A nova Lei Geral de Proteção de Dados (LGPD - Lei n.º 13.709, de 14 de agosto de 2018), que disciplina a proteção de dados pessoais, entrará em vigor em de agosto de 2020. Entre as novas regras previstas está o modo como as empresas e os órgãos públicos deverão operar qualquer tipo de tratamento de dados pessoais.
Entenda-se por tratamento a coleta, a classificação, a utilização, o processamento, o armazenamento, a transferência e eliminação de dados pessoais, entre outras atividades.
Logo, ao minimamente registrar o nome e e-mail de seu cliente/ usuário/freguês, qual seja sua denominação, as entidades privadas ou públicas passarão a estar sujeitos à LGPD e, como tal, devem se adequar às regras ali previstas.
Mas, como de fato o cotidiano das empresas privadas poderá ser impactado por essa legislação? Importante salientar que, em alguns casos, serão necessários investimentos.
No campo do diagnóstico, por exemplo, uma boa forma de começar a se adequar à LGDP é verificar o status da empresa neste instante. Agentes de Tecnologia da Informação ("TI") podem rodar análises de risco e análises de impacto no negócio, o que dará uma boa ideia à empresa das vulnerabilidades de seus equipamentos e sistemas e possibilitará o mapeamento de eventuais fatores de risco.
Para se adequar à nova lei de proteção de dados, as empresas terão de levar em conta "novos protagonistas" em sua hierarquia que ficarão responsáveis pelos dados dos clientes. São eles o controlador, a quem compete as decisões sobre o tratamento das informações, o operador, que realiza o tratamento dos dados em nome do controlador (conjuntamente denominados agentes de tratamento) e o encarregado, que será responsável pela comunicação entre o controlador, o titular dos dados e a Autoridade Nacional de Proteção de Dados - entre outras obrigações e responsabilidades que a nova lei imputa aos três. Qualquer deles poderá ser pessoa física ou jurídica.
A indicação de cada um destes players é fundamental para o cumprimento da lei e para a definição de responsabilidades e atribuições internas.
A nova lei cria a figura jurídica da Autoridade Nacional de Proteção de Dados (ANPD), a quem caberá a fiscalização das empresas quanto ao cumprimento da LGPD. Essa autoridade não se limitará a verificar se controlador, operador e encarregado foram adequadamente nomeados. Além da forma, será preciso demonstrar que a empresa cumpre a legislação na prática. Consequentemente, também é altamente recomendável organizar um comitê de segurança da informação, do qual façam parte não só os agentes de tratamento, mas também membros da alta administração com poder de decisão, capazes de agilmente pôr em ação planos de gerenciamento de proteção de dados e planos de gestão de crises.
Feita a estruturação de setores e quadros responsáveis, é de suma importância que normas e diretrizes sobre proteção de dados e segurança da informação sejam criados ou aprimorados, por meio da confecção de uma cartilha de política interna.
Em tempo: sabemos todos que políticas internas são facilmente ignoradas ou esquecidas e essa cultura precisa ser modificada. No caso da LGPD, um bom programa de treinamento sobre linhas gerais da legislação, além de um tratamento de dados para todos os envolvidos executado com frequência, além de mitigar os riscos de vazamentos ou descumprimento da lei, com certeza angariará pontos aos olhos da ANPD. Arrisco dizer que a empresa que implantar essas ações vai agregar para si um diferencial importante.
Mas por que esse volume imenso de pessoas e medidas envolvidas? Esse investimento é necessário porque as penalidades previstas para quem descumprir as diretrizes da nova LGPD não são nada amigáveis para o caixa das empresas. Dentre outras penalidades previstas, a multa por descumprimento à LGPD pode chegar, dependendo da violação, a 2% do faturamento da empresa, grupo ou conglomerado no Brasil em seu último exercício fiscal, limitada a R$ 50 milhões.
Estes são alguns dos pontos aos quais as empresas devem estar atentas antes da entrada em vigência da LGPD que, apesar de parecer distante, se aproxima rapidamente e exigirá, mais dia menos dia, reflexões e ações dos empreendedores brasileiros.
*Marco Mello Cunha integra a equipe de Consultivo Empresarial, Fusões, Aquisições e Contratos do Tess Advogados
