Os desafios da implementação da LGPD

1

A evolução tecnológica das últimas décadas, aliada a redução do custo de armazenamento havida no mesmo período, permitiu a criação de uma base de dados jamais imaginada. Um levantamento divulgado recentemente pelo IDC afirma que a produção de dados dobra a cada dois anos, e a previsão é de que em 2020 tenham sido gerados 350 zettabytes de dados ou 35 trilhões de gigabytes. O estudo ainda revela que hoje, em todo mundo, existem mais de 500 quatrilhões de informações armazenadas no universo digital. Diz um ditado popular que os dados pessoais são o novo petróleo, e assim será nas próximas décadas

Com tamanha quantidade de dados pessoais disponível, tornou-se inevitável a discussão sobre legislações específicas para tratar sobre privacidade de dados e as regras para sua utilização. Vários países se engajaram nesta discussão e o exemplo mais importante é a GDPR (General Data Protection Regulation) que foi um projeto para proteção de dados e identidade dos cidadãos da União Europeia, idealizado em 2012 e aprovado em 2016. Embora a região já tivesse leis relacionadas à privacidade, elas datavam de 1995 e, mesmo com algumas atualizações, não correspondiam ao cenário tecnológico atual. A decisão de criar o regulamento veio daí e, em maio de 2018, a GDPR passou a ser aplicada.

Na esteira da GDPR, o Brasil abriu ampla discussão sobre uma Lei específica para proteção de dados que acabou culminando em 2018 na Lei nº 13.709, conhecida como Lei Geral de Proteção de Dados – LGPD, que começou a vigorar agora em setembro de 2020, mas teve os artigos relativos às suas sanções postergados para agosto de 2021.

A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade de cada indivíduo.

Como dados pessoais podemos entender qualquer informação relacionada a pessoa natural identificada ou identificável, e o tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Um dos principais objetivos da LGPD é transparecer ao usuário como seus dados estão sendo tratados. Assim, no ato de colheita dessas informações através de links e sites, é importante expor ali de que forma a empresa pode ou não as utilizar. Isso envolve então o consentimento por parte do usuário. Por isso, a partir do momento que é exposto os termos de usabilidade dessas informações, o internauta tem a opção de aceitar ou não essas condições. Ou seja, é importante deixar claro quais dados estão sendo colhidos e a maneira que eles serão usados.

Assim, a partir do momento em que fornece os dados de forma consciente, a empresa, por sua vez, detém o poder de utilizá-los de uma maneira que seja eficiente para o seu negócio. O que não quer dizer, obviamente, que eles podem ser tratados de qualquer jeito. Por isso, após o consentimento do usuário, os dados devem ser tratados de acordo com as normas da LGPD.

A lei que reforça a necessidade de deixar a utilização dos dados de forma transparente aos usuários tem como um dos desafios assegurar seus processos aos clientes. Ou seja, é importante que desde o primeiro momento de recolhimento de informações tudo seja bem elaborado para que não haja transtornos futuros. Isso quer dizer que em casos de vazamentos de dados ou quaisquer outros tipos de problemas, as empresas precisam ter soluções para contornar o acontecido e garantir aos usuários que tudo fique sob controle.

Ou seja, ao transformar todos os processos em algo rotineiro, nota-se uma melhor resolução de incidentes que envolvem a segurança dos dados. Por isso, tornar toda a ação de obtenção de informações pessoais registrada, colabora para que estejam devidamente registrados quando houver necessidade de revê-los.

Além disso, esse controle é necessário também para os próprios usuários, visto que os clientes possuem o direito de pedir informações vindas das empresas sempre que acharem necessário. Assim, é importante que os controladores desses dados estejam à disposição para quem deseja solicitar o acesso ou correção de determinadas informações.

Todas as empresas estão sujeitas às regras da LGPD, mesmo que o único tratamento de dados pessoais realizado pela empresa seja o de seus próprios funcionários. Caso uma empresa não esteja em conformidade com a LGPD e cometer algum tipo de infração, poderá vir a sofrer advertência, multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, multa diária, publicização da infração após devidamente apurada e confirmada a sua ocorrência, bloqueio dos dados pessoais a que se refere a infração até a sua regularização, e/ou eliminação dos dados pessoais a que se refere a infração.

Observa-se que as sanções pelo descumprimento da Lei são bem pesadas, mas a boa notícia é que a ANPD (Autoridade Nacional de Proteção de Dados), autoridade criada para zelar pela proteção de dados, vem mantendo um diálogo aberto com a sociedade através da Frente Empresarial em Defesa da LGPD e da Segurança Jurídica, que reúne diversos setores econômicos que, juntos, representam mais de 70% do PIB brasileiro. Este diálogo servirá para a criação de uma agenda regulatória que garantirá a segurança jurídica para que o titular tenha preservados os seus direitos previstos na legislação, assim como as empresas público e privadas possam garantir a viabilidade de seus negócios respeitando a Lei.

Como pode-se imaginar, as empresas terão um enorme desafio para se adequar à Lei, mas não existe um plano de adequação padrão aplicável para todas elas e nem a LGPD (Lei 13.709/18) traz uma receita pronta de como as organizações devem proceder para se adequarem às questões que envolvam o tratamento de dados pessoais. Mas, de forma ampla, a lei sugere que os agentes de tratamento de dados formulem regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Li recentemente um artigo do advogado Dr. Thomaz Côrte Real, advogado, especialista em direito empresarial, tributário e proteção de dados, membro do Departamento Jurídico da ABES e Sócio do escritório M.A.Santos, Côrte Real e Associados, que achei bastante interessante sobre as iniciativas imprescindíveis para o sucesso na implementação da LGPD, que listo à seguir:

(i) envolvimento de todas as áreas da empresa e, principalmente, dos stakeholders: uma jornada de adequação envolve investimento, em certos casos altos e conscientização dos membros da organização sobre a nova cultura de proteção de dados que será implementada;

(ii) diagnóstico prévio: cada empresa tem suas particularidades, com áreas e processos diferentes, setor com regulação, quantidade de empregados, tipo de serviços e produtos, graus de risco diferentes etc., os quais necessitam ser identificados e entendidos em sua amplitude;

(iii) mapeamento de fluxo de dados pessoais: registro das operações de tratamentos de dados pessoais, com a indicação de quais tipos de dados pessoais são e poderão ser coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento e com quem os dados podem ser eventualmente compartilhados;

(iv) revisão e/ou criação de cláusulas contratuais que tratam de proteção de dados pessoais e políticas;

(v) Segurança da Informação e gestão de TI: conforme previsto na Lei, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Dessa forma, a revisão das soluções em TI (backup; firewall; gerenciamento eletrônico de documentos; antivírus; criação de políticas de segurança da informação etc.) é de suma importância para a proteção dos dados pessoais das empresas e seus clientes;

(vi) privacy by design: a empresa deve pensar em privacidade e proteção de dados pessoais desde a concepção dos seus produtos e serviços, até a execução;

(vii) nomeação de Encarregado: pessoa indicada que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), bem como será responsável pela manutenção do projeto de adequação e treinamento dos colaboradores;

(viii) Treinamento: as ameaças de segurança, não ocorrem apenas por fatores externos. Grande parte dos incidentes de segurança é causado por falhas humanas. Assim, treinamento contínuo de todos os colaboradores da empresa é parte fundamental de uma adequação exitosa.

As empresas deverão passar por uma grande transformação, implementando a cultura de privacidade e proteção de dados pessoais, aderindo a uma nova postura no tratamento da volumosa quantidade de dados pessoais que trafegam por suas diferentes áreas, muitas vezes sem o devido controle e segurança. Deverão ainda pensar em privacidade e proteção de dados desde a concepção dos seus produtos e serviços até a sua execução.

Segundo um levantamento da ABES (Associação Brasileira das Empresas de Software), o setor de tecnologia é o que está mais avançado nestas adaptações para abraçar a nova legislação, mas 56% das empresas deste mercado ainda apresentavam falhas a serem solucionadas. Muito ainda precisa ser feito por parte das empresas para que elas estejam plenamente estruturadas para atender às expectativas trazidas pela LGPD no que tange a privacidade, segurança e transparência, e caberá à ANPD criar os instrumentos normativos que garantam um ambiente de segurança jurídica nesta jornada de adaptação à Lei por pare das empresas.

Jorge Sukarie, sócio fundador e presidente da Brasoftware e vice-presidente do conselho da ABES.

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.