Um mês após entrar em vigor, a LGPD já afeta a dinâmica do mercado 

Um mês após entrar em vigor, a LGPD já afeta a dinâmica do mercado 

Marcela Waksman Ejnisman, Carla do Couto Hellu Battilana e Felipe Borges Lacerda Loiola*

20 de outubro de 2020 | 08h00

Marcela Waksman Ejnisman, Carla do Couto Hellu Battilana e Felipe Borges Lacerda Loiola. FOTOS: DIVULGAÇÃO

A rotina das empresas e o mundo dos negócios foram afetados pela Lei Geral de Proteção de Dados (LGPD), que entrou em vigor na sua quase totalidade em 18 de setembro. Estar em conformidade com a LGPD se tornou uma exigência de mercado e o tema já assume um papel de destaque nas negociações comerciais.

Empresas vêm solicitando a seus parceiros que demonstrem sua adequação à LGPD, mediante a apresentação de certificados e declarações de conformidade, ou mesmo realizando a inspeção de sistemas e controles de segurança da contraparte. Contratos têm sido aditados para acrescentar disposições sobre o assunto, incluindo a alocação de responsabilidades entre as partes quanto ao cumprimento de seus deveres como controladoras ou operadoras de dados pessoais, penalidades e possibilidade de rescisão contratual em caso de violação da LGPD pela outra parte, bem como direitos e procedimentos de auditoria.

Além disso, aexposição (ou não) a riscos de privacidade passou a ser considerada por compradores e vendedores nas operações de fusões e aquisições. Do lado dos compradores, seguindo tendência já consolidada na prática internacional, a avaliação da conformidade da empresa-alvo à LGPD foi incluída nos processos de due diligence, assim como os contratos de aquisição têm incluído declarações e garantias (representations and warranties) específicas dos vendedores a respeito. Do lado dos vendedores, a aderência às normas de privacidade é mais um ponto a ser levado em conta para agregar valor à empresa, tornando-a mais atrativa, potencializando o prêmio recebido pela venda do negócio.

A LGPD também impactou o dia a dia das empresas, trazendo uma série de obrigações que deverão ser observadas no tratamento de dados pessoais, sob pena de responsabilização judicial, bem como a necessidade de criação de sistemas e processos para que os novos direitos conferidos aos titulares dos dados pessoais possam ser exercidos plenamente.

Vimos, nas últimas semanas, uma construtora ser condenada ao pagamento de danos morais a cliente cujos dados pessoais foram compartilhados com parceiros sem sua autorização, tendo sido determinado que ela se abstenha de repassar informações de seus clientes de agora em diante, sob pena de multa. Foram determinados, ainda, o dano in re ipsa sofrido pelo cliente (ou seja, decorrente do próprio ilícito, sem a necessidade da prova de prejuízo) e a responsabilidade objetiva da construtora pelo compartilhamento indevido dos dados (ou seja, responsabilização independente da culpa pela violação). A decisão, da qual cabe recurso, foi fundamentada na Constituição Federal, no Código de Defesa do Consumidor e na LGPD, um diálogo das fontes que será recorrente em situações envolvendo dados pessoais de consumidores.

Em outro caso relevante, um estudante questionou no judiciário a necessidade de cadastramento de biometria facial para ter acesso ao direito de utilizar bilhete eletrônico no transporte público de Recife. A discussão envolve pontos importantes da LGPD, como o princípio da necessidade, segundo o qual o tratamento de dados pessoais deve ser pertinente, proporcional e não excessivo, e o manejo de dados biométricos, informações sensíveis cujo tratamento está sujeito a regras especiais.

Para lidar com tais situações e mitigar a exposição a incidentes envolvendo dados pessoais, é fundamental que as empresas implementem uma governança de privacidade, por meio da adoção de documentos, políticas e procedimentos, bem como a partir da conscientização de funcionários e parceiros através de treinamentos e workshops.

Nesse contexto, a figura do “encarregado”, similar ao Data Protection Officer previsto no General Data Protection Regulation europeu (GDPR) e outras normas estrangeiras, assume papel-chave. De acordo com a LGPD, os controladores deverão nomear um encarregado, que poderá ser pessoa física ou pessoa jurídica, que atuará como interface entre a empresa, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), sendo também responsável por gerir a governança de privacidade, orientando o público interno sobre o tema.

Muito se discute quanto ao perfil desse profissional. Em primeiro lugar, é essencial o conhecimento do negócio da empresa e soft skills que permitam a comunicação eficiente com colaboradores, a administração e demais stakeholders. Tipicamente, esse cargo tem sido exercido por advogados, compliance officers e profissionais da área de segurança e tecnologia da informação, mas não existe uma regra, cada empresa deve analisar o profissional que mais se encaixa em sua estrutura. É recomendável que o encarregado tenha um conhecimento genérico e seja familiarizado com todas essas áreas, contando com o auxílio de consultores externos quando necessário.

Todos esses desenvolvimentos eram esperados e são consistentes com o que aconteceu na Europa após a entrada em vigor do GDPR e em outros países que adotaram legislações de privacidade nos últimos anos. Algumas empresas saíram na frente, adequaram suas operações à lei e já implementaram uma governança de privacidade robusta. Outras ainda não concluíram a conformidade ou ainda não tiveram condições de iniciá-la.

De qualquer forma, a partir de agora, as empresas terão que considerar as normas de privacidade na estruturação de seus processos (privacy by design), de modo a impedir, com o emprego de medidas técnicas e organizacionais, o tratamento excessivo ou desnecessário de dados pessoais (privacy by default).

Para tanto, deverão se manter atualizadas quanto aos muitos desenvolvimentos em matéria de proteção de dados que são esperados para os próximos meses. Dentre eles, a perspectiva real do início das atividades da ANPD, após a recente indicação pelo presidente da República dos cinco membros do Conselho Diretor da ANPD, órgão máximo de direção da Agência, cuja efetiva nomeação está sujeita à aprovação pelo Senado Federal. A ANPD terá a função, entre outros, de regulamentar muitos dos pontos da LGPD que ainda estão em aberto, como aqueles relativos à transferência internacional de dados.

A LGPD é uma conquista que permitirá ao Brasil avançar com sua inserção na economia global e participar dos fluxos transnacionais de informações. Trata-se de processo irreversível e aqueles que aderirem às novas regras terão vantagens competitivas com relação aos demais.

*Marcela Waksman Ejnisman, sócia de TozziniFreire Advogados 

*Carla do Couto Hellu Battilana, sócia de TozziniFreire Advogados 

*Felipe Borges Lacerda Loiola, advogado de TozziniFreire Advogados 

Notícias relacionadas

Comentários

Os comentários são exclusivos para assinantes do Estadão.