Sabemos que muitas empresas utilizam o WhatsApp como recurso para comunicação com seus parceiros e clientes, além de seus sites para divulgação de produtos e/ou serviços. A Lei Geral de Proteção de Dados (LGPD), que está em vigor desde setembro de 2020 e com a aplicações das sanções administrativas desde agosto de 2021, segue com estimativas de baixa procura das empresas para a adequação da lei.
O tratamento de dados dos clientes precisa ser revisado nas empresas, inclusive, a política de privacidade que solicita a permissão para o uso dos dados dessas pessoas. Entenda mais sobre a utilização do WhatsApp e a LGPD nas empresas nos próximos tópicos.
É necessário começar do zero?
A lei traz em seus artigos a palavra “adequar”, ou seja, é importante que as empresas busquem essa adequação e revisão de como tem tratado os dados recebidos, o seu armazenamento e tratamento. Caso a empresa tenha parceiros, como agências que criam sites ou plataformas, é necessário que ela busque as procedências que o software usado ou sistema esteja de acordo com a LGPD, pois os dados de seus clientes estarão armazenados nesses lugares. Caso contrário, o risco de algum vazamento em uma plataforma ou sistema do parceiro poderá prejudicar a empresa que contratou o serviço de tratamento de dados. Isso também se encaixa com o uso do WhatsApp, que costuma ser o canal de relacionamento entre o cliente e a empresa, onde a troca de dados e fornecimento de documentos é frequente.
A presença de um DPO nas empresas
Conforme rege a lei, a presença de um DPO – Data Protection Officer – na empresa, garante o direcionamento e cumprimento da LGPD, orientando os colaboradores envolvidos como seguir com às solicitações dos titulares dos dados e o alinhamento de acordo com a ANPD. Essa função pode ser exercida por um advogado especializado em direito digital ou um escritório de advocacia que esteja adequado a LGPD.
Além da segurança que a empresa possui quando passa a se adequar, tal atitude é perceptível através dos clientes que a contratam. A empresa também precisa aplicar a cultura de boas práticas com todos os colaboradores e parceiros, além da governança, para que esse processo de adequação a lei siga equilibrado e com a segurança para todos os envolvidos.
Para esclarecer algumas perguntas sobre a utilização do uso do WhatsApp e adequação da LGPD, convidamos Marianna Alencar e Vanessa Guerra, especialistas em Direito Digital e sócias da Lee, Brock, Camargo Advogados para falar mais sobre o assunto.
1 – Como saber se a empresa que trabalha com compartilhamento de dados no Whatsapp está 100% segura e adequada à LGPD?
É importante observar se a empresa disponibiliza dispositivos para a utilização dos seus colaboradores e prestadores de serviço, pois o uso de dispositivos pessoais não é recomendado.
Nesse sentido, espera-se que a empresa tenha uma Política definindo as diretrizes para utilização segura de Serviços de Mensagens Privadas, como, por exemplo, os aplicativos de tecnologia WhatsApp e Telegram, em dispositivos de tecnologia utilizados pelos colaboradores e seus prestadores de serviços, como smartphones, laptops e tablets, no ambiente institucional.
Ainda, é crucial que os usuários sejam conscientizados sobre os riscos desses aplicativos e treinados sobre a forma adequada e segura de utilização dos dispositivos e aplicativos.
2 – Como adequar as políticas de privacidade da empresa de acordo com a LGPD?
Os pontos cruciais a serem trazidos por uma política de privacidade podem ser observados no art. 9 da LGPD, vejamos:
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I – finalidade específica do tratamento;
II – forma e duração do tratamento, observados os segredos comercial e industrial;
III – identificação do controlador;
IV – informações de contato do controlador;
V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
Ainda, é de suma importância observar os princípios trazidos na legislação, especialmente o princípio da transparência, do livre acesso, da finalidade e necessidade.
Por fim, divulgar o contato do Encarregado pelo Tratamento de Dados Pessoais (DPO).
3 – Se possuo uma base de dados com e-mails de clientes antigos, preciso atualizar para me manter adequado a LGPD?
A LGPD prevê, em seu art. 63, que a Autoridade Nacional de Proteção de Dados (“ANPD”), deverá editar um regulamento específico para determinar as regras que deverão ser observadas por ocasião da adequação progressiva destes bancos de dados, respeitando a nova orientação legal sobre o tema de proteção de dados.
Assim dispõe a redação do mencionado dispositivo legal:
Art. 63. A autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados.
Até o momento, a ANPD não se manifestou sobre esta questão.
Uma atualização se faz necessária para garantir o princípio da qualidade e exatidão dos dados, previsto no art.6, V, da LGPD, pois estes podem estar desatualizados.
Importante ressaltar que a qualidade dos dados também é direito garantido aos titulares, no art. 18, III,da LGPD, que prevê: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Em se tratando de uma base de dados de clientes antigos, entende-se que já existe um vínculo com estes titulares de dados pessoais, dessa forma, a atualização também deverá ser realizada no sentido de mantê-los cientes sempre que os termos e políticas da empresa sofrerem alterações. Tal ciência se deve ao intuito de respeitar o princípio da transparência.
Para fins de marketing e publicidade, a empresa sempre deverá trazer a opção do opt-out, ou seja, a opção do titular de não mais receber mensagens desse tipo.
Como medida de boas práticas, após a vigência da LGPD, recomenda-se que seja enviada uma comunicação para todos os titulares que estão nas bases de dados da empresa, informando sobre os termos e políticas relacionados à privacidade e proteção de dados na organização, enfatizando o respeito aos dados pessoais dos seus clientes e disponibilizando um canal de comunicação para que o titular possa tirar dúvidas e/ou exercer seus direitos.
