Grande parte das empresas já entendeu a importância da Segurança da Informação (SI). Esta compreensão pode ter se iniciado e progredido por diferentes motivos, como, incidentes de vazamento ou perda de informações, ransomware (sequestro de dados), diferencial competitivo ou imposição de parceiros comerciais, entre outras razões.
Fato é que, como a informação passou a ter especial relevância na chamada Economia Digital, na qual elementos intangíveis (banco de dados, algoritmos, estatísticas, etc.) tem igual ou maior do que os tangíveis (imóveis, veículos, parque industrial, etc.), as empresas passaram a dar maior atenção à questão da segurança, e uma das principais ferramentas para o aprimoramento da mesma é o que conhecemos como Política de Segurança da Informação (PSI).
O papel da PSI nas organizações é bastante claro: ao estabelecer um conjunto de regras para a manutenção da integridade, confidencialidade e disponibilidade das informações, a PSI cria "previsibilidade" de procedimentos, seja no tratamento cotidiano das informações (como, o que, para quê, etc.) para toda a organização, seja no tratamento de incidentes e atribuição de responsabilidades. Uma PSI bem implementada dissipa qualquer dúvida sobre o que se pode e não se pode fazer, modificando a cultura interna, e isso acaba se tornando um verdadeiro ativo empresarial.
Era necessário utilizar o exemplo da PSI para podermos situar a chamada Política de Tratamento de Dados Pessoais (PTDP), mas vamos por partes. Antes da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/2018), e até mesmo do Marco Civil da Internet – MCI (Lei 12.965/2014), o tratamento de dados pessoais era uma verdadeira "terra sem lei". Tirando alguns setores que possuem regulamentação relativa aos dados pessoais, como bancos, instituições financeiras, telecomunicações, etc., a grande maioria das empresas faziam o que bem entendiam com dados pessoais, fossem eles de clientes, empregados, prestadores de serviços, prospects, entre outros. É nesse cenário que a mentalidade dos colaboradores foi formada, atribuindo-se a si mesma um controle sobre os dados pessoais de outrem que a LGPD veio afastar definitivamente. Recorde-se, por exemplo, do empregado que, acessando os dados pessoais armazenados no banco de dados da empresa, utilizou os mesmos para assediar uma cliente. Para ele, aparentemente, não havia nada de errado em acessar tal informação. Contudo, será que ele pensaria a mesma coisa se o acesso fosse aos dados bancários ou estratégicos do seu empregador? Certamente não. Fica patente como os dados pessoais não eram, até então, tidos em alto grau de importância.
Contudo, com a LGPD, o que já era premissa do artigo 11 do Código Civil, que impossibilitava a transferência ou renúncia aos direitos da personalidade, agora se tornou claro como água: nenhuma empresa é proprietária de dados pessoais de outrem, por mais que entenda que sim. Dados pessoais sempre serão de "propriedade" de seu titular (pessoa de carne e osso), podendo ser tratados[1] apenas nos casos previstos em lei.
Sendo assim, se nossa jornada parte de uma "terra sem lei" para um cenário regulamentado no qual os infratores serão penalizados, é natural que haja um choque na cultura empresarial relativa ao tratamento de dados pessoais. Se antes se podia fazer o que se queria, agora não é mais assim.
Isso nos leva ao cerne da questão: considerando o que dispõe a LGPD, sua empresa está preparada para tratar adequadamente os dados pessoais que tem à sua disposição? Seus colaboradores sabem o que podem e não podem fazer? Sua área técnica está preparada para proporcionar a segurança necessária para manutenção de tais dados? Seus fornecedores conhecem as regras básicas para tratamento dos dados pessoais que você disponibilizou aos mesmos para cumprimento de alguma obrigação (logística, fiscal, contábil, recursos humanos, etc.)? O local de estabelecer a "previsibilidade" de procedimentos, como ocorreu no caso da SI, é justamente na Política de Tratamento de Dados Pessoais (PTDP), faça ou não esta última parte de uma PSI já constituída.
A PTDP terá um papel essencial para mudança de procedimentos e de cultura nas empresas, devendo dispor, entre outros temas, responsabilidades dos envolvidos no tratamento, níveis de permissão de acesso, regras de compartilhamento, prazos de conservação, premissas para adoção de decisões automatizadas, tratamento de dados públicos, cláusulas-padrão para utilização na contratação de fornecedores, parceiros, etc., definição das atribuições do encarregado[2], etc.
Vamos usar o exemplo do artigo 16 da LGPD, que dispõe que, os dados pessoais deverão ser eliminados após o término de seu tratamento, caso não haja nenhuma obrigação legal ou regulatória que justifique a manutenção dos mesmos[3]. Assim, manter dados pessoais após o término do seu tratamento, sem justificativa prevista em lei, é violação da LGDP e sujeita a empresa às sanções administrativas e ações judiciais dos titulares ou terceiros interessados.
Ora, a regra legal existe e é aplicável a partir do início da vigência da LGPD[4], mas como será dada ciência a toda a empresa dessas novas obrigações? Perceba-se que muitos setores distintos tratam dados pessoais para cumprimento das mais diferentes finalidades, como contratações de fornecedores, ações de marketing, registro e manutenção de empregados, CRM, etc., e utilizar meros informativos ou circulares simples, sem o trabalho de conscientização e "catequização" dos envolvidos, poderá gerar o descumprimento generalizado da regra.
Dessa forma, entendemos que, assim como se preocuparam com o regulamento sobre a segurança da informação, que culminou com a criação de PSIs cada vez mais completas e aperfeiçoadas, o mesmo movimento precisa ser realizado em relação ao tratamento de dados pessoais, a fim de que se dê de maneira regular, com a previsibilidade que só uma política bem estruturada pode fornecer.
[1] Segundo a LGPD, tratamento é toda a operação realizada com dados pessoais, incluindo as atividades mais elementares, como armazenamento, coleta, transmissão ou utilização.
[2] A LGPD criou a figura do encarregado, que é uma pessoa natural, ou seja, de carne e osso, de será um meio de comunicação entre a empresa e terceiros (governo ou titulares).
[3] Há outras hipóteses que justificam a manutenção, mas nos basta esta para o exemplo.
[4] A LGPD entra em vigor no dia 16/02/2020, prazo extremamente curso, considerando que mudanças estruturais tecnológicas e culturais demandam grande esforço nas empresas.
Dr. Márcio Cots, sócio do COTS Advogados.