Estamos atrasados para nos adequar à Lei Geral de Proteção de Dados?

Quantas informações temos sobre nossos clientes em nossas mesas, pastas físicas, computadores, backups, aplicativos de mensagens e em outros meios? Nossos clientes sabem por que demandamos tudo isso? Será que não temos mais do que necessitamos? Essas informações estão em local seguro? Com quem compartilho essas informações e por quê? Em quantos locais temos armazenado o mesmo dado? O que acontecerá se minha rede for invadida ou um laptop furtado com registros de clientes, fornecedores, parceiros e/ou empregados?

Essas são apenas algumas das perguntas que, mais do que nunca, exigem resposta. Não se trata apenas de preservar a relação de confiança com clientes ou de mantermos sigilo. A efetiva implementação de boas práticas de governança de dados pessoais é, agora, uma obrigação legal, com data marcada para entrar em vigência: 16 de agosto de 2020.

Inspirada diretamente em legislação da União Europeia European General Data Privacy Regulation, foi promulgada, no Brasil, a Lei 13.709/2018 – alterada recentemente pela Lei 13.853. A chamada Lei Geral de Proteção de Dados Pessoais (LGPD) já requer atenção de todos, atingindo-nos como cidadãos e, em muitos casos, como profissionais.

No campo empresarial, será preciso dedicar-se, prioritariamente, a questões de segurança de dados, mesmo que nossa área não seja de tecnologia e segurança da informação. Processos, práticas e políticas organizacionais, técnicas, jurídicas, contábeis, de marketing, RH, entre outros, deverão ser revistos. E isso valerá para o setor privado e para o público, estejam os dados pessoais em meios digitais ou físicos.

O que fazer, no entanto, em um cenário em que tratamento de dados é um conceito legal tão abrangente? Como em qualquer jornada, o primeiro e mais seguro passo é a instrução, seguido por outros que garantam a adequação e a conformidade com a LGPD. Esse trajeto não terá um fim específico, pois mudará a cultura e o comportamento organizacional.

O descumprimento da nova lei poderá prejudicar a reputação da empresa, acarretar o dever de indenizar e outras sanções

Para avançarmos nessa caminhada, caberá compreendermos o que são dados pessoais, quais as atividades em que usamos esses dados, quais processos adotamos, onde os guardamos e a que riscos estamos expostos.

Traçar um plano de ação não é tarefa simples: exige métodos, planejamento, equipe engajada, investimento em assessoria técnica, em treinamento de colaboradores e, certamente, em mecanismos técnicos de segurança.

Algumas etapas de trabalho serão obrigatórias, embora a ordem de adoção seja adaptada caso a caso:

1. Nomeação da equipe de trabalho e, eventualmente, do encarregado (data protection officer).
2. Mapeamento de dados e levantamento de riscos.
3. Avaliação das legislações aplicáveis (a empresa pode estar sujeita à GDPR, além da LGPD, por exemplo).
4. Desenvolvimento ou ajuste das políticas internas de segurança de dados.
5. Realização de treinamentos internos.
6. Elaboração de políticas de privacidade e de cookies, revisão de contratos, de propostas, das operações de marketing e comunicações externas etc.
7. Implementação de procedimentos e manuais para prevenção de riscos, gestão de eventuais vazamentos de dados, bem como para atendimento aos titulares dos dados.
8. Manutenção de evidências do programa de proteção à privacidade (Autoridade Nacional de Proteção de Dados – ANPD – poderá requerer informações que atestem o cumprimento de boas práticas).

O descumprimento da nova lei poderá prejudicar a reputação da empresa, acarretar o dever de indenizar e outras sanções. A ANPD penalizará infratores com medidas que vão desde uma advertência a multas de R$ 50 milhões por infração.

Mesmo antes de entrar em vigor, a LGPD exige trabalho imediato. A execução das etapas mencionadas pode levar um ano ou mais, o que nos permite pensar que já estamos em cima da hora ou até atrasados para nos adequar. Por isso, mãos à obra.

Flavia Lubieska N. Kischelewski é advogada do setor de direito digital e da área societária de Prolik Advogados.