3 de março de 2020
LGPD – Mitos, verdades e impactos nas empresas
Faltam menos de seis meses para o início da vigência plena da Lei Geral de Proteção de Dados (LGPD). Buscando-se esclarecer o verdadeiro impacto da legislação no contexto corporativo e a melhor solução do problema, a Damiani Sociedade de Advogados, representada por dois dos seus sócios – Dr. André Gustavo Sales Damiani e Drª Marina de Almeida Santos Dias responderam seis questões fundamentais, de forma objetiva, para que as empresas possam direcionar esforços e investimento corretamente nessa necessidade de ajustes:
-
O que é LGPD?
LGPD significa Lei Geral de Proteção de Dados. Ela foi editada e aprovada pelo Congresso Nacional em 2018, como resposta à demanda do mercado internacional pela preservação da liberdade, da intimidade e da privacidade daquelas pessoas físicas que confiam os seus dados a terceiros, sobretudo em ambientes virtuais.
A fim de acreditar o Brasil como parceiro de negócios íntegro, confiável e atento à dinâmica econômica mundial, nosso legislativo se inspirou na lei europeia para disciplinar as operações com dados de pessoas físicas.
O “tratamento de dados pessoais”, assim definido pela LGPD, compreende, portanto, toda a forma de coleta, armazenamento, compartilhamento e eliminação de dados de pessoais naturais. A lei ainda exige o consentimento do titular e a clara delimitação da finalidade do tratamento dos dados, estabelecendo rigorosos padrões de proteção, com exigências técnicas que passam, invariavelmente, por soluções em tecnologia da informação, gestão de processos e governança corporativa.
-
O que é dado pessoal para a LGPD?
Engana-se quem pensa que dado pessoal é apenas o nome ou o número do RG ou do CPF. Em verdade, “dado pessoal” é toda e qualquer informação que permita identificar uma pessoa física, assim entendidos os hábitos de consumo, preferências musicais ou histórico de deslocamento, por exemplo.
-
Quem está sujeito à LGPD?
Estão sujeitas à disciplina da LGPD as pessoas naturais ou jurídicas de direito público ou privado (independentemente de sua nacionalidade ou do país de sua sede), que realizem tratamento de dados pessoais com o objetivo de ofertar ou fornecer bens ou serviços a indivíduos brasileiros e/ou situados em território nacional.
-
A LGPD está em vigor? Qual o prazo fatal para a conformidade legal?
O prazo é hoje. A LGPD já está em vigor. Contudo, a Autoridade Nacional de Proteção de Dados somente poderá impor as sanções administrativas criadas, a partir de agosto de 2020.
-
Se o meu negócio ainda não está em conformidade, qual o tamanho do risco?
A proteção aos dados de pessoas físicas não é novidade na legislação brasileira. Nossa Constituição Federal resguarda, desde 1988, a privacidade e a intimidade de todos os cidadãos. Com base nela, as normas vigentes, tais como o Código de Defesa do Consumidor, o Código Civil e o Marco Civil da Internet, já asseguram a reparação dos danos oriundos da violação de dados (indenização). Em casos extremos, o vazamento dessas informações pode, inclusive, repercutir na esfera criminal.
Não bastasse tudo isso, a partir de agosto de 2020, a LGPD permitirá a imposição de sanções administrativas a quem deixar de observar as melhores práticas de governança de dados e proteção da privacidade. Assim, aqueles que não se adequarem aos standards legais de prevenção estarão sujeitos também a penalidades administrativas diversas, conforme a complexidade da infração, podendo sofrer com multa de até 2% (dois por cento) do faturamento da empresa, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por ocorrência, sem prejuízo do citado dever de reparação já previsto pelo ordenamento jurídico brasileiro.
-
Quais os mitos relacionados ao tema?
MITO: isso é coisa para o T.I. resolver…
A abordagem do problema LGPD sob o viés exclusivamente tecnológico não funcionará. Isso porque a tradução das exigências legais para o ambiente corporativo exige expertise jurídica, que deverá se integrar às ferramentas de T.I. e aos mecanismos de governança, no propósito de compor a solução completa, efetiva e duradoura.
MITO: basta eu implementar um software que o problema está resolvido…
Ferramentas tecnológicas são, sem dúvida, um grande aliado de um programa de governança de dados eficiente, embora não resolvam o problema de forma isolada. Para que o investimento nesse recurso seja convertido em benefícios para o empresário, é essencial o suporte de uma equipe multidisciplinar apta a mapear as características da operação e recomendar produtos alinhados à estratégia de enfrentamento do problema e às necessidades da organização. Além disso, vale ressaltar que a maior ameaça aos dados controlados pelo empresário não está na possibilidade de invasão dos sistemas corporativos e sim na má gestão dos fluxos e processos internos impactados pela lei[1]. Se mal aproveitado, um bom software pode se transformar em um grande prejuízo para o negócio.
MITO: o jurídico interno possui todas as ferramentas para resolver o problema e continuar atendendo às demandas gerais e rotineiras…
A solução caseira, apesar de parecer atraente, não é a melhor opção. Como já ressaltado acima, o enfrentamento do desafio LGPD pressupõe disponibilidade de tempo para planejamento e execução do projeto, multidisciplinariedade e especialidade dos advogados envolvidos no projeto. A lei é extensa e repleta de peculiaridades que podem passar despercebidas pelos profissionais envolvidos com as demandas jurídicas diárias da empresa.
Uma vez desconstruídos alguns mitos a respeito da LGPD, a verdade é que o desafio da conformidade exige uma abordagem customizada e multidisciplinar, com integração de soluções jurídicas e tecnológicas para compor um plano de ação sólido e alinhado às características da organização. Cada empresa deve implementar uma política de proteção de dados adequada à sua exposição e à cultura que rege seu ambiente, estimulando os comportamentos esperados e fortalecendo os controles internos. O primeiro passo é, portanto, identificar as fragilidades internas em relação às exigências da lei, para, a partir delas, criar mecanismos de correção e prevenção de irregularidades no tratamento dos dados pessoais para todas as áreas da operação impactadas (“Assessment”).
Identificado o problema de forma detalhada, com certeza serão necessárias, pelo menos, 10 (dez) entregas essenciais na busca da conformidade LGPD:
- mapeamento do risco;
- implementação de programa de governança de dados;
- integração da estratégia jurídica com as soluções praticadas em T.I.;
- revisão dos processos internos impactados pela lei;
- recomendações para a implementação de um programa de segregação de funções e determinação de cadeia de responsabilidades;
- atribuição de bases legais e gestão de logs de consentimento;
- eleição conjunta de responsável pela gestão do programa de privacidade (encarregado);
- treinamento, conscientização e capacitação dos colaboradores envolvidos;
- documentação da “boa-fé” empresarial;
- possibilidade de suporte para melhoria contínua e gestão de crise.
Em síntese, não há milagre. É preciso direcionar esforços e investimento no sentido de se contratar apoio multidisciplinar e customizado de profissionais com experiência voltada à solução de um problema permeável a todos os setores da empresa, cuja solução transformará o modus operandi das corporações.
Relacionados