A LGPD, ou, a Lei Geral de Proteção de Dados, é um dos assuntos mais presentes ultimamente em seminários, congressos e outros eventos da área do Direito. Também, pudera. É a primeira legislação de dados que o Brasil detém. Além disso, em agosto de 2020 a legislação entra efetivamente em vigor e a maior parte das empresas brasileiras não está preparada para atender a todas as suas determinações.

Por um acaso, no escritório de advocacia ou no departamento jurídico, a equipe já parou para pensar no que fazer para proteger os dados dos clientes?

Sobretudo em tempos de 4ª revolução, a afirmação de que “informação é poder” ganha uma conotação ainda maior. Basta olhar para as empresas mais valiosas do mercado. A grande maioria gerencia dados. Quando se imaginaria que isso seria possível?

Os titulares dos dados pessoais perceberam isso. Após terem os seus dados solicitados tantas vezes, começou a surgir um incomodo. Então, os cidadãos passaram a requerer o controle sobre os seus próprios dados. Mais ainda. A querer esse direito de controle sobre as informações garantido. Assim, a LGPD veio como uma resposta a esse pedido.

Especialmente porque, em raríssimos casos, as pessoas sabiam ou sabem exatamente para onde estão direcionando o seu poder, ou seja, quase não fazem ideia do local em que vão parar os registros dos seus dados ou para que eles serão usados.

Conforme uma experiência do InternetLab com uma câmera escondida, as pessoas fornecem as suas informações pessoais sem nem perguntar a razão. O resultado, compartilhado na internet, conscientiza para a necessidade de manter os dados seguros e protegidos.

Sendo assim, esse é um dos motivos pelos quais se fala tanto em LGPD atualmente. O número de dados coletados por todos os tipos de negócio é imenso. Próximo de a lei entrar em vigor, é necessário conscientizar e se preparar para a sua execução.

7 ações para se adequar à LGPD

Considerando que as pessoas poucas reservas detêm em relação ao compartilhamento das suas próprias informações, a tendência é a de que reproduzam essa mesma conduta nas empresas em que atuam.

Assim, quando questionada sobre onde trabalha, onde está localizada a empresa, número de funcionários e se podem compartilhar um relatório “somente para eu ter de exemplo”, a maior parte das pessoas fornece tudo o que lhes é solicitado, sem questionar o real uso que será dado a cada uma das informações.

Muitas vezes, essas informações são solicitadas por amigos, conhecidos, parceiros ou possíveis clientes. Pessoas às quais geralmente se deposita uma confiança maior de que nada será utilizado com intenção escusa do que a desconfiança de que será.

Esse comportamento, somado aos inúmeros dados que são coletados, são dois fatores que geram ansiedade em todos que precisam adaptar-se à lei. Para os escritórios de advocacia e departamentos jurídicos, significa, ainda, que:

  1. É preciso gerar consciência da importância da proteção de dados nas equipes, pois, algumas atitudes corriqueiras como encaminhar um e-mail do trabalho para a caixa de mensagem pessoal para poder finalizar a análise de dados em casa é uma das atitudes que terá de ser repensada.
  2. O número de processos que poderão surgir em função da violação de dados ou do uso indevido das informações poderá aumentar a demanda do Judiciário. Sem contar que há pouca jurisprudência para alguns casos. Então, será preciso acompanhar de perto os movimentos da Justiça em relação ao que envolve a proteção de dados.

Por onde começar? Quanto ao primeiro ponto, algumas ações podem ser implementadas para se adequar à Lei Geral de Proteção de Dados.

1. Inventário do ambiente e dados

Consiste em levantar e analisar o ciclo de vida dos dados pessoais já cadastrados. Portanto, em começar por entender:

  • quais dados pessoais a empresa possui;
  • de que forma foram coletados;
  • como são armazenados;
  • com quem são compartilhados;
  • de que forma podem ser excluídos.

2. Relatório de impacto

Após o inventário do ciclo de vida dos dados pessoais, o próximo passo é levantar todos os possíveis riscos que há na atual estrutura do negócio e que possam ser alvo das sanções previstas na LGPD.

3. Instaurar o Data Protection Officer (DPO)

Quando a Lei de Proteção de Dados estiver vigorando, a partir de agosto de 2020, será imprescindível que toda empresa possua, em seu quadro ou de forma terceirizada, alguém que possa ser responsável pela gestão dos dados pessoais, o chamado Data Protection Officer (DPO).

4. Definir os padrões de segurança

A adoção de algumas tecnologias podem ser necessárias para que a empresa possa se adequar à Lei Geral de Proteção de Dados.

Dessa maneira, em termos de segurança da informação, pode ser preciso:

  • varrer os servidores locais e em nuvem, além das estações de trabalho;
  • checar a configuração das ferramentas utilizadas;
  • implementar uma solução de criptografia, caso já não exista uma;
  • adotar ferramenta de DLP (data loss prevention), responsável pela segregação de permissões de acessos;
  • implementar alarmes para identificar invasões ou tentativas de acesso indevidas;
  • definir (ou revisar) a política de backup de dados pessoais;
  • monitorar a ação de terceiros que compartilham dados com a empresa.

Já para garantir a auditoria e o controle, a sugestão é para que as tecnologias sejam capazes de:

  • monitorar e gerir o ambiente de rede;
  • fazer testes de penetração e vulnerabilidade da rede;
  • comprovar a origem e o direito de uso dos dados;
  • garantir a exportação dos dados;
  • poder rastrear os dados.

5. Revisar os contratos

A revisão de todos os contratos que contenham dados pessoais tem de ser feita para a inclusão das cláusulas relacionadas ao consentimento, à coleta e à finalidade de uso dos dados.

6. Testar e monitorar os planos de ação

Os testes e monitoramentos permitem identificar quais adequações ainda precisam ser feitas e quais têm prioridade perante as falhas detectadas. Assim, com o cenário completo, há como recomendar a execução de ações mais efetivas para adequação, de maneira que o para que o plano de ação possa ser colocado em prática com mais efetividade.

Dessa forma, há maior chance de reduzir para patamares muito pequenos os riscos que cercam as empresas e os escritórios de advocacia.

7. Compliance dedicado a data protection

Planejar e executar ações de compliance exclusivas para a proteção de dados é uma maneira de demonstrar interesse em estar em conformidade com o que determina a Lei Geral de Proteção de Dados.

Uma das principais perguntas a serem feitas para nortear esse trabalho, então, pode ser: como gerenciar os inúmeros bytes e gigabytes gerados em dados?

Encontrar essa resposta acaba por ser responsabilidade de quem está à frente do plano de adequação à LGPD, mas não somente a essa pessoa – ou ao grupo formado para tal.

Embora seja responsabilidade do compliance officer ou do grupo entender os dispositivos da lei e organizar os processos internos necessários para que a operação esteja de acordo com o que preconiza a legislação, é necessário o apoio de todas as pessoas, de todas as áreas, na execução das ações de compliance dedicado ao data protection.

Até porque algumas ações exigem que sejam revistas, por exemplo, as políticas de proteção da informação praticadas pela área de Tecnologia da Informação. Outras requerem a readequação da política de uso dos computadores de trabalho e por aí adiante para que todas as pessoas de uma mesma organização se portem da mesma maneira, entendam os riscos e saibam como gerar valor para os titulares dos dados.

Conclusão

No momento em que se começa a implementar as iniciativas necessárias à proteção de dados, é que emerge a percepção das consequências relacionadas à coleta das informações que, antes, eram pouco percebidas.

Dessas iniciativas necessárias para as empresas e escritórios de advocacia estarem em conformidade com a LGPD, todas podem exigir um certo nível de investimento. Olhar para essa conta, agora, pode fazê-la parecer onerosa. Entretanto, as sanções que poderão advir da falta de adequação à norma poderão ser mais impactantes ao caixa das empresas e dos escritórios do que a adequação.

Portanto, no fim, adequar-se ou não é uma escolha entre:

a) agir de acordo com a Lei e receber menos punições, caso elas venham, pelos esforços realizados para estar em conformidade; e

b) assumir o risco de não executar qualquer ação e arcar com a cobrança, que pode ser vultuosa, quando algo der errado e a punição pelo descumprimento à LGPD vier.

O caminho para a opção “a” consta nas 7 ações para se adequar à LGPD. Mas, para seguir pelo “b”, basta deixar tudo como está.

De qualquer maneira, agora já está claro o porquê de só se falar em LGPD ultimamente. A privacidade de dados é a nova onda devido aos dados deterem um alto valor. Hábitos de consumo, comportamento, tudo é possível controlar quando há um grande volume de dados para analisar, tratar e usar para direcionar interesses.

O novo desafio é criar sistemas de proteção de dados. Aliás, um desafio tardio, já que a constituição de 1988 desde então determina o direito à privacidade. Portanto, a Lei Geral de Proteção de Dados apenas estabelece como se deve proceder especificamente nesse direito, já garantido.

Com toda a certeza, o assunto ainda está longe de acabar. Especialmente porque em agosto de 2020 que a Lei de Proteção de Dados passa a valer efetivamente. Enfim, estejamos preparados.