A Lei Geral de Proteção de Dados (LGPD) completou um ano trazendo esperanças e muitas dúvidas sobre sua implantação. Por um lado, a legislação tem uma inequívoca importância como novo marco regulatório brasileiro no tocante à privacidade e à proteção de dados pessoais, e tem o potencial de favorecer a inserção plena do Brasil na economia digital global (ao fazer com que o Brasil seja reconhecido como um país que fornece proteção adequada a estes dados). Por outro lado, o processo de transição da LGPD – que entra em vigor em agosto de 2020 – tem sido caótico, principalmente devido a ausência de maior regulamentação até o momento.
Como se sabe, a LGPD nasceu “incompleta”, pois a Autoridade Nacional de Proteção de Dados (ANPD) – órgão responsável por, entre outras atribuições, editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, realizar auditorias, e fiscalizar e aplicar sanções – foi originalmente vetada. A lei que criou a ANPD (vinculada à Presidência e sem a independência formal originalmente prevista) foi sancionada somente em julho passado. Até hoje nenhum diretor foi nomeado pelo presidente para o Conselho Diretor da ANPD, muito menos sabatinado pelo Senado.
O resultado é que a um ano da entrada em vigor da LPGD, existe uma lacuna de instruções normativas para orientar minimamente empresas e titulares de dados sobre as inúmeras obrigações criadas pela lei. Por exemplo, a lei prevê que a ANPD poderá estabelecer hipóteses de dispensa da indicação do encarregado de proteção de dados, o DPO. Contudo, na ausência desta regulação, prevalece o texto atual, que determina que todas as empresas que tratam dados, independentemente do volume de operações ou número de funcionários, precisarão indicar um encarregado.
Outro problema é que a LGPD, embora inspirada pelo Regulamento Geral de Proteção de Dados da União Europeia (GDPR), é bem mais enxuta e vaga que a legislação europeia: são apenas 65 artigos da lei brasileira contra 272 artigos (173 no preâmbulo e 99 na lei propriamente dita) da GDPR. O resultado é que sem a regulação, muitos artigos da LGPD têm difícil aplicação. O art. 37 determina para as empresas a obrigação de manter registro das operações de tratamento de dados pessoais que realizarem, mas não oferece orientação sobre como isto deve ser feito. Para comparar, a GDPR estabelece quais informações devem constar nestes registos, como estes devem ser feitos, e quais empresas estão dispensadas desta obrigação.
Para quem já trabalha com a adequação à lei, nota-se ainda muitas dúvidas em relação ao alcance da legislação. Há um entendimento errôneo de que empresas B2B não seriam afetadas pela lei, por exemplo. Porém, tais empresas provavelmente possuem, no mínimo, dados de seus funcionários – contratados, aliás, após o RH ter feito a chamada “perfilação” dos candidatos – e podem possuir dados recebidos de seus parceiros comerciais. Pode-se dizer que todas as empresas terão, em maior ou menor grau, que se adaptar à LGPD.
O que devo fazer? – O caminho para adequar sua empresa às novas regras da LGPD pode ser bem complexo. Há pouco tempo para implementar todas as mudanças que a nova lei exige. Também é importante compreender que a adequação à LGPD requer uma abordagem multissetorial, envolvendo equipes jurídica, recursos humanos, TI, RH, e negócios, entre outras. Porém, com a alocação de recursos, estabelecimento de metas, e a orientação correta, é possível estar em compliance com a lei até agosto de 2020.
· A primeira etapa para qualquer projeto bem-sucedido de LGPD é o chamado data-mapping, mapeamento de quais dados pessoais sua empresa possui. Sem saber de que modo sua organização coleta, armazena, trata, compartilha e elimina dados pessoais, toda atividade de adequação à lei ficará comprometida. Este mapeamento pode ser feito manualmente, embora algumas empresas de TI já prometam ferramentas para auxiliar sua empresa com este trabalho.
· A partir deste mapeamento, é recomendado que as empresas passem a registrar todas as suas atividades de processamento de dados, mesmo que (como visto) a LGPD não estabeleça requisitos específicos sobre como fazê-lo (um modo conservador de fazê-lo é seguir os requisitos estabelecidos no Artigo 30 da GDPR). Além disso, as empresas precisarão identificar qual a hipótese legal para cada atividade de tratamento de dados (há 10 delas na LGPD). Para empresas que tratem dados com base no consentimento do titular de dados, atenção adicional deve ser dada aos requisitos previstos nos artigos 8º e 9º da LGPD, incluindo a disponibilização ostensiva de informações sobre cada um dos novos direitos criados pela lei.
· De um ponto de vista jurídico, o próximo passo seria a revisão de documentos com Termos de Uso e Políticas de Privacidade para que estejam de acordo com a LGPD. A criação de manuais e guias de boas práticas é outra medida que ganhará importância dentro de empresas. Em qualquer hipótese de uso compartilhado de dados pessoais, será necessário incluir cláusulas – ou mesmo estabelecer contratos específicos – deixando claro quais são as responsabilidades de cada parte quanto ao tratamento de dados pessoais, bem como os requisitos mínimos de garantia que ambas as partes estão em compliance com a lei. Isto porque a responsabilidade por violações à LGPD é objetiva (independente de culpa ou negligência) e solidária (sua organização pode ser responsabilizada ainda que tenha sido a empresa com quem você compartilhou dados que tenha violado a lei), de modo que todo cuidado com o compartilhamento de dados será pouco.
· Não esqueça que a LGPD também se aplica ao chamado público interno, isto é, os dados pessoais de seus funcionários também se encontram protegidos sob a nova lei. Alguns dados pessoais, como origem racial ou étnica, filiação a sindicato, dados de saúde e biometria (incluindo o uso da digital para acesso ao local de trabalho) são considerados dados pessoais sensíveis, ficando sujeitos a restrições ainda mais rígidas. Além disso, mesmo dados pessoais de pessoas alheias a relação de trabalho, como é o caso de currículos recebidos, passam a ser afetados pela nova lei.
· Conforme a Autoridade Nacional de Proteção de Dados comece a editar normas e regulamentar a lei, as empresas terão de se adaptar a novas mudanças. Assim, estar em compliance com a LGPD implicará também em um trabalho contínuo de treinamento de seus funcionários, especialmente aqueles que estiverem envolvidos diretamente com o tratamento de dados em sua empresa.
· É recomendado que a organização adote um plano de governança de dados e adote medidas de segurança dos dados pessoais pelos quais seja responsável. Estar preparado para atender aos requerimentos dos titulares de dados (como a solicitação de acesso a todas as informações que sua organização possui sobre eles) também será fundamental.
Conte com apoio profissional – Lembre-se: embora as sanções previstas pela LGPD assustem (incluindo multa de até R$ 50 milhões), a pior punição possível para sua empresa poderá ser a perda de reputação. Ser vista como uma organização que não fornece proteção adequada a dados pessoais passará a ser uma violação cada vez mais grave conforme estes ganhem cada vez mais relevância econômica.
A Abe Advogados pode lhe ajudar com todo este processo, incluindo o mapeamento de dados e a identificação do fundamento jurídico para o tratamento de dados e seu registro, a revisão de documentos e contratos (incluindo sua política de privacidade e termos de uso) e a criação de manuais e outros guias de boas práticas para que a conduta de sua empresa esteja de acordo com a legislação e as melhores práticas internacionais, a orientação jurídica e para ajudar sua empresa a entender e se adequar a todas as obrigações criadas pela LGPD, e a realização de treinamentos internos para garantir que seus funcionários conheçam, entendam e saibam como lidar com a nova lei, bem como seus eventuais regulamentos.
Além dos cuidados jurídicos, sua empresa precisará atualizar suas práticas de TI e cibersegurança para garantir que todos os dados pessoais sob sua responsabilidade estejam de acordo com as melhores práticas internacionais. Técnicas de criptografia podem protegê-lo em caso de vazamentos. A organização de dados também é importante, pois sua empresa pode ter dados pessoais desnecessários, inválidos, ou duplicados, que podem e devem ser eliminados, reduzindo riscos à sua empresa.
