As empresas e a nova lei de dados

As empresas e a nova lei de dados

Leandro Longhi*

02 de julho de 2019 | 17h00

Foto: Acervo Pessoal

Uma grande mudança impactará nos negócios a partir de agosto de 2020. A lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), passará a regulamentar todo o processo e cuidado referente aos dados pessoais, desde sua captação, armazenamento, processamento, finalidade e proteção. Seja em âmbito físico ou digital.

As mudanças organizacionais necessárias para o atendimento da lei definirão um novo sistema organizacional nas empresas, não restrito a área de TI e jurídica. Desde as estruturas hierárquicas, composições estruturais em departamentos, novos cargos e funções, políticas, diretrizes, processos, regulamentações internas, auditorias, compliance e risco, cultura e treinamento, planos de contingência e na relação da empresa com o mercado como um todo. Ou seja, uma transformação abrangente, sistêmica e cultural.

A Autoridade Nacional de Proteção de Dados (ANPD) foi criada após aprovação da Medida Provisória nº 869/18 e será formada por um Conselho Diretor – nomeado pelo Presidente da República, Conselho Nacional, Corregedoria, Ouvidoria, Assessoria Jurídica e Unidades Administrativas.

O Conselho Nacional será estruturado com representantes do Poder Executivo Federal, Senado Federal, Câmara dos Deputados, Conselho Nacional de Justiça, Ministério Público, dentre outros.

As principais expectativas da sociedade e principalmente do mundo corporativo em relação a ANPD está na formulação da Política Nacional de Proteção de Dados Pessoais e Privacidade, onde teremos um detalhamento maior das principais diretrizes a serem adotadas pelas empresas no tratamento de dados privados.

Todas as empresas que operam no mercado brasileiro, sejam elas de capital nacional ou estrangeiro, com subsidiária ou matriz no país, devem atender a nova regulamentação. Cabe lembrar que as companhias brasileiras que atuam na Europa já estão operando e sujeitas a normativa da Legislação Europeia de Proteção de Dados (GDPR), que vigora desde 2016. Estas tiveram que ajustar sua estrutura para poder trabalhar no mercado do velho continente, sob o risco de nem mesmo serem aceitas nas tratativas comerciais com clientes e fornecedores.

Mas afinal, como as empresas devem se organizar, ou reorganizar, para estarem aptas e adequadas em operar dentro da nova ordem?

A lei não determina, de forma específica, as ações a serem adotadas pela empresa para a proteção dos dados, mas aponta as diretrizes e, em poucos casos, consegue ter descrições mais detalhadas. Possivelmente esse será um ponto a ser tratado e terá atenção nos primeiros anos de ação da ANPD.

O trabalho implicará em todo tipo de coleta e processamento de dados pessoais. A empresa terá de rever todo processo na sua cadeia produtiva, pois cada pessoa possui o controle sobre suas informações pessoais e tem o direito de autorizar e saber como estas serão usadas. Desde os dados mais comuns serão considerados, como um cadastro para acesso ao prédio onde fica o escritório, até um prontuário médico de um paciente.

É importante estar atento aos princípios que devem ser observados no tratamento de dados, destacando: realização do uso para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de utilização posterior de forma incompatível com essas finalidades; compatibilidade com as finalidades informadas ao titular, de acordo com o contexto deste; limitação ao mínimo necessário para a realização de suas aplicações, com abrangência dos dados pertinentes, proporcionais e não excessivos; garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos, observados os segredos comercial e industrial; utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; adoção de medidas para prevenir a ocorrência de danos em virtude do uso desses dados; demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção das informações pessoais e, inclusive, da eficácia dessas medidas.

Estes princípios representam a “espinha dorsal” do que e como a empresa deve desenvolver em termos organizacionais sua estrutura de regulação e limites para o uso dos dados pessoais.

Como a implantação é inevitável, a empresa deve aproveitar para tratar este assunto de forma séria e a longo prazo, criando um processo efetivo que proteja a mesma, principalmente no aspecto reputacional. Uma cultura corporativa voltada para a proteção de dados, com atuação efetiva e rigorosa em termos de fiscalização, adaptada a exigências que possivelmente devem aumentar com o passar do tempo.

A lei também prevê a criação de um canal de comunicação para o registro de reclamações e deste sairão as principais ações da autoridade nacional. Veja o impacto da autuação do Google na França. Através de denúncia coletiva, a empresa foi condenada a pagar 50 milhões de euros por sua política de gerenciamento de dados pessoais, em especial, por utilizar informações para fins comerciais.

Para estabelecer os critérios internos da empresa para a implantação dessas medidas é indicado a criação de um “Programa de governança em privacidade”. Políticas e processos para assegurar o cumprimento da legislação e a proteção efetiva dos dados pessoais, com a sistemática avaliação de risco de privacidade – no formato de Privacy Impact Assessment, além de um plano de contingência em caso de incidentes de vazamento de dados.

Depois, cabe a empresa determinar as condições de organização, regime de funcionamento, procedimentos – incluindo reclamações e petições de titulares – normas de segurança, padrões técnicos e obrigações específicas para os diversos envolvidos. Sem esquecer as ações educativas, mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de informações pessoais.

A pesada multa em caso de irregularidades será de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração. Esta poderá ser abrandada mediante a apresentação por parte da empresa, em sua defesa, de sua estrutura organizacional voltada para a proteção e privacidade.

Neste aspecto que todo o esforço interno trará resultado, pois se isso ocorrer, a multa será o menor problema, tendo em vista que a reputação da empresa estará em jogo.

Não resta dúvida que o contexto moderno, frente as evoluções tecnológicas e a facilidade da disseminação das informações exige uma interferência legal, colocando limites nas práticas de uso dos dados pessoais. Isso impactará nas estruturas e orçamentos das empresas, com um período de muito trabalho e adaptações, mas é o amadurecimento do mercado frente aos avanços tecnológicos e a proteção do indivíduo que está em jogo.

*Leandro Longhi é especialista em gestão de riscos e diretor da Squadra – Gestão de Riscos

Tendências: