ENTREVISTA
A advogada Ana Maria Dalla Ferreira, Coordenadora da Área de Privacidade e Proteção de Dados do escritório LSA, destaca a importância da conformidade com a LGPD no setor automotivo. Em sua análise, ela aborda os principais riscos, medidas preventivas e a relação entre segurança e transparência na proteção de dados. Não perca essa visão essencial sobre o tema!
“Gostaria de iniciar parabenizando a Associação, na pessoa de seu Presidente Eduardo Meneghetti, pelo comprometimento e liderança ao promover o aculturamento da Rede de Concessionários sobre a Lei Geral de Proteção de Dados. Essa iniciativa demonstra visão estratégica e responsabilidade com o futuro do setor. Uma rede informada é, sem dúvida, uma rede mais forte, preparada e alinhada em seus valores e práticas”, relatou.
Com base na Lei Geral de Proteção de Dados (LGPD)– Lei 13.709/18, qual a sua visão de como as Concessionárias JEEP podem mitigar riscos no tratamento e compartilhamento de dados pessoais?
Ana Maria Dalla Ferreira – De forma objetiva, o primeiro passo é a realização de um diagnóstico das operações de tratamento de dados da empresa para mapear eventuais fragilidades.
A partir dessa análise será possível identificar como os dados são coletados, por quais meios e canais, quais finalidades do tratamento, quem são os titulares dos dados, quem exerce as funções de Controlador e Operador, qual a categoria do dado, quais as bases legais, se há coleta excessiva de dados, se há tratamento de dados que leve a situações discriminatórias, onde são armazenados e por quanto tempo e com quem são compartilhados, entre outros aspectos.
Ele representa uma visão detalhada da situação da Concessionária na data em que foi realizado, permitindo identificar os pontos vulneráveis no processo que devem ser ajustadas ou situações que exijam a criação de soluções que melhor atendam a realidade da Concessionária. Podem ser exemplos disso: a elaboração ou adequação de aviso de privacidade, política de cookies, política de segurança da informação, política de privacidade para os colaboradores, regras de contratação de fornecedores, os relatórios previstos na Lei, entre outras questões como atendimento aos direitos dos titulares.
Para as Concessionárias que já realizaram este mapeamento, faço um alerta que ele não é estático, ele é “vivo”, está sujeito a mudanças. A recomendação é revisar periodicamente cada fluxo de tratamento.
O mapeamento é tão rico de informações que é possível identificar quais contratos a Concessionária possui e que precisam ser aditados para o estabelecimento dos papeis de cada parte com seus deveres, obrigações e responsabilidades baseados na LGPD, dinâmica da relação contratual e o compartilhamento envolvido.
Outra questão que merece destaque é a conscientização da equipe sobre a relevância da LGPD e seus impactos na operação é um dos elementos centrais. Quando a equipe entende a importância e a sensibilidade do tema, há avanços significativos. A participação ativa da Diretoria da empresa no apoio à conformidade é crucial, sem esse engajamento, entendo que a implementação das medidas necessárias será mais desafiadora.
A Concessionária também deverá nomear o Encarregado, também conhecido como DPO (Data Protection Officer) que será a pessoa responsável por interagir entre a Concessionária e o titular de dados e entre a Concessionária e a Autoridade Nacional de Proteção de Dados (ANPD). Essa pessoa precisa ter boa comunicação para que possa interagir com as diversas áreas da empresa, facilitando a manutenção da conformidade com a LGPD.
Por fim, após a implementação, a Concessionária deverá realizar o monitoramento contínuo da sua conformidade, que é um processo constante.
Em resumo, reduzir riscos sob a ótica da LGPD não depende apenas de boas intenções. É necessário aplicar ações estruturadas, documentadas e integradas às práticas operacionais, realidade e aspectos contratuais da empresa. Quanto mais claros forem os papéis, as bases legais, as responsabilidades e os fluxos de resposta, menores serão os riscos e maior será a confiança do titular de dados e da autoridade reguladora.
O que é tratamento de dados?
Ana Maria Dalla Ferreira – De acordo com a LGPD, tratamento de dados é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Ou seja, quando a Concessionária armazena os dados dos seus clientes pessoa física, empresário individual e microempreendedor individual, é um tratamento, quando solicita algum dado pessoal de um colaborador é um tratamento, quando compartilha o dado do colaborador com empresa de assistência médica é também tratamento, quando faz alguma ação de marketing direcionada aos clientes também é tratamento.
Você pode me perguntar, nossa, mas nada ficou de fora? Minha resposta será: Não, essa definição abrange qualquer ação feita com um dado pessoal ou com um dado pessoal sensível, desde a sua coleta e entrada no sistema da Concessionária até a sua exclusão, incluindo todas as etapas intermediárias. Essa coleta poderá ser feita no ambiente “on line” ou “off line” o que significa que tratamento de dados abrange também tratamento de dados em papel.
O que é considerado um dado pessoal?
Ana Maria Dalla Ferreira – Conforme a definição da LGPD,
Aqui é importante mencionar que o dado pessoal pode identificar direta ou indiretamente o titular dos dados.
O dado que identifica de forma direta, podem ser nome, endereço, RG, CPF, telefone, entre outros. Já o dado que identifica de forma indireta é aquele que precisa ser analisados em conjunto com outros dados para ter a capacidade de identificação do titular, neste caso podemos citar número de chassis, placa do carro, número de OS, número de uma proposta de compra, entre outros.
Com relação aos dados sensíveis, a adoção de critérios fixos pode ser temerária, vez que não é possível afirmar que certos dados serão sempre ou nunca considerados sensíveis. Senão vejamos um exemplo que pode facilitar a compreensão: Vamos pensar em um dado de geolocalização. Em situações comuns, como quando o celular informa onde a pessoa está, ou seja, em casa, no trabalho, em um restaurante, esse dado é um dado pessoal comum. No entanto, imagine que essa mesma geolocalização seja coletada de forma contínua, por vários dias, no mesmo horário, e aponte para a presença constante da pessoa em um templo religioso específico. Nesse cenário, o dado deixa de ser apenas uma coordenada geográfica e passa a revelar uma convicção religiosa, o que o transforma em um dado sensível, de acordo com a LGPD.
Portanto, é o uso e a interpretação do dado, e não apenas sua natureza isolada, que definem se ele será classificado como sensível ou não.
4. Você comentou que é importante a Concessionária Jeep identifique quem exerce o papel de Controlador e Operador no tratamento de dados, por quê?
Ana Maria Dalla Ferreira – Porque essa identificação é essencial para definição das responsabilidades legais e operacionais no tratamento dos dados pessoais da Concessionária.
Conforme artigo 5º, incisos VI e VIII, da LGPD:
Essa identificação, em cada situação concreta, é o grande ponto de dúvidas em relação à LGPD. O Controlador e o Operador, possuem responsabilidades distintas e, se não analisado corretamente, poderá eventualmente gerar riscos para a empresa e penalidades desnecessárias.
Para tentar deixar um pouco mais claro essa relação é válida fazer algumas perguntas:
Quem tomou a decisão de realizar o tratamento dos dados?
De onde partiu a iniciativa de coletar ou utilizar essas informações?
Quem escolheu quais dados seriam tratados e com qual finalidade?
Quem responder por essas decisões exercerá o papel de Controlador e quem está executando o tratamento a partir de orientações recebidas do Controlador, é o Operador.
Assim, compreender essas funções passa por analisar quem define e quem executa o tratamento, e isso é fundamental para garantir que cada parte assuma suas responsabilidades conforme prevê a LGPD.
Quando essa definição não está clara, um incidente com os dados poderá, eventualmente, levar à responsabilidade das duas partes envolvidas. Além disso, essa falta de clareza fere o princípio da transparência com os titulares dos dados.
A Concessionária poderá ser Controladora e Operadora ao mesmo tempo?
Ana Maria Dalla Ferreira – Boa pergunta, sim, pode.
Quando a Concessionária recebe, através de seu site, um contato de um “lead”, por exemplo, ela atuará como Controladora desses dados.
Agora, no caso, por exemplo de a Concessionária exercer a função de correspondente no país, nos negócios em que há pedido de financiamento pelo consumidor, a Concessionária atuará como Operadora desses dados, já que atua em nome e por conta da Instituição Financeira, que é a Controladora.
Ainda na questão de Controlador, o que caracteriza uma Controladoria conjunta segundo a LGPD?
Ana Maria Dalla Ferreira – Essa questão é bem polêmica e a ANPD, inclusive, já divulgou um Guia Orientativo tratando sobre o tema.
De acordo com a Autoridade “pode-se entender o conceito de controladoria conjunta como “a determinação conjunta, comum ou convergente, por dois ou mais controladores, das finalidades e dos elementos essenciais para a realização do tratamento de dados pessoais, por meio de acordo que estabeleça as respectivas responsabilidades quanto ao cumprimento da LGPD”.
A controladoria conjunta é identificada quando dois ou mais controladores compartilham a responsabilidade pelas decisões do tratamento de dados pessoais e quando cada controlador possui interesse próprio sobre o mesmo tratamento, agindo com base em finalidades distintas, mas interligadas. Além disso, é essencial que os controladores tomem decisões de forma coordenada ou convergente, alinhando-se quanto às finalidades e aos principais aspectos do tratamento dos dados, o que reforça a atuação conjunta no processo.
Quais cuidados a Concessionária Jeep deve ter com o uso de dados pessoais em ações de marketing digital, considerando a LGPD?
Ana Maria Dalla Ferreira – Ao realizar ações de marketing digital, é essencial que a Concessionária Jeep considere, entre as diversas bases legais previstas na LGPD, especialmente o consentimento e o legítimo interesse, que tendem a ser as mais adequadas para esse tipo de atividade.
Quando a base utilizada for o consentimento, é fundamental garantir que a manifestação do titular dos dados seja livre, sem qualquer tipo de imposição, além de inequívoca e específica. Isso significa que o titular precisa compreender claramente qual será o uso dos seus dados e para qual finalidade eles estão sendo coletados.
A LGPD não determina um formato único para esse consentimento, mas ele deve ser registrado de forma que possa ser comprovado. Isso pode ocorrer por escrito, por meio de vídeo, imagem, ou até mesmo por seleção de uma opção (como um checkbox), desde que a Concessionária consiga armazenar essa autorização de forma segura.
No entanto, nem sempre será necessário pedir consentimento. Em algumas situações, é possível utilizar a base legal do legítimo interesse, desde que analisado caso a caso. Para isso, é importante verificar se existe um vínculo prévio com o titular dos dados — por exemplo, se ele já realizou uma compra, agendou um test drive ou demonstrou interesse em algum veículo.
Além disso, o conteúdo enviado deve estar relacionado a produtos ou serviços que o titular já conheça ou tenha contratado anteriormente. E, claro, é indispensável oferecer uma opção simples e acessível para que a pessoa possa sair da base de dados, caso deseje (opt-out).
Sugiro que as ações de marketing sejam analisadas por um profissional especializado em LGPD para que possa ser identificada a melhor base legal levando-se em consideração cada caso concreto.
Proteção de Dados e Cibersegurança, há alguma conexão?
Ana Maria Dalla Ferreira – De forma objetiva, normalmente, uma violação de dados pessoais tem como causa um incidente cibernético, assim fica visível que os temas se complementam.
Acredito que é de conhecimento de todos o incidente de segurança que paralisou operações de Concessionárias americanas.
O caso evidenciou a importância crescente de medidas eficazes de cibersegurança, especialmente em setores que lidam com volumes elevados de informações privadas. A proteção de dados deixou de ser apenas uma questão técnica para se tornar um pilar estratégico de qualquer organização comprometida em garantir a confiança de seus clientes e preservar sua privacidade.
À medida que o mundo se digitaliza, a responsabilidade de evitar incidentes dessa natureza cresce exponencialmente. As consequências podem ir muito além de prejuízos financeiros, afetando profundamente a reputação de marcas e a segurança das pessoas.
