A Lei Geral de Proteção de Dados (LGPD), de n.º 13.709/2018, entrará em vigor em agosto de 2020 – portanto, em menos de um ano –, representando importante marco para o ordenamento jurídico brasileiro.
A lei dispõe sobre o tratamento de dados pessoais por pessoa natural ou pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o desenvolvimento livre da personalidade da pessoa natural.
É prudente que as organizações se antecipem e procurem a adaptação à LGPD o quanto antes, evitando gastos exacerbados com providências de última hora.
Mudanças
A LGPD sofreu algumas alterações ao longo do processo legislativo; a última delas foi trazida pela Lei n.º 13.853/2019, que instituiu a Autoridade Nacional de Proteção de Dados (ANPD). Entre as suas atribuições, está a de cunho preventivo, pela qual deverá disseminar educação e boas práticas a toda a população, ainda pouco familiarizada com o conceito de proteção de dados e privacidade.
No entanto, a lei também cria o poder sancionatório da ANPD, o que torna imperativo que todas as organizações estejam em conformidade com as regras estabelecidas pela Lei Geral de Proteção de Dados ao tempo de sua vigência.
De fato, a lei traz sanções brandas (como a advertência), mas prevê outras bastante severas, como multa de até 2% do faturamento no último exercício do grupo no Brasil, limitado a R$ 50 milhões por infração; multa diária até o limite da multa sobre o faturamento; publicização da infração; bloqueio dos dados pessoais a que se refere a infração até a regularização; e eliminação dos dados pessoais a que se refere a infração.
Para a aplicação da sanção, a lei permite que a autoridade leve em consideração os esforços empreendidos pela instituição nos tratamentos de dados pessoais de forma diligente e segura, bem como as providências tomadas para a mitigação dos danos provenientes de incidentes de segurança. Sendo assim, faz todo o sentido que as organizações façam os melhores ajustes que puderem.
Conformidade
Para a conformidade com a LGPD, é essencial que se constitua uma estrutura de governança em proteção de dados e privacidade em que todos os colaboradores da instituição estejam realmente envolvidos e engajados. Sem o amplo envolvimento de todos eles, nem mesmo um primoroso programa de conformidade será capaz de garantir a adequação.
A instituição deve elaborar uma política de proteção de dados que contenha diretrizes, procedimentos internos, padrões de respostas a incidentes, avaliações de riscos de novos projetos, atualizações de mapeamento, classificação dos dados pessoais, procedimentos de exclusão de dados e outros pontos que a organização considerar relevante. Esses elementos devem constar na política criada pela empresa, a fim de que qualquer colaborador envolvido com o tratamento de dados pessoais tenha ciência das diretrizes estabelecidas a serem seguidas no plano adaptativo.
Na estruturação do programa de conformidade à LGPD, é preciso que se responsabilidades e atribuições internas sejam distribuídas se ter controle sobre a efetividade do programa. Além disso, a realização de treinamentos é fundamental para a capacitação e o engajamento de todos os colaboradores da instituição.
O controlador e operador devem manter registro das operações dos tratamentos de dados pessoais que realizarem. A atividade é bastante burocrática, mas configura um método de autoconhecimento bastante importante para o início da adequação da organização aos termos da lei.
Data maping
Na sequência, é necessário fazer um mapeamento dos tratamentos de dados feitos na empresa, considerando-os em todo o seu ciclo de vida: desde coleta, passando por usos e transferências e chegando a eliminação. Esse processo é chamado de data maping.
Com o mapeamento dos dados, pode-se identificar se há excessos nos tratamentos, ou se somente os dados necessários foram coletados para a finalidade proposta. É possível conferir se as bases legais usadas são condizentes para determinadas finalidades, ou se não há base que justifique o tratamento do dado coletado. Finalmente, o mapeamento permite identificar os principais focos de riscos no tratamento de dados de cada organização e que demandam mais cuidados e ações.
A lei traz a obrigatoriedade de o controlador indicar o encarregado pela proteção de dados pessoais (Data Protection Officer – DPO), pessoa natural ou jurídica, e será o ponto de conexão entre a empresa, os titulares dos dados e a ANPD. A lei não exige, mas é essencial que o encarregado tenha bons conhecimentos jurídicos e de governança, para que haja a correta convergência entre o que diz a política de privacidade estabelecida na organização e a LGPD.
A autoridade
A lei enuncia que a autoridade nacional possa editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto a prazos de adaptação à lei para microempresas, empresas de pequeno porte, startups e empresas de inovações. A atenção a esse grupo se justifica em função da condição econômica limitada e do alto volume de operações de tratamento realizadas. Pela mesma razão, a ANPD poderá flexibilizar a exigência de indicação de encarregado, usando, para tanto, o artigo 41, § 3º, da LGPD.
A organização deve ter cuidado também com os dados pessoais que já estiverem em seu poder antes do início da vigência da lei. É preciso que exista uma base legal que justifique a manutenção desses dados – ou, do contrário, deverão ser eliminados.
É essencial esclarecer que até mesmo empresas que tenham trabalhado com seriedade em uma boa adaptação não estão imunes a incidentes de segurança. Contudo, com a correta conformidade à lei, essa vulnerabilidade pode ser sensivelmente atenuada, e eventuais incidentes, minimizados.
Artigo escrito por Renato Opice Blum, advogado, economista e mestre pela Florida Christian University. Ele também é professor coordenador dos cursos de proteção de dados e Direito Digital do Insper, e presidente do Conselho de Comércio Eletrônico da FecomercioSP.