A Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD) – intende equilibrar a inovação e eficiência econômica, preservando e protegendo ao mesmo tempo os direitos individuais.
Diante das inovações, limites, regras e sanções da Lei Geral de Proteção de Dados há uma plêiade de ações que as empresas devem adotar. Elas devem garantir que as medidas tomadas se harmonizem com o seu programa de conformidade (compliance). E não são poucas as ações, demandando tempo significativo para sua implementação.
A legislação, vigente a partir de setembro do corrente ano, exige alterações em estruturas já consolidadas, bem como a definição de novos processos. Em decorrência disso, elencamos a seguir algumas ações necessárias para o implemento adequado da lei.
Sugerimos, como primeira medida de adequação à LGPD, que se mapeiem todas as atividades e operações realizadas no âmbito da empresa, vinculadas à captação e ao tratamento de dados. Comumente, essas operações e atividades se relacionam com as áreas de Marketing, Vendas/Comercial e Tecnologia da Informação; Todavia, essencial que se faça uma ampla checagem para incluir todas as áreas da empresa de alguma forma atingidas pelas novas regras de tratamento de dados. Não podem ficar de fora da análise ações e procedimentos que lidam com os chamados dados pessoais. Segundo a lei, tais dados se resumem em toda informação que seja possível identificar ou associar à pessoa natural (titular) a qual se refere – art. 5º, I, LGPD).
Como toda ação de captação e tratamento de dados utiliza de alguma forma dados pessoais, estes também precisam ser levantados e merecem análise acurada. Tudo pode ser organizado por classificação de dados, conforme importância e área/divisão.
Etapa seguinte na implementação das normas da LGPD será a adequação de ferramentas às novas regras trazidas pela LGPD. Apesar de muitas plataformas (principalmente as de e-commerce) já virem adaptadas às regras internacionais de segurança digital, como aquelas que já aplicam regras da GDPR (General Data Protection Regulation) da União Europeia, implementada em maio, é imprescindível que se certifique a adequação à lei brasileira e, caso necessário, se realizem os ajustes e modificações necessárias.
Ainda nesse sentido, deve ser efetuada a revisão de diretrizes, políticas (incluindo as de privacidade) e dos termos de uso, bem assim de todos os materiais e documentos relativos à proteção de dados e à segurança digital. Nessa linha, fundamental a revisão dos contratos relevantes e prioritários do empreendimento. Em muitos deles, haverá a necessidade de prever como a empresa utiliza dados, incluindo-se cláusula específica para tanto. O apoio jurídico nessa tarefa é essencial, por tratar-se de documentos obrigacionais e de valor jurídico. No tema contratual, ganham relevância os instrumentos de contrato de prestação de serviços, com ênfase naqueles prestadores de serviço que acessem ou tratem dados pessoais em nome da empresa contratante.
Outro item relevante da nova lei, em vista do objetivo de segurança das informações individuais, mostra-se na análise dos mecanismos de segurança, principalmente segurança da informação. Tais mecanismos devem ser atualizados. Nesse ponto, ressalte-se que todas as técnicas e os procedimentos de segurança serão devidamente documentados, até porque necessários para informação ao consumidor.
Das ações mencionadas acima, já se esboça cenário do que deverá ser implementado e o que será necessário alterar para atendimento da LGPD. Aí entram as ferramentas de planejamento para adequar os procedimentos anteriores à nova lei, de forma a prever como será feita a transição, como serão implementados os novos processos e, primordialmente, o tempo e os investimentos necessários para tanto.
Outro ponto de atenção para o sucesso das mudanças decorrentes da lei nova e para sua concordância com o compliance das empresas é a elaboração de orientações para divulgação e demonstração da importância do acatamento aos novos preceitos e da adoção de boas práticas no tratamento de dados. A edição de guias, manuais e outros recursos similares garantirão a ampla divulgação na organização e facilitarão consulta e acesso. A confecção de relatório de impacto à proteção de dados (documento detalhado com o rol de ações adotadas pela empresa para a conformidade à lei), mostra-se extremamente necessária. Justifica-se pela rígida fiscalização que virá com a implantação da Autoridade Nacional de Proteção de Dados (ANPD). Tal autoridade poderá requisitar o relatório ou documentos semelhantes para verificação de cumprimento da lei. Além disso, relatórios que tais atribuem proteção jurídica à empresa.
A gestão de pessoas deverá sofrer alterações diante das mudanças relatadas, principalmente porque várias atividades e tarefas serão alteradas e mesmo criadas. Isso levará, em muitos casos, à necessidade de reestruturação das equipes ou mesmo mudança de cultura no uso de informações protegidas pela privacidade. Assim, relevante o treinamento periódico e reciclagem de conhecimentos (para verificar se as informações foram absorvidas e estão sendo aplicadas na rotina da empresa). Essas iniciativas incluirão as pessoas envolvidas com o tratamento de informações dentro da organização, assim acelerando a absorção das novas políticas e diretrizes e implantando a familiaridade com as novas nomenclaturas e atividades.
Seguindo o caminho de medidas, a nomeação de um Data Protection Officer (DPO), ou Encarregado de Proteção de Dados, para gerir o tratamento de dados é obrigatória para o sucesso da implementação das modificações discorridas acima. Entre as atribuições do DPO, destacam-se as de monitorar e orientar as atividades e os profissionais ligados à proteção de dados, bem assim mediar a comunicação com a ANPD e com os titulares dos dados. O DPO deve ser um profissional com conhecimento de compliance, risco e governança, atuando, por isso mesmo, como um compliance officer e, no mais das vezes com formação em uma das seguintes áreas: Direito, TI, Contabilidade, Auditoria, Controladoria, Engenharias, entre outras.
Finalmente, vale destacar que a LGPD especifica sanções e penalidades em caso de descumprimento dos seus preceitos. Vão desde dar publicidade à infração, acarretando danos à imagem da companhia, até a multas de 2% sobre o faturamento da empresa e que pode chegar até a R$ 50 milhões por infração, além da suspensão temporária ou mesmo proibição das atividades relativas ao tratamento de dados. Em derradeiro, cumpre referir que em caso de incidentes no tratamento de dados, a comprovação de boas práticas e governança corporativa constitui critério de atenuação das eventuais sanções administrativas aplicadas.
Artigo da autoria de Rogério Tomás Forster
