Dados pessoais são ativos extremamente valiosos. Mas, diante do grande consumo das plataformas digitais, sobretudo, a preocupação com a proteção de informações perde cada vez mais espaço. Diariamente, usuários fornecem seus dados sem ter consciência e, principalmente, controle do que é feito com eles. Foi somente após recentes escândalos de vazamentos de informações pessoais por grandes empresas, como é o caso do Facebook, que diversos países passaram a discutir e a acelerar o processo para a criação de leis que protegessem os dados pessoais de seus cidadãos.
No Brasil, o tema ainda não é amplamente explorado. Inspirado no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), o parlamento brasileiro aprovou, em 2018, a lei 13.709/18, que cria a Lei Geral de Proteção de Dados (LGPD). A medida, cujo principal objetivo é justamente garantir a proteção dos dados pessoais e oferecer à sociedade um maior controle sobre as informações que os setores público e privado armazenam sobre ela, trará grandes impactos para todas as companhias que estabeleçam qualquer negócio no mercado brasileiro ou coletem informações de residentes no país – uma vez que sua aplicação não se restringe aos limites geográficos do Brasil.
A LGPD define como dado pessoal qualquer informação capaz de identificar ou que torne a pessoa identificável – sejam dados considerados básicos, como nome, telefone e endereço, ou sensíveis, que, devido a sua natureza, podem causar constrangimento ou discriminação, como dados relativos à origem racial ou étnica, posicionamento político e religião. Portanto, diante deste novo cenário, as companhias têm um grande desafio pela frente: o tratamento e a proteção das informações pessoais em toda sua cadeia de operação, ou seja, será necessário adequar sistemas para o processamento de dados em todas as etapas; da coleta até a sua eliminação.
Impactos e o passo a passo para a adequação
Para Ricardo Maffeis, advogado, consultor da área de Contencioso Digital do Opice Blum, Bruno, Abrusio e Vainzof Advogados, membro do Centro de Estudos Avançados de Processo (Ceapro) e da Comissão de Estudos de Inteligência Artificial do Instituto dos Advogados de São Paulo (IASP), o impacto para as empresas será grande na medida em que elas – enquanto organizações que armazenam dados das pessoas – passarão a ter a obrigação de guardá-los com segurança, sempre em benefício do cidadão. “À primeira vista, pode-se pensar em impactos financeiros, mas é certo que as empresas que estiverem preparadas terão um diferencial competitivo (confidencialidade e respeito externo) frente a seus concorrentes ainda não adaptados à nova lei”, afirma.
Embora exista um Projeto de Lei em tramitação na Câmara dos Deputados para prorrogar em dois anos, de agosto de 2020 para agosto de 2022, a vigência da LGPD, a adequação se torna cada vez mais urgente, especialmente porque houve pouco avanço na implementação de estruturas voltadas ao tratamento dos dados pessoais desde que a lei foi promulgada em 2018. Muitas empresas ainda não estão em conformidade com a nova regulamentação. Segundo uma pesquisa realizada pela Serasa Experian, em 2019, cerca de 85% das companhias brasileiras ainda não estão prontas para executar todos os aspectos exigidos pela lei em relação ao tratamento dos dados pessoais.
Maffeis explica que para que a empresa possa se adequar à LGPD é fundamental contar com apoio especializado. “A lei é muito técnica para que a maioria das empresas decida fazer tudo sozinha. Um ponto essencial é a conscientização da importância da adequação à lei, pois se os funcionários não estiverem realmente interessados e engajados na tarefa e o diagnóstico for mal feito, por exemplo, todo o trabalho pode ser perdido ou, no mínimo, o plano de adequação não abrangerá todas as áreas da empresa, deixando-a vulnerável a sanções”, reforça.
Ainda de acordo com o advogado, para que a reestruturação de qualquer organização que trabalhe com dados possa ocorrer de maneira eficiente é preciso seguir alguns passos. A primeira etapa inclui a conscientização das áreas, mapeamento das atividades e avaliação dos riscos. Por isso, o primeiro passo é o diagnóstico de como a empresa recebe e estrutura os dados atualmente e como cada departamento recebe informações pessoais e o tratamento que cada um dá aos dados recebidos. “Um diagnóstico bem feito e que demonstre a realidade da empresa é o passo fundamental para todo o projeto de estruturação à nova lei.”
A seguir, com base no que foi apurado, passa-se à estruturação do programa de privacidade, onde é sugerida a criação de uma estrutura de governança e são definidos os responsáveis pela privacidade na empresa e as políticas internas. Segue-se, então, com uma revisão dos documentos e contratos da empresa, com inclusão de avisos de privacidade claros para que os titulares tenham plena consciência de como seus dados estão sendo tratados.
Por fim, é importante estabelecer uma fase de treinamentos internos e comunicação, para que todos saibam que a empresa está adaptada e quais os novos procedimentos. “Entendo essa fase como essencial, na medida em que um elo frágil pode prejudicar toda a cadeia bem programada de proteção de dados”, afirma Maffeis.
Agentes, regulação e sanções
A fim de garantir o cumprimento da norma, foi sancionada, em 2019, a lei 13.853, que cria a Autoridade Nacional de Proteção de Dados (ANPD) – órgão vinculado à Presidência da República que deverá fiscalizar a aplicação da LGPD e aplicar sanções diante do descumprimento da legislação.
Vale lembrar que a própria lei designou a criação dos chamados agentes de tratamento de dados pessoais, estabelecendo as figuras do Controlador; responsável por decidir o tratamento que será dado aos dados pessoais, e o Operador; responsável por aplicar o tratamento. Além disso, também foi definida a posição do Encarregado/DPO que, assim como os demais, pode se tratar de pessoa física ou jurídica, de direito público ou privado, atuará como ponte para a comunicação entre os titulares dos dados e a empresa e entre esta e a ANPD.
Em caso de não cumprimento da lei e mediante a comprovação de violação no tratamento de dados pessoais, as empresas poderão ser penalizadas com multas de 2% do faturamento – com limite de R$ 50 milhões por infração, além de tornar pública a infração, bloquear e eliminar os dados pessoais.
Nesse contexto, mais do que o prejuízo financeiro para as empresas, não estar em conformidade com a LGPD pode causar danos irreparáveis para a imagem as companhias. Maffeis ressalta que a área de Compliance também possui grande relevância na adequação da nova regulamentação, principalmente na maneira como a empresa é percebida no mercado e pelo consumidor, em aspectos contundentes como confiança e credibilidade. “A proteção dos dados pessoais está na pauta do dia das autoridades e da imprensa, não cumprir a lei ou, pior, ser sancionado pela ANPD é algo muito ruim para a imagem”, afirma.