As empresas e a Nova Lei de Dados

Por Leandro Longhi*

Uma grande mudança impactará os negócios a partir de agosto de 2020, Trata-se da lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), que passará a regulamentar todo o processo e cuidado referente aos dados pessoais, desde sua captação, armazenamento, processamento, finalidade e proteção; ou seja, todo o “tratamento de dados pessoais”. Seja em âmbito físico ou digital.

Estamos a cerca de um ano da entrada em vigor da Lei e pouco movimento é visto neste sentido por parte das empresas para estarem organizadas e preparadas para esta nova realidade. A medida que o tempo passa, as dificuldades operacionais e custos de implantação incidirão de forma crescente para sua consecução. As mudanças organizacionais necessárias para o atendimento da lei definirão um novo sistema organizacional, não restrito a área de TI e jurídica, mas trazendo mudanças nas estruturas hierárquicas, composições estruturais nas áreas e departamentos, novos cargos e funções, políticas, diretrizes, processos, regulamentações internas, auditorias, compliance e risco, cultura e treinamento, planos de contingência e na relação da empresa com o mercado como um todo. Ou seja, uma mudança abrangente, sistêmica e cultural.

No centro de toda essa transformação estão as empresas e sua relação com o mercado e seus agentes. A empresa terá de rever todo processo de tratamento de dados na sua cadeia produtiva, tendo em vista que toda a pessoa tem controle sobre seus dados pessoais e  que tem o direito de saber como as informações coletadas serão usadas pela empresa, e sempre mediante sua autorização.

A Lei considera todo o tipo de informação, desde as mais comuns, como um cadastro para acesso ao prédio onde fica o escritório da empresa, até as sensíveis, como o prontuário médico de um paciente.

Mas por onde começar?

A ORIGEM

Sem dúvida alguma a LGDP tem base na Legislação europeia de proteção de dados, a GDPR. A GDPR que vigora desde 2016, por sua vez, tem suas raízes em 1995, onde surgiu a primeira legislação unificada europeia: Diretiva 95/46/CE, que estabelecia a proteção dos indivíduos quanto ao processamento de seus dados pessoais e a circulação dos mesmos. Nos anos entre 2011 e 2014 o assunto foi muito debatido e evoluiu ate que o Parlamento Europeu, neste último ano, se posicionou e apoiou a necessidade de uma legislação mais específica, detalhada e rigorosa sobre o tema e que vigorasse em toda a União Européia.

No Brasil, a Constituição Federal prevê em seu inciso X, que são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação, que também é respaldado no art. 21 do Código Civil, ao decretar que “A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma”

Mais recente, de 2014, conhecida como o Marco Civil da Internet, a lei 12.965 traz o assunto de dados pessoais de forma muito superficial descrevendo que  deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.

Esse conjunto de normativas tratam de forma muito genérica o tema de proteção de dados, que merece muita atenção e cuidado frente às fragilidades que os tempos atuais impõe a todos os cidadãos; e assim, por mais que a LGPD necessite de melhorias, detalhamentos e esclarecimentos, é de fato necessária e bem vinda.

AUTORIDADE NACIONAL

Com a aprovação da Medida Provisória nº 869/18, é retomada criação da Autoridade Nacional de Proteção de Dados (ANPD), que havia sido vetada na sanção presidência da LGPD, pelo então presidente Michel Temer. Esta medida provisória acabou servindo para a criação da Lei 13.853, consolidando a ANPD.

Terá uma estrutura formada por Conselho Diretor, Conselho Nacional, Corregedoria, Ouvidoria, Assessoria Jurídica e Unidades Administrativas. Os membros do Conselho Diretor serão nomeados pelo Presidente da República.

O Conselho Nacional de Proteção de Dados e Privacidade será estruturado com representantes do Poder Executivo federal, Senado Federal, Câmara dos Deputados, Conselho Nacional de Justiça, Ministério Público, dentre outros.

Nas principais atribuições da ANPD está a edição de normas e procedimentos, fiscalizar e aplicar as sanções e divulgar para a sociedade as normas e políticas de proteção de dados.

Mas a primeira grande missão e onde reside as principais expectativas da sociedade e principalmente do mundo corporativo está na formulação da Política Nacional de Proteção de Dados Pessoais e Privacidade, onde teremos um detalhamento maior da principais diretrizes a serem adotadas pelas empresas no tratamento de dados privados.

CONTEXTO ORGANIZACIONAL

Todas as empresas que operam no mercado brasileiro, sejam elas de capital nacional ou estrangeiro, com subsidiária ou matriz no país, devem atender a nova regulamentação. Cabe lembrar que as empresas brasileiras que atuam na Europa, ja estão operando e sujeitas a normativa da GDPR e tiveram que ajustar sua estrutura para poder trabalhar no mercado do velho continente, sob o risco de nem mesmo serem aceitas nas tratativas comerciais com clientes e fornecedores de lá.

Mas afinal, como as empresas devem se organizar; ou reorganizar, para estarem aptas e adequadas em operar dentro da nova ordem?

Nosso ponto de partida para essa adequação é a própria Lei. Ela não determina, de forma específica, as ações a serem adotadas pela empresa para a proteção dos dados, mas aponta as diretrizes e, em poucos casos, consegue ter descrições mais detalhada. Possivelmente esse será um ponto a ser tratado e terá atenção nos primeiro anos de ação da ANPD.

Em primeiro lugar, vamos entender a essência que determina todo esse trabalho, o tratamento de dados pessoais. Descrito da seguinte forma:

  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Ou seja, implicará em todo tipo de coleta e processamento de dados pessoais, todo. Sendo assim vamos refletir sobre o aspecto prático do impacto no cotidiano corporativo. Quando você for receber um cliente ou fornecedor no seu escritório e ele tiver de fazer um cadastro, mesmo que mínimo, para acesso ao prédio, você terá de ter um protocolo para isso, pedindo a autorização para a coleta dos dados e justificando a finalidade para qual estas informações serão usadas. Em decorrência disso, um novo processo, um documento para anuência do seu visitante, um funcionário treinado e a guarda segura desta informação. Seguindo com outra reflexão de processamento, e esta bem atual e polêmica, o uso de cookies. Quando um cliente acessa o site de um determinado fornecedor, ele muitas vezes está repassando um conteúdo de seus dados de navegação através dos “cookies”, essa coleta de dados é utilizada para “melhorar a experiência na navegação”, ou seja, para direcionar o cliente à conteúdos de seu interesse. Em muitos casos essa coleta de dados ainda “identifica” o usuário, associando seus conteúdos de interesse a determinada pessoa. Todo esse processo deverá ser revisto, principalmente quando o usuário das informações não anonimizar o cliente. Logo estaremos vendo os sites informando e pedido autorização para o uso de cookies.

Também importante estar atento aos princípios que devem ser observados no tratamento de dados, destacando:

  • Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
  • Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; e
  • Responsabilização e Prestação de Contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Estes princípios representam a “espinha dorsal” do que e como a empresa deve desenvolver em termos organizacionais, sua estrutura de regulação e limites para o uso dos dados pessoais.

Como esta implantação é inevitável, a principal reflexão estratégica da empresa é, querer aproveitar este momento para tratar este assunto de forma séria e de longo prazo, formando um processo efetivo e que proteja a empresa, principalmente no aspecto reputacional e ter um cultura corporativa voltada para a proteção de dados; ou, atender a legislação. Que, com o passar do tempo irá impor maiores exigências e terá uma atuação mais efetiva e rigorosa em termos de fiscalização, salientando que a lei prevê a criação de um canal de comunicação para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade. E deste canal sairão as principais ações da autoridade nacional. Veja o impacto da autuação do Google na França, através de denúncia coletiva, a empresa foi condenada a pagar 50 milhões de euros de multa por sua política de gerenciamento de dados pessoais, em especial, por utilizar informações para fins comerciais.

Três fatores são importantes para estabelecer os critérios internos da empresa para a implantação das medidas de proteção de dados, segundo a LGDP:

  1. Programa de Governança em Privacidade: é indicado a criação deste programa, visando  criação de políticas e processos internos que assegurem o cumprimento da legislação e a proteção efetiva dos dados pessoais, com a sistemática avaliação de risco de privacidade, no formato de Privacy Impact Assessment e um plano de contingência em caso de incidentes de vazamento de dados;
  2. Boas Práticas:  cabendo à empresa estabelecer as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais; e
  3.  Sanções: a pesada multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Sendo que esta multa poderá ser abrandada mediante a apresentação por parte da empresa, em sua defesa, de sua estrutura organizacional voltada para a proteção e privacidade, e justamente neste aspecto que todo o esforço interno trará resultado, pois se isso ocorrer, a multa será o menor problema, pois a reputação da empresa estará em jogo. E nisso a referência da GDPR já demonstra sua aplicabilidade, como o caso de uma produtora mundial de alumínio que deu publicidade a um ataque cibernético e pode ter sua pena reduzida, e o caso do banco digital, que fez acordo do R$ 1,5 milhão com o Ministério Público, por vazamento de informações de 19 mil correntistas.

A IMPLANTAÇÃO

Para começar a lidar com tanta complexidade, é recomendado que a empresa institua um Conselho de Proteção de Dados e Privacidade ou algo que o valha, formado por um time executivo, com a função de definir as diretrizes da implantação que devem estar alinhadas com o Planejamento Estratégico Corporativo, o plano de ação, orçamento e limites e, principalmente, acompanhar sua execução. Esse comitê deverá estabelecer reuniões periódicas para monitorar a evolução do projeto e o alinhamento com as diretrizes estratégicas estabelecidas.

Também será necessária criar o Comitê de Implantação, formado por equipe multidisciplinar com colaboradores internos e externos que darão vida ao planejamento. Este comitê e suas equipes serão os responsáveis pela criação e implantação de todas as estratégias e ações definidas pelo Conselho e dará o report da evolução desta.

Em nível estratégico a empresa precisará formular e estabelecer um Programa de Governança em Privacidade, como vista acima, abordando aspectos como:

  • Código de Conduta e Ética para Privacidade: caso a empresa já possua este documento, deverá complementar com descrições claras e específicas sobre o tema da privacidade de dados;
  • Política de Privacidade: documento que estabelecerá todas as diretrizes a serem seguidas pela empresa, suas unidades de negócios, subsidiárias, áreas internas, colaboradores, fornecedores, parceiros e demais stakeholders que façam parte da cadeia de valor do negócio;
  • Normativas Operacionais: destinadas a cada unidade específica da empresa em âmbito estrutural ou organizacional, entre empresas do grupo e em suas áreas operacionais, observando as características e riscos que cada uma apresenta para a preservação das informações pessoais, tais como exemplos de procedimentos e protocolos para a área comercial na realização de um cadastro de cliente, ou ainda na área de recursos humanos quando da avaliação psicológica de seus colaboradores e o cuidado com estas informações, consideradas como sensível.

            Caberá a empresa também desenvolver sua área, setor ou encontrar em sua cadeia de valor o fornecedor que estará responsável pelo tratamento e proteção dos dados pessoais, ou ainda, vinculá-los a outra área da empresa. Como estabelece a LGPD, três novas funções devem ser consideradas, os agentes de tratamento de dados, sendo estes pessoa física ou jurídica, funcionários da empresa ou terceiros:

  • Controlador: responsável pelas instruções e orientações operacionais, por tomar todas as decisões sobre a atividade de tratamento e por definir o processos e dados necessários a serem coletados e tratados. O controlador também será atribuído da função de gerar o relatório de impacto à proteção de dados pessoais, que será exigido pela ANPD;
  • Operador: responsável por realizar o tratamento de dados segundo as instruções do controlador;
  • Encarregado: será o profissional terá o vínculo com os proprietários dos dados, o controlador e ANPD. Também orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. Esta função tem correlação com o DPO (Data Protection Officer) da lei européia.

            Estes profissionais serão a linha de frente nessa nova estrutura de privacidade da empresa e responderão às autoridades em caso de descumprimento da Lei.

            Oportuno salientar que as funções e descrições de atividades destes profissionais não está detalhada na LGPD, tendo uma descrição muito genérica e também não estabelecendo a que porte de empresa haverá a necessidade da criação destes cargos.

Em âmbito organizacional, a empresa deverá estabelecer todo o processo de proteção de dados, com as devidas atribuições operacionais, regras, descrições, protocolos e demais atribuições administrativas que será seguidas por tada a empresa. Deverá monitorar constantemente os riscos e fragilidade de seu sistema, seja a proteção de dados eletrônicos ou proteção física dos dados, bem como os riscos de vazamento. Também deverá ter um plano de comunicação em caso de vazamento de dados pessoais, onde deve informar as autoridades e todas as pessoas afetadas neste aspecto, e um plano emergencial para conter possíveis incidentes. As empresas que já estão em compliance com a ISO 27000, da segurança da informação, já estão um passo a frente para atender a toda essa estrutura necessária

Por fim, a empresa deve tratar a privacidade e a proteção de dados com o desafio de transformar esse tema em valor da cultura corporativa, onde, através de suas políticas e diretrizes, seus processos e procedimentos, e uma ampla campanha de disseminação interna, com debates e reciclagens periódicas, transformará todos os seus funcionários em um agente de proteção de dados.

Muito a ser feito. E muito necessário também.

Não resta dúvida que o contexto moderno, frente às evoluções tecnológicas e a facilidade da disseminação das informações exige uma interferência legal, colocando limites nas práticas de uso dos dados pessoais, que hoje são coletados de forma indiscriminada e, muitas vezes sem anuência adequada de seus proprietários, e transformada em produtos e vendidas ao mercado. E ainda, a utilização indevida de muitas informações para práticas ilegais e criminosas. Cabe sim, aos processadores dos dados, terem a responsabilidade de garantir a privacidade e correto e apropriado uso das informações da população, tendo seu consentimento e garantindo seu sigilo. Sem dúvida isso impactará nas estruturas e orçamentos das empresas, teremos um período de muito trabalho e adaptações, mas é o amadurecimento do mercado frente aos avanços tecnológicos e a proteção do indivíduo que está em jogo.

*Leandro Longhi, é Diretor da Squadra e Especialista em Gestão de Riscos.

Para baixar nosso Guia completo, clique no link ao lado, preencha o cadastro e faça o download do nosso E-book – Plano de Implantação da Nova Lei Geral de Proteção de Dados.

Para acessar a notícia completa é só clicar aqui.