LGPD: sua empresa está preparada?
A Lei Geral de Proteção de Dados (LGPD) regulamenta o tratamento de dados de pessoas físicas nas suas mais variadas aplicações e ambientes. Essa legislação traz mudanças na forma como as informações são tratadas atualmente, ou seja, estabelece regras para coleta, utilização, acesso, reprodução, transmissão, processamento, armazenamento, transferência e destruição dos dados pelas empresas públicas e privadas. No entanto, o trabalho de adequação não é tão simples quanto usualmente divulgado.
Atualmente, qualquer organização pode solicitar informações (dados) aos clientes (pessoas físicas), ainda que isso não tenha relação com os serviços oferecidos. Muitos desses dados eram fornecidos sob a promessa de confidencialidade; entretanto, acabam sendo comercializados sem o devido consentimento de seu titular, causando ainda uma série de transtornos, como recebimento de spams em e-mails, ligações de telemarketing, etc.
A necessidade de se ter uma lei como a LGPD surge justamente em decorrência desses problemas. De forma geral, ela detalha quais são as hipóteses legais de tratamento desses dados - e as mais importantes passam pela demonstração clara e objetiva da forma com a qual esses dados serão utilizados. Ou seja, o consentimento explícito passa a ser essencial, bem como a autorização livre dos dados que serão fornecidos por seus titulares. Da mesma forma, a empresa agora passa a ser obrigada a comprovar que aqueles dados foram obtidos de maneira lícita. É importante ressaltar que a LGPD possibilita, de forma expressa, que o titular dos dados possa requerer, a qualquer momento, a retificação, acesso ou até mesmo exclusão da autorização do uso de seus dados, se assim preferir.
Apesar de a LGPD inserir no contexto legal/empresarial brasileiro uma nova cultura do tratamento de dados norteada pela transparência, governança e a segurança, é inegável que esses sempre foram pilares que compõem a função social da empresa, conforme previsto art. 5º, inciso XXIII, da CF/88. Espera-se, agora, que as pessoas naturais e jurídicas que tratam dados com fins econômicos adotem medidas de segurança – técnicas e administrativas – aptas a proteger as informações de acessos não autorizados e de situações acidentais ou ilícitas.
Em resumo, todas as empresas, entes e empreendedores individuais, estão sujeitos à LGPD, pois, independentemente de tamanho ou segmento de atuação, o tratamento de dados acaba por ser inerente à atividade empresarial, ainda que se refira apenas à sua estrutura hierárquica interna. Apesar disso, são pelo menos dois desafios enfrentados para que as empresas se adequem.
O primeiro desafio reside exatamente na elaboração do projeto de adequação, que deve ser moldado à realidade e às necessidades específicas da empresa. Em linhas gerais, o projeto de conformidade para a LGPD compreende três fases principais: (I) mapeamento, (II) desenho de soluções e (III) implementação. A execução dessas etapas vai demandar comprometimento e trabalho árduo de profissionais de diversas áreas das empresas, incluindo também advogados (internos ou terceirizados) e profissionais da área de Tecnologia da Informação especializados em proteção de dados.
Em resumo, o desenvolvimento da parte jurídica do projeto requer a revisão minuciosa de todos os processos, documentos, contratos e políticas internas e comerciais, políticas de cookies, de privacidade, termos de uso do website e, é claro, investir pesado no treinamento dos colaboradores. Já, com relação a parte de Tecnologia da Informação envolve diversas providências relativas à observância ao ISO 27.001 e normas técnicas correlatas, tais como desenvolvimento de política de segurança de dados e adaptação de aplicações, ferramentas de controle de privacidade em sistemas e em dispositivos móveis, soluções para criptografar e anonimização de banco de dados, dentre outras medidas.
O segundo desafio, e talvez o mais significativo, consiste no monitoramento do projeto de proteção de dados no cenário pós implementação. A manutenção da conformidade à LGPD deve ser contínua e permanente, com avaliações periódicas sobre o seu funcionamento e efetividade. Além disso, é de extrema importância a realização de treinamentos periódicos e a criação de procedimentos técnicos para a promoção de uma cultura organizacional que privilegie a proteção de dados como elemento intrínseco do trabalho realizado por todos os colaboradores, bem como do feixe de relações contratuais que compõem a empresa (fornecedores, distribuidores, colaboradores, clientes, etc.). Caso isso não seja feito, os prejuízos ao negócio podem ser significativos, tanto no âmbito financeiro, em razão das pesadas multas previstas na legislação, quanto no âmbito reputacional.
(*) Luciana Sterzo é superintendente Jurídica da Tecnobank.