Para se preparar e cumprir todas as exigências da Lei Geral de Proteção de Dados (LGPD), é essencial que empresas, independentemente do porte, planejem as mudanças necessárias com antecedência. Afinal, atualmente, é grande o volume de dados e informações obtidos dos titulares e tratados de diferentes formas. Gestores e empresários devem estar atentos à proteção e tratamento das informações que obtêm de colaboradores, fornecedores e clientes, garantindo a segurança durante todo o ciclo de vida dos dados.
Trata-se de um grande desafio a ser vencido, pois as atividades rotineiras, não raramente, envolvem o compartilhamento de dados de pessoas físicas. Isso vai desde o login nas redes sociais até uma compra pelo cartão de crédito. Neste momento, é essencial criar diretrizes claras e de acordo com o que prevê a nova regulamentação quanto ao tratamento de dados passíveis de identificar determinado indivíduo, seja dos mais elementares, como nome, CPF e RG, até aqueles considerados sensíveis pela lei, como a etnia, sexualidade ou religião, por exemplo.
A Lei Geral de Proteção de Dados (13.709/2018) prevê a responsabilização e aplicação de sanções administrativas, aplicadas pela Autoridade Nacional de Proteção de Dados – ANPD. Estas penalidades vão desde advertências, passando por multas, até a cessação do tratamento dos dados afetados. A lei também estipula que incidentes com os dados e problemas de segurança devem ser comunicados, tanto ao titular como à autoridade nacional.
Segundo as recentes alterações da LGPD, trazidas pelas Projeto de Lei de Conversão nº 7, aplicado na Medida Provisória nº 869, a autoridade nacional será um órgão com atuação viva nos assuntos relacionados ao tratamento de dados pessoais. Em outras palavras, com o passar do tempo, a ANPD poderá implementar regulamentações novas sobre a matéria, ensejando o monitoramento constante da adequação, por parte dos agentes de tratamento.
Apesar do aparente aumento da carga de obrigações para as empresas, a lei pode gerar benefícios para as organizações que decidirem implementar as adequações de maneira antecipada, proporcionando uma vantagem competitiva no mercado, inclusive diante do modo diferenciado de como os dados pessoais passam a ser tratados, bem como o estreitamento da comunicação com os titulares dos mesmos.
Os caminhos para a implementação da nova regulamentação envolvem disciplina e organização, incluindo desde ajustes internos da empresa, até a cultura e treinamento dos colaboradores para a conscientização sobre o tema. Além dos investimentos adequados em tecnologias para evitar incidentes com os dados, também será necessária a adequação documental, bem como a revisão ou elaboração de políticas e processos, com a criação de regras de boas práticas e governança de privacidade.
A eleição do encarregado pelo tratamento de dados, também conhecido como DPO, é uma etapa importante do processo. Sua função, além de eventuais outras atribuições especificadas pela autoridade nacional, será de atuar como um canal de comunicação entre esta, o agente de tratamento e os titulares dos dados. Segundo o texto da Lei, trata-se de um profissional, com autonomia técnica e profissional, detentor de conhecimento jurídico-regulatório, apto a prestar serviços especializados em proteção de dados.
É recomendável que as organizações iniciem seus esforços para alcançar a conformidade com a LGPD, identificando quais dados são tratados internamente, bem como analisando como eles são armazenados e protegidos de possíveis incidentes. Posteriormente, deve-se partir para a etapa de controles e vistorias permanentes, potencializando as políticas de privacidade e segurança, de acordo com o que determina a lei.
O processo de adequação à LGPD demanda atenção e empenho por parte dos envolvidos, mas é operacionalmente viável, além de necessário. A fim de evitar atrasos e estar preparado para contratempos e surpresas, é prudente iniciar os trabalhos, o quanto antes.
Marlon Marcelo Volpi, sócio fundador e advogado, da Volpi Advogados, de Blumenau, Santa Catarina e Tiago Brack Miranda, especialista em Segurança da Informação da Indyxa.