Tudo leva a crer que a Lei 13.709 de 14 de agosto de 2018, a já famosa "LGPD", veio para ficar e, por mais que a adequação à Lei seja um caminho árduo para todas as empresas, sejam elas públicas ou privadas, é certo que para o nicho de portais eletrônicos - provavelmente, o mais bem-sucedido no ano de 2020 -, isso não será diferente. Por outro lado, a boa notícia é que se trata de uma efetiva oportunidade de se tornar um verdadeiro portal diferenciado no mercado.
A nossa intenção aqui é mostrar que esse caminho longo e complexo é extremamente eficaz para o seu negócio, afinal, a palavra de ordem é "privacidade", o direito à reserva de informações pessoais com a adoção de medidas de segurança, técnicas e administrativas aptas para proteger os Dados Pessoais de acessos não autorizados.
E nesta esteira de raciocínio, depois de muitas discussões, vetos, Medidas Provisórias e prorrogações, chega a LGPD, inspirada na legislação europeia (GDPR - General Data Protection Regulation), como forma de garantir que os Dados Pessoais dos cidadãos brasileiros sejam utilizados somente com os objetivos consentidos pelos mesmos (os chamados "titulares de direito"). Impondo ainda, em caso de descumprimento legal, advertências, multas simples de até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões além de outras penalidades.
Basicamente, isso significa que o controle dos Dados Pessoais deve ser atribuído a quem lhes pertence e, às organizações caberá informar claramente tanto os motivos pelos quais precisam de tais informações para a sua atividade empresarial, quanto a forma como estes serão tratados, do início ao fim, isto é, qual será o "ciclo de vida dos Dados Pessoais".
Implantando a LGPD
Vamos explorar esta nova oportunidade de negócio e revelar as principais ações que devem ser realizadas - por dentro do seu sistema e na tela do seu portal eletrônico - para atender à Lei?
Inicialmente, "por dentro" do portal é preciso identificar as chamadas "vulnerabilidades" e, para isso, um Inventário de Dados deve ser realizado. É a partir daí que é possível identificar os Dados Pessoais do indivíduo que são colhidos, qual a finalidade de seu uso, como estão sendo tratados (se armazenados, se compartilhados com terceiros e parceiros de negócio), se serão destruídos e descartados depois de um determinado tempo ou não, se há riscos envolvidos para o exercício de direitos e liberdades dos titulares dos dados e quais as práticas de segurança da informação necessárias para salvaguardar o direito à privacidade dos mesmos. Trata-se, portanto, de um verdadeiro "Relatório de Impacto de Proteção de Dados".
Criar um Comitê (multidisciplinar) de Proteção de Dados formado por profissionais responsáveis pelas principais áreas da empresa, também garante o compromisso e a eficácia na discussão de todas as demandas que envolvem o tema.
Este Comitê é presidido pelo chamado "DPO - Data Protection Officer" ou o "Encarregado pelo Tratamento de Dados", isto é, aquele que tem a tarefa formal de garantir que a organização esteja ciente e cumpra suas responsabilidades e obrigações de proteção de dados de acordo com a LGPD, além de ser a pessoa indicada para atuar como canal de comunicação entre a organização, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados) - órgão da Administração Pública Federal, integrante da Presidência da República, responsável, a partir de 01 de agosto de 2021, por fiscalizar o cumprimento da lei, aplicar sanções, além de zelar pela proteção dos Dados Pessoais. .
Fazer uma análise mais crítica quanto a eficácia de ferramentas de defesa existentes e uma revisão de acesso, internos e externos, a sistemas de banco de dados também são ações de suma importância.
Desenhado o real cenário é preciso realizar a adequação de seus processos internos, políticas da empresa, de seus contratos com fornecedores e clientes, identificando papeis e responsabilidades de cada uma da partes, além de ajustes de sistemas e ambientes de TI para obter e armazenar o consentimento do titular de direito.
O treinamento de toda a força de trabalho é fundamental, desde os desenvolvedores, arquitetos e analistas de sistemas até a outra ponta, o help desk, por exemplo. Todos devem estar conscientes e envolvidos em um só propósito e o discurso sobre a transparência atribuída ao tratamento dos Dados Pessoais de seus clientes deve ser único.
Indicadores de gestão, de controle de privacidade e de proteção de dados são ótimas ferramentas para acompanhamento. Sem contar com a realização de auditorias e a obtenção de certificação sobre o tema.
Por fim, vale elaborar um Plano de Ação com mitigação de riscos e problemas, tal como uma espécie de manual a ser rigorosamente seguido, até que tenham sido sanadas todas as pendências e não conformidades encontradas nas tarefas do projeto de implementação da LGPD.
Percorrido o longo e complexo caminho inicialmente citado, é chegada a hora de revelar e "tangibilizar" no seu website o verdadeiro respeito à privacidade de seus clientes e a transparência atribuída no tratamento de Dados Pessoais dos mesmos.
Algumas ações são legalmente necessárias e tidas, inclusive, como boas práticas, tornando-se até mesmo atenuantes em caso de aplicação de sanções pela ANPD, tais como: a indicação clara e expressa do(s) item(ns) alterado(s) na Política de Privacidade; do canal DPO; do consentimento no tratamento proposto para os Dados Pessoais; da real possibilidade de exercer os direitos do titular dos dados, tais como o de oposição, de esquecimento, de consulta, de correção, de portabilidade, entre outros e, por fim, a informação quanto as ferramentas técnicas utilizadas para salvaguardar os Dados Pessoais dos titulares.
Com esses breves esclarecimentos é fácil concluir que atender a LGPD é tratar os Dados Pessoais de forma ética, segura e responsável conquistando não só a confiança dos seus clientes, mas também contribuindo para um modelo de negócio totalmente Compliance, ou seja, fomentando um meio embora mais competitivo, também mais saudável para usuários, fornecedores e parceiros com condições e práticas totalmente aderentes às necessidades do mercado.
*Maria Claudia Pedroso, advogada e assessora jurídica da Petronect
