Kelly Carvalho assessora econômica da FecomercioSP, economista pós-graduada em Administração de Negócios e Compliance. e sócia da FFA Consultoria Econômica
Desde que entrou em vigência, em agosto de 2020, a Lei Geral de Proteção de Dados (LGPD), tem motivado uma série de avaliações sobre o processo de readequação das empresas, sobretudo, os micros e os pequenos negócios. Ainda que a Lei 14.010/2020 tenha determinado que as penalidades serão aplicadas apenas a partir de 1º de agosto de 2021, as empresas que ainda não implantaram as medidas necessárias, devem estar em conformidade com as novas regras o quanto antes. Isso porque há de ser considerada a complexidade envolvida na análise e no tratamento de dados pessoais coletados, bem como o desenvolvimento de uma política de segurança e os investimentos a serem realizados.
Cabe esclarecer que a lei é aplicável nos casos em que há utilização de informações de cidadãos para o fornecimento de bens e serviços. Já para fins particulares ou jornalísticos, artísticos, acadêmicos e necessários à segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de crimes, não há interferência da legislação em questão.
O assunto tem sido amplamente discutido, porém, mesmo a alguns meses do início da fiscalização, as dúvidas sobre a implantação das medidas de segurança ainda pairam sobre grande parte do setor empresarial.
Assim, vamos às condições prioritárias. O primeiro passo é entender os fundamentos da lei e quais as bases legais serão aplicadas para o tratamento de dados.
É importante que a empresa faça um mapeamento e classificação dos dados coletados e processados, distinguindo aqueles que são efetivamente importantes para o negócio. Em seguida, separá-los de acordo com o tipo: pessoal (que possa identificar o indivíduo (nome, RG, CPF, data de nascimento, nacionalidade, entre outros) ou sensível (origem racial ou ética, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referentes à saúde), sendo que, neste último, a lei exige consentimento específico.
Com o mapeamento dos dados, a empresa deve ser capaz de responder: quais tipos de dados coletados; como ocorre a coleta e qual a sua finalidade; com quem os dados são compartilhados; onde os dados são armazenados, de que forma e quem tem acesso a eles; e, se existe um padrão de segurança dessas informações. Com estas respostas, a empresa poderá iniciar o processo de adequação, evitando acessos não autorizados, perda, destruição ou vazamentos.
Além disso, é preciso que a empresa promova a cultura de proteção de dados em todos os seus departamentos, com treinamentos e ações de conscientização sobre a importância da transparência, a inviolabilidade da intimidade, da honra e da imagem, o respeito à privacidade, a autodeterminação informativa, liberdade de expressão, de informação, dentre outros.
Os titulares de dados devem possuir acesso facilitado às suas informações quando solicitadas, podendo, inclusive, pedir a eliminação dessas informações e a revogação do seu consentimento.
Outra ação de mesma importância é a nomeação das pessoas que terão acesso aos dados, ou seja, o controlador e o operador. O controlador geralmente será a própria empresa coletora e usuária dos dados e que tem o poder de decisão sobre eles. Já o operador, é aquele que realiza o tratamento dessas informações em nome do controlador. É obrigatória a indicação de um encarregado que será responsável pela conformidade interna da empresa com as normas de segurança e proteção dos dados pessoais, devendo atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
É necessário, também, que as empresas revisem seus contratos ou termos de uso de produtos ou serviços e as suas respectivas políticas de privacidade. Todos os termos e as políticas devem conter, de forma clara e ostensiva, a razão da coleta e do tratamento dos dados, a forma e o tempo de duração, a identificação do controlador com informações de contato, as informações sobre o compartilhamento de dados e a sua finalidade, quando houver, a definição dos agentes de tratamento e as suas responsabilidades, destacando quais são os direitos do titular dos dados (como a revisão dos seus dados, a portabilidade e a forma como a empresa vai atuar para garantir os direitos dos usuários).
Vale reforçar que um programa de compliance e governança de dados, com regras e políticas claras de boas práticas, deve estar entre as prioridades neste processo. Isso porque a ANPD poderá solicitar, a qualquer momento, os relatórios de impacto e o empresário tem de estar preparado.
Se a empresa identificar a ocorrência de incidente de segurança, com os dados pessoais de seus clientes, – e que possa gerar a eles possíveis danos – deverá comunicar à ANPD e ao titular das informações.
Embora a lei exija procedimentos específicos e, até mesmo, um tanto complexos, ela consolida toda a legislação sobre proteção de dados e privacidade, privilegiando os princípios constitucionais e proporcionando maior equilíbrio não só entre os interesses sociais e econômicos, como também de liberdade e proteção. A medida também insere o Brasil em um patamar de igualdade com a maior parte dos países da América Latina e da Europa, que já possuem legislações específicas sobre o tema. Mais ainda: irá garantir maior segurança jurídica a todos os envolvidos.
