FAQ - Principais Dúvidas
A Lei n° 13.709, publicada em 15 de agosto de 2018, e que entrou em vigor 18 de Setembro de 2020, também conhecida por Lei Geral de Proteção de Dados (LGPD), foi inspirada no modelo da regulação europeia de proteção de dados (GDPR), tem como seus princípios base a proteção à privacidade, a liberdade de expressão e a inviolabilidade da intimidade, honra e imagem, conferindo aos dados pessoais relevância de ativo intangível, na medida em que a sociedade é, cada vez mais, movida por dados.
A nova lei introduz mudanças muito significativas, que deverão transformar a abordagem da privacidade por parte de empresas e de indivíduos, afetando todos os setores da economia e entes públicos, bem como relações entre clientes e fornecedores de produtos e serviços. E para que você (parceiro, cliente) entenda como a nova lei poderá impactar seus negócios, iremos abordar neste artigo os principais pontos tratados pela LGPD, e quais providências deverão ser tomadas para estar em conformidade com as exigências estabelecidas neste dispositivo legal.
Referëncia: LGPD Solutions
O que é a LGPD?
R: A LGPD (Lei Geral de Proteção de Dados – 13.709/2018) é uma lei que visa sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Ela obriga as empresas, para que no momento de cadastrar/armazenar dados de seus clientes, informe a finalidade do uso destes dados pessoais, deixando facultativo a aceitação desta condição por parte do cliente, que deve manifestar sua vontade através de um Termo de Consentimento.
Desta forma, em seu Art. 5°, a lei nos esclarece alguns pontos essenciais para sua compreensão:
DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável;
DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
BANCO DE DADOS: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
ENCARREGADO: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
AGENTES DE TRATAMENTO: o controlador e o operador;
TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
CONSENTIMENTO: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Quando a LGPD entrará em vigor?
R: A Lei Geral de Proteção de Dados já está em vigor desde agosto de 2020, porém suas sanções serão aplicadas a partir de 1° agosto de 2021.
Como a LGPD impacta minha drogaria/farmácia?
R: Visto que a lei obriga a farmácia, na figura de CONTROLADOR, a orientar, coletar, armazenar e tratar os dados pessoais dos clientes de uma nova maneira, serão adicionados à rotina da sua empresa, ações como orientação sobre a LGPD para os clientes, impressão do Termo de Consentimento, cadastro e armazenamento de dados pessoais, entre outros serviços. Motivos como estes afetarão a rotina operacional do seu estabelecimento, por isso é importante que os colaboradores estejam preparados e tenham o conhecimento necessário sobre a nova lei.
O que eu preciso fazer a partir de agora?
R: A partir da vigência da lei, é da obrigação da drogaria/farmácia, ter um ENCARREGADO (DPO) para assumir a responsabilidade sobre os dados que serão coletados, guardados, manipulados pela loja. O ENCARREGADO (DPO) pode ser um colaborador ou terceirizado.
São funções do ENCARREGADO:
Aceitar reclamações e comunicações dos titulares, prestando esclarecimentos e adotando providências para solucionar os casos;
Receber comunicação da Autoridade Nacional e adotar providência;
Orientar funcionários a respeito das práticas a serem tomadas em relação a proteção de dados;
Executar as demais atribuições determinadas pelo CONTROLADOR (drogaria/farmácia).
Cuidar da Política de Privacidade e do Termo de Consentimento do CONTROLADOR (drogaria/farmácia).
O que é Termo de Consentimento?
R: O Termo de Consentimento é uma autorização ou manifestação de livre vontade do cliente que permite ou não o tratamento de seus dados pessoais pela farmácia, para um uso determinado. Após assinado, o documento irá nortear as ações de acordo com o consentimento do cliente final (aceitar ou recusar).
Quais são os dados que precisam de consentimento por parte do cliente final?
R: A lei especifica, no Art. 5º, inciso I, que todos os dados pessoais serão abrangidos.
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Desde nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc) são considerados dados pessoais do titular.
No inciso II do mesmo artigo, os dados sensíveis também são de análise e consentimento do titular:
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Preciso solicitar o Termo de Consentimento para todos os meus clientes?
R: É recomendável solicitar o termo de consentimento de seu consumidor, vez que a sua farmácia poderá armazenar seus dados pessoais e dados pessoais sensíveis.
Posso fazer venda para cliente que não tem, ou recusou, o Termo de Consentimento aceito (pendente)?
R: É possível realizar a venda sem informar os dados do consumidor, caso o mesmo assim o queira.
Na situação em que você já possua os dados pessoais do cliente em sua base, é recomendado que você solicite o Termo de Consentimento.
É função do CONTROLADOR orientar e informar o cliente sobre a regularização da pendência.
O que acontece quando um cliente final RECUSA o Termo de Consentimento?
R: Algumas operações não poderão prosseguir em caso de recusa do termo de consentimento. Isso porque alguns PBM’s exigem o CPF e outros dados pessoais do titular para que a operação, ou desconto, seja processada.
Para estas situações, é importante alertar o consumidor que não é a sua farmácia que está exigindo os dados e sim o PBM.
O consumidor poderá solicitar a exclusão de seus dados do sistema, o que deverá ser atendido pelo CONTROLADOR. Entretanto, existem exceções previstas na LGPD que o permitem manter estes dados em seu servidor, mesmo que solicitado a exclusão, por determinado período em razão da segurança jurídica e cumprimento regulatório (ANVISA, SEFAZ, PROCON e demais órgãos fiscalizadores).
O titular dos dados (cliente final) pode solicitar e EXCLUSÃO dos dados armazenados pelo CONTROLADOR (drogaria/farmácia)?
R: Sim. Basta que o titular solicite essa exclusão diretamente para o CONTROLADOR, que DEVERÁ excluir os dados armazenados (seja de maneira física ou digital).
De quem é a responsabilidade da COLETA, GUARDA e ARMAZENAMENTO do Termo de Consentimento dos clientes?
R: Segundo a lei, a drogaria/farmácia é intitulada como CONTROLADOR dos dados que são coletados em sua operação e é de sua inteira responsabilidade, a coleta, guarda e armazenamento desses dados de maneira segura.
Esse armazenamento poderá ser feito de maneira física, coletando o Termo de Consentimento impresso e assinado pelo cliente final, ou de maneira digital.
Posso armazenar o Termo de Consentimento de maneira digital?
R: Sim. Caso drogaria/farmácia faça a coleta através de documento impresso e assinado pelo cliente final, a digitalização poderá ser realizada e armazenada de forma digital sob total responsabilidade do CONTROLADOR (drogaria/farmácia).
Quais os direitos do Titular dos Dados (cliente final) com a vigência da LGPD?
R: O titular tem o direito de saber algumas informações a seu respeito que estão sendo manipuladas, ou não, pelo CONTROLADOR (drogaria/farmácia):
- O que você tem sobre mim?
Direito de saber quais dados pessoais ou sensíveis o CONTROLADOR está manipulando em sua operação e apresentar essas informações para o titular.
- O que você faz com meus dados?
Direito de saber como esses dados estão sendo utilizados na operação da loja.
- Como você armazena meus dados?
Direito de saber como os dados estão sendo armazenados pelo CONTROLADOR.
Ao solicitar tais direitos, o CONTROLADOR deverá apresentar essas informações ao titular, sob pena de incorrer as sanções da LGPD.
O que acontece se eu não cumprir a lei?
R: Caso a lei não seja cumprida, dependendo da gravidade do descumprimento, algumas sanções poderão ser aplicadas de acordo com o Artigo 52 da lei:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019)
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. (Incluído pela Lei nº 13.853, de 2019)
Sugestão/Edição: Rafael Almeida / Diogo Zegobi Campanelli
Artigos Relacionados
-
FAQ - Principais Dúvidas (INOVAFARMA)
-
Histórico de Aceites e Recusas (INOVAFARMA)
-
-
-
Processos no INOVAFARMA (INOVAFARMA)
Esse artigo foi útil? Ajude-nos a melhorar a Base de Conhecimento dando seu feedback.