Sumário
TogglePor Dr. Alexandre Atheniense
Após a GDPR (General Data Protection Regulation) ter sido sancionada pela União Europeia em 2018, o tema impulsionou o legislador brasileiro a ampliar os direitos dos titulares de dados.
E com isso alertar as empresas brasileiras a se interessarem mais pelo assunto “proteção de dados pessoais” e sua regulamentação.
Este assunto ganhou relevância tendo em vista as penalidades severas e o riscos diante da capacidade exponencial das empresas em tratarem dados pessoais.
Em 14 de agosto de 2018, foi publicada a Lei n. 13.709, hoje denominada LGPD (Lei Geral de Proteção de Dados), a qual veio com o intuito de criar parâmetros padronizados para disciplinar o uso de dados pessoais tanto por pessoas físicas como pessoas jurídicas de direito público ou privado.
Isto com o objetivo maior de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Logo, as empresas estão, hoje, obrigadas a lidar com dados pessoais de forma segura e objetiva, sob pena de sanções bastante severas.
É evidente, portanto, que a adequação à LGPD se tornou indispensável para aquelas empresas.
Inclusive, varejistas, que pretendam sobreviver em um mercado onde toda e qualquer organização que se utilize de algum tipo de coleta e uso de informações de seus clientes, colaboradores, fornecedores, prestadores de serviço, devam estar em conformidade para atender tais normas proporcionando segurança jurídica não só para a própria organização mas para todos aqueles que se relacionam com ela e “tratam” dados pessoais.
Apesar do cadastro de clientes no varejo sempre ter sido muito comum e os ambientes da atualidade serem dotados de sofisticados recursos de gerenciamento de dados da internet, todos estão sujeitos às obrigações impostas pela LGPD.
Não obstante, os mais afetados serão os varejistas e e-commerces que já contam com uma grande estrutura de comunicação, negociação e trade marketing baseada em Big Data, além da utilização de cadastros, listas de e-mail e outras ferramentas de marketing digital que usam para atrair, engajar e fidelizar clientes, restando evidente, se nos atentarmos, o tratamento de dados pessoais em quase todas as ações relacionadas a cada setor.
Assim, aqueles que não procurarem soluções para uma urgente adequação portanto, estarão, em determinado momento, fatalmente excluídos do seu segmento, pois não haverá outros que, em conformidade com a LGPD, apostem no risco de se relacionarem com aqueles que não atendam à Lei, já que, inadvertidamente podem se tornar co-responsáveis.
O que os empresários precisam saber sobre a LGPD?
Toda longa jornada começa com um primeiro passo.
O processo de adequação à LGPD será mais fácil se todos os escritórios estiverem familiarizados com os conceitos da lei, seus objetivos e peculiaridades.
Listamos 13 pontos essenciais sobre a lei, que dizem respeito diretamente as empresas.
- A adequação à LGPD não é “só um problema do pessoal de informática”. Como dizem os especialistas, é transversal, envolve todos os níveis de decisão e operação, em todas as áreas da empresa, da base ao topo;
- A LGPD é obrigatória para todas empresa de todos os tamanhos;
- As penalidade são muito pesadas para quem cometer infrações. As multas, conforme a gravidade, podem chegar a 2% do faturamento líquido anual, limitadas a 50 milhões de reais por infração, podendo ser aplicadas cumulativamente;
- O processo de adequação é relativamente complexo e envolve uma ampla revisão das políticas de segurança e adoção de novos procedimentos;
- A lei já foi aprovada e entra em vigor em agosto de 2020;
- A lei tem uma abrangência ampla, vale para o tratamento de dados realizado no Brasil ou quando os dados forem coletados de pessoas no Brasil;
- A LGPD vale para tratamento de dados digitais, ou não, fora, ou dentro da internet;
- A lei abrange apenas dados de pessoas físicas;
- Em caso de vazamento, ou quando for solicitado, cabe ao controlador demonstrar que os dados foram obtidas segundo as regras da LGPD;
- O titular tem o direito de ter acesso aos dados, exigir correções e revogar o consentimento de uso;
- Em caso de vazamento ou uso indevido dos dados é obrigação do controlador da base de dados pessoais tomar as medidas para mitigar os danos, informar sobre o vazamento e responder pelo prejuízo causado;
- O objetivo da lei é assegurar a titularidade de dados pessoais e garantir os direitos fundamentais de liberdade, intimidade e privacidade, além dos demais previstos na LGPD;
- Caberá às empresas, ou aos chamados “agentes de tratamento” um inventário detalhado de como a lei interfere em suas atividades;
O que vai mudar na rotina das empresas?
Será necessário abandonar velhos hábitos e adquirir outros novos. O caminho da conformidade à LGPD não tem uma reta de chegada.
É um processo contínuo, portanto, não espere encerrar a questão do dia para noite.
Tão importante quanto estar conforme é se manter conforme.
A lei preceitua a necessidade de construir uma cultura de valoração dos dados pessoais, a exemplo do que ocorreu no passado em relação aos direitos individuais relativos às relações de consumo.
Será necessário abandonar velhos hábitos e adquirir outros novos. Tarefas rotineiras como solicitar informações a um cliente por e-mail exigirão alguma camada extra de proteção. Portanto, paciência.
Para tornar as coisas ainda mais desafiadoras existem muitos dispositivos que ainda precisam ser regulamentados e já deixam margem para dúvidas.
Por isso, além de paciência será preciso manter a atenção e percorrer o caminho da adequação com segurança, pois é possível que durante o processo alguns incidentes venham a acontecer e necessitarão ser enfrentados na maior brevidade possível.
Esse guia tem a ambição de ajudar a introduzir a discussão dentro dos escritórios de advocacia de todos os tamanhos, para ajudá-los a dar os primeiros passos em segurança.
10 passos para executar um plano de adequação à LGPD
Decisão “Top Down”
A decisão de colocar em prática o projeto de adequação à LGPD deve ser uma medida “Top Down”, ou seja, deve partir da iniciativa daqueles que exercem o poder diretivo.
Esses devem estar conscientizados de que o orçamento para o projeto deve ser da Diretoria e não de um setor operacional, pois são os gestores que exercem a governança que serão os responsáveis por eventuais incidentes futuros.
Criação de comitê multidisciplinar
Diante disso, o passo primordial é a criação de um comitê multidisciplinar, envolvendo setores de uma empresa que sejam estratégicos quanto ao tratamento de dados pessoais, ou seja: negócios, produtos, jurídico, RH, segurança, infraestrutura, comunicação, marketing, desenvolvimento e, sobretudo, um membro que seja do board da organização para exercer o poder decisório com maior brevidade.
Esse comitê deve ter a função de: apurar informações e compreender com celeridade vários aspectos estratégicos que se relacionam com o tratamento de dados pessoais; as normas vigentes que regulamentam o tema, os processos internos e externos e os requisitos mecanismos de controle quanto aos riscos jurídicos envolvidos.
Análise e revisão normativa
3.1. Levantamento, leitura e análise de todas as normas internas em uso na empresa sobre tratamento de dados;
3.2. Apuração de todas as partes envolvidas com as quais a empresa se relaciona a partir do tratamento de dados pessoais, seja no ambiente interno ou externo;
3.3. Revisão de todos os contratos em vigor que se relacionam com o tratamento de dados pessoais;
3.4. Elaboração ou revisão de políticas, relatórios e outros documentos exigidos por lei;
Análise e revisão dos processos internos e externos
4.1. Mapeamento de todos os processos internos e externos que tratam dados pessoais da organização;
4.2. Identificação das lacunas relativas a riscos quanto a privacidade e proteção de dados pessoais nos processos mapeados;
4.3. Assessoria na revisão dos processos envolvidos para adequá-los de acordo com a política de privacidade e outras obrigações legais.
Análise e revisão dos sistemas
5.1. Identificação de lacunas nos sistemas que possam representar risco de vazamento ou de uso indevido de dados pessoais;
5.2. Assessoria e cooperação com o time de tecnologia da informação para promover alterações e mudanças nos sistemas utilizados de forma a adequá-los à política de privacidade e às obrigações legais.
Utilizar software específico
Diante do volume e especificações das informações coletadas e analisadas, e a necessidade de verificação constante dos mapas de riscos e gravidade, além da emissão de relatórios, é indispensável o uso de um software específico de DPMS – Data Protection Management System.
As funcionalidades essenciais que este software deve apresentar são: possuir uma plataforma para centralizar toda a operação de coleta, análise e emissão de relatórios, geração de mapas de riscos, elaboração de relatórios exigidos por lei, desburocratização da execução das atividades com a desnecessidade de operar simultaneamente diversas planilhas e documentos.
Nomear um Encarregado de Proteção de Dados
A lei também obriga todas as empresas a nomear um Encarregado de Proteção de Dados (DPO – Data Protection Officer). Sua principal obrigação é zelar pela aplicação e disseminar boas práticas em relação ao tratamento de dados.
Além disso, ele será a interface com a Autoridade Nacional de Proteção de Dados (ANPD).
O EPD também será responsável por receber reclamações e informes dos titulares e órgãos competentes e prestar esclarecimentos, além de adotar providências e orientar funcionários sobre as boas práticas.
A identidade e as informações de contato do EPD precisam ser divulgadas publicamente, com clareza e objetividade no site do controlador.
No caso de EPD, DPO e ANPD, por enquanto temos apenas siglas, que ainda dependem de regulamentação. Nossa sugestão é que as empresas comecem a se habituar a essas exigências.
Um plano para começar o trabalho de adequação à LGPD já está expresso em procurações. O importante é identificar as várias situações para tomar as medidas adequadas.
O cargo de DPO poderá ser exercido por um grupo de pessoas estrategicamente nomeadas que unam os seus talentos para atuarem neste encargo.
Mapear o fluxo de dados
Entender como os dados circulam pela empresa, quem lida com eles e para onde são encaminhados é uma das etapas mais importantes desse trabalho.
Daí ser fundamental o envolvimento de todos os níveis hierárquicos e uma ideia clara de quantas pessoas diferentes têm acesso a informações sensíveis. Note que a lei fala em dados, aplicando-se tanto aos que circulam em formato digital e pela internet, como os que estão em arquivos de papel.
Mapear os fatores de risco e executar um plano de ação imediato
Depois de compreender a lógica de circulação dos dados pela empresa, chega a hora de mapear os riscos e definir as providências a ser tomadas.
Aqui, a noção de risco está associada, especialmente, às chances de uma informação vazar, ou de ser conhecida por quem não deveria. Existem vários fatores de riscos, que normalmente giram em torno de quatro pontos:
9.1. Equipamentos e sistemas
A rede, computadores e demais equipamentos estão protegidos adequadamente com firewall, armazenamento em nuvem e outros dispositivos de segurança?
Aqui, naturalmente, o nível de segurança exigido varia de empresa para empresa. Porém, é consenso entre especialistas que, hoje, nenhuma empresa deve prescindir de algum nível de proteção envolvendo uso de softwares que propiciem maior controle sobre os riscos de segurança da informação e tratamento de dados pessoais para repelir invasões, antivírus e manutenção periódica dos equipamentos e atualização de softwares.
É extremamente recomendável a contratação de profissional especializado, que poderá sugerir um nível de segurança adequado.
9.2. Políticas e procedimentos
Um dos aspectos mais importantes da LGPD é quanto à exigência de se manter registros escritos, trilhas para auditoria e procedimentos operacionais claros.
Começa do nível mais básico, como a adoção de critérios para geração de senhas seguras e outros procedimentos.
Por exemplo: o que uma recepcionista deve fazer se receber, por engano, informações de um cliente? Onde deve ser mantido um arquivo de notas tomadas em uma reunião? Que informações devem ser destruídas?
Além disso, as escritórios deverão produzir ou revisar seus próprios termos de procedimentos operacionais para obter consentimento para uso de dados pessoais.
No caso das empresas com seus colaboradores, o recomendado é anexar e formalizar o termo de consentimento ao contrato de trabalho. O importante é identificar as várias situações em que os dados pessoais circulam para tomar as medidas adequadas.
9.3. Pessoas
As pessoas são os elos mais frágeis de uma cadeia de segurança. A melhor forma de lidar com isso é mantê-las devidamente informadas sobre os procedimentos, treinadas para lidar com eles e sistematicamente avaliadas.
A LGPD é extremamente exigente em relação a esses pontos.
Mais do que um sistema de direitos e responsabilidades, a LGPD quer estimular o desenvolvimento de uma cultura de proteção de dados pessoais e, por essa razão, valorizar a adoção de medidas nesse sentido, inclusive como critério para redução de eventuais punições.
Por isso, é fundamental manter a equipe sempre treinada e informada a respeito.
9.4. Tipos de dados pessoais tratados
A lei define a existência de dados considerados sensíveis, que podem resultar em danos imediatos caso sejam divulgados.
Eles requerem cuidados especiais e só podem ser solicitados para finalidades específicas. Entre eles, dados sobre: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, filiação religiosa, sobre a saúde, sobre a vida sexual, dados genéticos, informações biométricas.
O tratamento de dados de crianças e adolescentes requer cuidados especiais e só pode ser realizado com consentimento específico de responsável.
Implementar um registro de tratamento de dados, processos e sistemas
A lei determina a adoção de uma metodologia de data mapping que consiste em manter registros da coleta até a exclusão em toda e qualquer atividade de tratamento de dados pessoais, indicando quais dados serão coletados, a base legal que autoriza seu uso, às suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento, e com quem os dados podem ser eventualmente compartilhados.
Ou seja, o trabalho consiste em detalhar, organizar e manter registros dessas operações.
Verificações periódicas e treinamentos in company
A garantia de eficiência da efetivação e manutenção das mudanças e revisões operacionais demandam que a organização execute verificações periódicas de modo a assegurar sempre o menor risco jurídico quanto ao tratamento de dados pessoais.
Essas auditorias visam manter normas, processos e sistemas em nível adequado de conformidade com as leis de proteção de dados.
Capacitar e formalizar continuamente esta atividade com todos os colaboradores e fornecedores envolvidos com o tratamento de dados pessoais é indispensável para dar legitimidade a empresa em incidentes e, sobretudo, para dar continuidade ao programa de governança digital corporativo.
Para saber mais, baixe o E-book do Escritório Alexandre Atheniense Advogados sobre assunto e/ou faça um pré-diagnóstico customizado e gratuito para sua empresa.