A Lei Geral de Proteção de Dados  (Lei 13.709/2018) já está entrou em vigor e está causando muitas dúvidas.

As principais são:

  • Será que as academias de ginástica também precisam se adequar a esta lei?
  • O que devo fazer para adequar a academia?
  • O que pode acontecer caso eu decida não adequar a academia?

Primeiramente é bom esclarecer que esta é uma lei que complementa o escopo do Marco Civil da Internet (Lei nº 12.965/2014), que já previa a proteção de dados quando foi criada.

A LGPD se aplica a todos aqueles que fizerem coleta, tratamento e armazenamento de dados pessoais no país com objetivo de fornecimento de bens ou serviços.

O foco da lei é regular como deve ser feito o tratamento dos dados pessoais coletados, seja de clientes, funcionários, fornecedores, etc com a finalidade de proteger os direitos de liberdade e de privacidade individuais daqueles que cederam seus dados.

Segundo a lei quem cede os dados tem o direito de saber para quais finalidades eles serão usados, como serão mantidos, se serão compartilhados e, também, passam a ter o direito de pedir a exclusão ou a anonimização desses dados.

Será que as academias de ginástica também precisam se adequar a esta lei?

Assim como qualquer outro tipo negócio que manipule dados pessoais as academias também estão sujeitas a cumprir o que determina a lei.

O cadastramento de dados para matricular um aluno como nome, endereço de e-mail, biometria, foto, dados usados em avaliações físicas, informações sobre meios de pagamento, etc. Tudo isso obriga a academia a ter que se enquadrar na LGPD.

Mas não se resume apenas a dados de alunos, os dados de funcionários e colaboradores também estão sob a proteção da lei. E uma coisa importante é que a lei não se aplica apenas para os dados armazenados de forma digital, os dados armazenados em papel ou qualquer outro meio também devem ser tratados conforme o previsto na LGPD.

Alguns desses dados são classificados como sensíveis como, por exemplo, biometria, estado civil, alguma doença relatada durante uma avaliação física, religião e alguns outros que possam expor e comprometer quem os cedeu.

O que devo fazer para adequar a academia?

A primeira coisa é fazer um mapa dos dados coletados e entender para quais finalidades serão utilizados,  se poderão ser descartados após o uso e como será feito o descarte. Existe um caso de uma loja de Brasilia que usava papeis com currículos de candidatos para embalar produtos de clientes, este é só um exemplo de descarte indevido que caracteriza vazamento de dados, mas você vai passar a ter que tomar mais cuidado e não deixar aquela ficha de funcionário em cima da mesa enquanto vai tomar um café ou deixar dados do aluno expostos na recepção enquanto vai mostrar a academia. Para os casos de descarte dados armazenados em papel o ideal é usar um fragmentador.

É preciso deixar documentado quais dados são coletados e o tratamento que a academia dá a eles, classificando aqueles que são sensíveis e os que não são. E preciso também deixar documentado a finalidade para a qual esses dados serão usados.

Para os casos em que um aluno ou colaborador venha a pedir a exclusão ou anonimização é preciso saber e deixar documentado qual o embasamento legal ampara a academia para poder recusar a operação. Por exemplo, precisamos do CPF para poder emitir notas fiscais, precisamos manter os dados de ex-funcionários pelo tempo que determina o Ministério do Trabalho.

Manter dados sem finalidade a partir de agora é um risco, portanto, livre-se deles se não vai usar para nada, especialmente os dados classificados como sensíveis.

A segunda coisa é adequação quanto a segurança no armazenamento dos dados. Muitas academias mantém o banco de dados do sistema em um computador na recepção (algumas vezes em um computador portátil). A recepção é um local bem movimentado e que é mais suscetível a roubo ou furto do equipamento onde os dados ficam armazenados. O ideal é manter esses dados em um local mais seguro (um servidor) onde apenas pessoas autorizadas devem ter acesso.

Os sistemas que mantém dados online estão muito mais expostas a ataques de pessoas mal intencionadas (hackers) e por isso o cuidado deve ser redobrado. É importante conhecer onde estão armazenados seus dados e quais os aparatos de segurança o provedor oferece. Em muitos casos seus dados podem estar em um servidor fora do Brasil. Lembre-se de que, ao serem solicitadas, as informações precisam ser prontamente disponibilizadas para o cedente dos dados ou para a autoridade reguladora da LGPD.

Para dados em papel o ideal é armazená-los em um arquivo ou sala com chave e acesso restrito.

O que pode acontecer caso eu decida não adequar a academia?

Imagine as seguintes situações:

  • Se um cedente quiser saber quais de seus dados pessoais a academia mantém, como são tratados, para qual finalidade são utilizados, se serão compartilhados, etc. E por falta de documentação a academia não puder informar prontamente.
  • Se o cedente pedir a exclusão ou anonimização e a academia recusar sem justificativa amparada por lei.
  • Se cedente acusar a academia de ter vazado algum dado seu e a empresa não conseguir provar que o vazamento não partiu dela, expondo para a autoridade reguladora da LGPD todas as medidas e protocolos de segurança que adotou para se adequar à lei.

A fiscalização e a regulação da LGPD ficarão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD).  A autoridade será permitirá que as pessoas enviem dúvidas, sugestões e denúncias ligadas à LGPD para apuração.

A proposta da ANPD é previamente orientar, orientar e orientar. Após isso, fiscalizar, advertir e, somente após tudo isso, penalizar, se a LGPD continuar sendo descumprida.

As multas previstas para o descumprimento variam de 2% do faturamento bruto até R$ 50 milhões (por infração).