem o projeto de implementação de conformidade de modo integral, envolvendo as áreas de expertise de tecnologia da informação (infraestrutura), segurança da informação (melhores práticas) e jurídica. Igualmente recomendável que a contratação esteja baseada em entregáveis e não em avaliações ou planos de ação subjetivos.
No atual contexto, com a Lei já em vigor desde o ano passado e com a possibilidade de aplicação de penalidades a partir de agosto, é de extrema urgência que as cooperativas se mobilizem para adotar medidas que as coloquem em conformidade com a LGPD – a complexidade e o volume de tais medidas serão definidos de acordo com as características do ambiente e a quantidade de atividades de utilização de dados pessoais realizadas.
Reiterando o que disse no início: se o tema é novidade para a sua Cooperativa, se apresse.
Cristhian Groff
Advogado especialista em Contratos, Responsabilidade Civil e Direito Digital. Sócio do Cabanellos Advocacia. Encarregado pelo Tratamento de Dados Pessoais da OCB – Organização das Cooperativas Brasileiras, da CNCOOP – Confederação Nacional das Cooperativas e do SESCOOP – Serviço Nacional de Aprendizagem do Cooperativismo.
© Sistema OCB/MS 2024. Todos os direitos reservados
Av. Ceará, 2245 - Vila Célia
Campo Grande/MS