Em 14 de agosto deste ano, a Lei Geral de Proteção de Dados completou quatro anos, trazendo mudanças significativas ao cotidiano das empresas. Contudo, há instituições que ainda não se adequaram à norma e resistem ao novo contexto regulatório, apesar de a LGPD produzir efeitos desde setembro de 2020 e a parte de sanções administrativas (artigos 52, 53 e 54 da LGPD) estar vigente desde agosto de 2021 (Lei n.º 14.010/2020).
Desde pequenas empresas até grandes conglomerados precisam se adaptar, pois é iminente a implantação de medidas sancionatórias, como multa simples limitada até o valor de R$ 50 milhões ou 2% do valor do faturamento da empresa. Tais castigos não impedem eventual punição judicial, ou seja, há possibilidade de condenação pelo poder judiciário. Neste momento está em andamento uma Consulta Pública organizada pela ANPD, Autoridade Nacional de Proteção de Dados, que trata especificamente da norma de dosimetria, cálculo feito para definir quais penalidades e aplicação de sanções pela ANPD. A expectativa é de que provavelmente ainda este ano, depois de concluído o processo normativo, as sanções sejam efetivamente aplicadas.
No âmbito da LGPD, o Tratamento de Dados pessoais pode ser realizado por dois agentes de tratamento: o Controlador e o Operador. O Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete às decisões referentes ao tratamento de dados pessoais. (Ou seja, é a pessoa física ou jurídica, e em qualquer formato jurídico, desde uma EIRELI até uma holding ou conglomerado) responsável pelas decisões relativas à finalidade e forma de tratamento dos dados pessoais.
Já o Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, aí incluídos agentes públicos no sentido amplo que exerçam tal função, bem como pessoas jurídicas diversas daquela representada pelo Controlador. Isto é, a pessoa física ou jurídica contratada que concorda em receber, do Controlador, dados pessoais para tratamento sob as instruções do Controlador, nos termos das cláusulas avençadas em contrato e da lei.
Um projeto de adequação à LGPD demanda uma análise sobre as atividades de todas as áreas da empresa para identificar detalhadamente onde ocorre o processamento de dados, por meios automatizados ou não, tais como coleta, registro, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, comparação ou interconexão, limitação, apagamento ou sua destruição.
O mapeamento do ciclo de vida dos dados é relevante para avaliar quais as medidas destinadas a proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou o acesso não autorizado, quando o tratamento implicar transferência de dados, e contra qualquer outra forma de tratamento ilícito, são necessárias.
Nestes casos, a empresa precisa estar preparada para tratar do tema, e uma das formas é realizar uma avaliação de impacto dos procedimentos e/ou controles que interferem na proteção e privacidade que se trata de uma ferramenta para identificar e avaliar riscos à privacidade durante todo o ciclo de vida de dados que pode envolver um programa ou sistema. Uma avaliação de impacto na privacidade indica quais informações de identificação pessoal são coletadas e explicam como essas informações são mantidas, como serão protegidas e como serão compartilhadas. Na cadeia de tratamento de dados, deve ser inserida a figura do Encarregado pela Proteção dos Dados (DPO – Data Protection Officer), pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
A própria LGPD não traz obrigatoriedades quanto à formação em si do Encarregado, mas deverá ter o suporte da diretoria e administradores como forma de fortalecer sua atuação e aumentar a cooperação dos demais funcionários da empresa, sendo envolvido em todas as operações que abarque o tratamento de dados pessoais, assim como ser convidado para reuniões de diretoria e gestão da empresa. Neste sentido, recomenda-se que seja celebrado um Contrato de Prestação de Serviços específico entre o Controlador e o DPO adequado à LGPD.
Dentro da LGPD há uma infinidade de novas normas a serem observadas pelas empresas, entre elas verificar se a quantidade de dados de modo geral e as categorias de dados pessoais envolvidas estão em conformidade com seu uso. Não se pode, por exemplo, exigir a coleta e uso de dados de religião em uma entrevista de emprego, caso tal coleta não esteja alinhada ao objetivo principal das variáveis da contratação/formato do trabalho e não seja de fato necessária. As empresas tampouco podem guardar dados pessoais indefinidamente, mas somente enquanto eles forem imprescindíveis para cumprir os objetivos legítimos de tratamento, sendo importante uma Tabela de Temporalidade que controle os prazos para guarda dos dados.
Por fim, é importante ressaltar que essa é uma área da legislação intrincada, que dialoga com outras áreas do direito, como a trabalhista, só para ficar em um exemplo, e relativamente nova, por isso propensa a uma evolução veloz dada a característica dinâmica do desenvolvimento da tecnologia usada para o armazenamento e compartilhamento de dados, com expectativa de saltos tecnológicos relevantes nos próximos anos.
Jenne Silva, sócia Assuntos Regulatórios, do VRMA Advogados.