Com a Lei Geral de Proteção de Dados (LGPD), Lei 13.709/18, o Brasil entrou para a lista dos 120 países que possuem legislação específica para a proteção de dados. Nossa lei foi baseada na norma europeia General Data Protection Regulation (GDPR), aprovada em maio de 2018, e adota critérios baseados nos direitos fundamentais de liberdade e de privacidade para estabelecer regras a respeito de coleta, tratamento e armazenamento de dados pessoais – que são todas as informações relativas a uma pessoa viva, identificada ou identificável, bem como o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.
A LGPD protege os dados pessoais independentemente da tecnologia utilizada para seu tratamento, não importando que tenham sido armazenados em meio físico ou digital. Os dados pessoais que tenham sido tornados anônimos de modo a que a pessoa não seja, ou deixe de ser identificável, não são considerados dados pessoais.
Dessa forma, são exemplos de dados pessoais: o nome e apelido; o endereço de uma residência; um endereço de correio eletrônico como “nome.apelido@empresa.com”; o número de um cartão de identificação; dados de localização; endereço IP (protocolo de internet); cookies; os dados retidos por um hospital ou médico que permitam identificar uma pessoa de forma inequívoca; os dados relativos a pessoas físicas constantes em um CT-e, manifesto de carga, ordem de coleta, etc. Por outro lado, não são dados pessoais o CNPJ, o endereço de correio eletrônico como “rh@empresa.com.br”, e outros.
A LGPD estabelece diretrizes e aspectos que impõem um elevado padrão de proteção aos dados pessoais e diversas sanções administrativas e pecuniárias para o seu não cumprimento, tais como: a publicização da infração após devidamente apurada e confirmada a sua ocorrência (danos à imagem e ao bom nome da empresa), bloqueio e eliminação dos bancos de dados pessoais e multas pesadas.
A adequação à LGPD vai impor grandes mudanças na rotina das empresas de diversos setores e isso se dará também no setor do transporte rodoviário de cargas, que coleta e processa uma enorme quantidade de dados em suas operações, além dos dados pessoais relativos às suas equipes internas, fornecedores, prestadores de serviço, entre outros.
As empresas poderão ser responsabilizadas pelas violações da proteção de dados (incidentes de informação) e, por isso, as empresas de transporte precisam adequar suas rotinas de tratamento de dados, devendo agir com cuidado e racionalidade ao armazenar e compartilhar dados de seu público interno e externo com clientes, fornecedores, vendedores e prestadores de serviços externos, no intuito de garantir a compatibilidade com a LGPD. Deve se mobilizar para identificar e aprimorar a política de segurança de dados, adotando rotinas e treinamentos para solucionar falhas. Deverá realizar efetivo e abrangente mapeamento do fluxo de dados pessoais, na maneira como são recebidos, armazenados, processados, compartilhados e eliminados.
A LGPD não pode e não deve ser vista ou tratada como mera exigência regulatória ou um pequeno projeto de TI, até porque os dados pessoais não são exclusivamente dados eletrônicos, mas também se encontram em meio físico (papel).
Os empresários e gestores devem enxergar a Lei como uma grande oportunidade para reforçar o controle e o fluxo das informações que alimentam suas operações, alinhando suas rotinas às exigências da lei. A mudança de hábitos de controle das informações possibilitará a construção de um ambiente de inteligência de dados mais robusto e preparado, fornecendo melhores resultados para as transportadoras.
Márcio Américo de Oliveira Mata – Assessor jurídico do Setcemg e da Fetcemg
