A LGPD, ou, a Lei Geral de Proteção de Dados, é um dos assuntos mais presentes ultimamente em seminários, congressos e outros eventos da área do Direito. Também, pudera. É a primeira legislação de dados que o Brasil detém. Além disso, em agosto de 2020 a legislação entra efetivamente em vigor e a maior parte das empresas brasileiras não está preparada para atender a todas as suas determinações.

Por um acaso, no escritório de advocacia ou no departamento jurídico, a equipe já parou para pensar no que fazer para proteger os dados dos clientes?

Sobretudo em tempos de 4ª revolução, a afirmação de que “informação é poder” ganha uma conotação ainda maior. Basta olhar para as empresas mais valiosas do mercado. A grande maioria gerencia dados. Quando se imaginaria que isso seria possível?

Os titulares dos dados pessoais perceberam isso. Após terem os seus dados solicitados tantas vezes, começou a surgir um incomodo. Então, os cidadãos passaram a requerer o controle sobre os seus próprios dados. Mais ainda. A querer esse direito de controle sobre as informações garantido. Assim, a LGPD veio como uma resposta a esse pedido.

Especialmente porque, em raríssimos casos, as pessoas sabiam ou sabem exatamente para onde estão direcionando o seu poder, ou seja, quase não fazem ideia do local em que vão parar os registros dos seus dados ou para que eles serão usados.

Um vídeo elaborado pelo Intervozes demonstra os efeitos desse desconhecimento. Na cena, uma mulher espera para fazer uma entrevista de emprego. Quando é chamada pelo recrutador, recebe a notícia de que não será contratada, apesar de ser a melhor candidata. Sem entender a razão desse retorno, faz uma retrospectiva dos seus últimos passos. Então, se dá conta de que ao informar o CPF na farmácia em que comprou um teste de gravidez, deu acesso aos seus dados pessoais a terceiros. A informação chegou até o recrutador, que aparentemente desistiu de contratá-la pela possibilidade dela estar grávida.

Em outra experiência do InternetLab com uma câmera escondida, as pessoas fornecem as suas informações pessoais sem nem perguntar a razão. O resultado, compartilhado na internet, conscientiza para a necessidade de manter os dados seguros e protegidos.

Sendo assim, esse é um dos motivos pelos quais se fala tanto em LGPD atualmente. O número de dados coletados por todos os tipos de negócios é imenso.

Por dados, não entende-se apenas o CPF informado em uma compra na farmácia. Dados pessoais, para além do CPF e do RG, é toda e qualquer informação que permite identificar uma pessoa ou pode levar a identificá-la. Em um caso verídico, noticiado pelo site G1, uma mulher moveu uma ação de divórcio contra o seu marido na época depois de navegar pelo Google Street View e reconhecer o carro dele estacionado em frente à casa de uma amiga, com quem ele a estava traindo. O carro tinha calotas personalizadas e isso foi o suficiente para identificá-lo.

Além de considerar esse tipo de dado, a Lei inclui entre essas informações os dados chamados sensíveis. Esses, especificamente, são as informações que identificam orientação política, religiosa, sexual, entre outras.

A LGPD tenta, de alguma forma, regulamentar o uso dessas informações. A lei se aplica tanto a dados online quanto aos offline, ou seja, aqueles registrados apenas em papel. Além disso, também se aplica a dados pessoais corporativos, sem interessar o porte da empresa.

Portanto, próximo de a lei entrar em vigor, é necessário conscientizar e se preparar para a sua execução. Um bom começo é desfazer os mitos gerados em torno da LGPD.

O atributo alt desta imagem está vazio. O nome do arquivo é Divulgação-Planos-Convex-Banner-Blog-Post.jpg

Principais mitos em torno da LGPD

Mito 1 – A LGPD se aplica somente a empresas grandes

O primeiro mito é acreditar que as micro e pequenas empresas não são atingidas pela Lei Geral de Proteção de Dados.

Em função desse mito, muitas podem perder mercado pela falta de adequação, já que a maior parte das empresas de grande porte irão negociar, a partir de agora, somente com fornecedores que preocupam-se em atender os quatro pilares da LGPD:

  1. Transparência;
  2. Controle;
  3. Consentimento;
  4. Segurança da informação.

Portanto, a legislação de proteção de dados é um tema que afeta toda atividade empresarial. Por isso, é preciso entender cada possibilidade e como ela se aplica.

Mito 2 – É preciso de consentimento para tudo

Para que os dados pessoais possam ser usados, a legislação de proteção de dados exige consentimento. Esse consentimento não é o mesmo que política de privacidade nem semelhante a contrato de adesão. Também, não se faz necessário em todos os casos.

O que a lei estabelece é que o consentimento precisa ser livre, informado, determinado, às vezes específico, expresso e inequívoco. Afinal, é preciso que o titular dos dados possa se opor ao uso das suas informações para qualquer fim (livre) e realmente saiba para que serão utilizados seus dados (informado).

O consentimento somente é dispensado se for comprovado por base legal o legítimo interesse, sobre o qual a LGPD também trata. Em contrapartida, as empresas terão de documentar e justificar porque é necessário usar tais dados.

Por exemplo, para usar as informações existentes em um contrato como base para realizar uma ação, como oferecer um determinado serviço a pessoa que já é cliente. Nesse caso, deve haver uma ponderação. A empresa deve se questionar se o uso dos dados que estão no contrato tem um propósito justo e se esses dados são imprescindíveis para executar seu projeto. Ainda, fazer um balanceamento entre o que é seu direito enquanto empresa de usar a informação e o impacto que o uso dos dados vai ter no contratante.

De qualquer forma, as responsabilidades sobre o uso dos dados permanecem as mesmas, exista ou não o consentimento expresso do titular dos dados.

Mito 3 – A LGPD inviabiliza muitos negócios

Há quem acredite que a LGPD inviabiliza os negócios. Mas, para muitos especialistas, a legislação para proteção de dados irá melhorar a relação das empresas com seus consumidores em função da maior confiança que esses últimos sentirão por ter seus dados protegidos. A ideia por trás é a de que quanto mais a empresa conhecer o cliente, quanto mais precisa, correta e clara for a troca de informação, melhores serviços poderão ser oferecidos.

“A organização enxergar na uma lei janela de oportunidade vai além. Criará novos produtos. A que a enxergar como uma obrigação legal vai fazer análise centrada nos riscos regulatórios”, destacou o advogado Bruno Bioni no ADV Conference 2019.

Na visão do advogado, o que as empresas precisam não de gestão para mitigação de risco, e sim baseada em inovação. “Atuar na proteção da reputação com base na transparência pode gerar confiança no titular do dado. E quanto mais inovação, mais competitiva é empresa e maior é a sua reputação”, avaliou. 

Uma comparação que é feita, para deixar esse entendimento mais claro, é com os programas de compliance.Ao colocar um selo de compliance em seus produtos ou serviços, uma marca pode se diferenciar para o consumidor, por o fazer se sentir seguro para entregar seus dados.

Mito 4 – Toda a responsabilidade é do Data Protecto Office (DPO)

Não adianta ter uma consultoria jurídica e/ou técnica, ou tecnologia se no fim do dia não houver engajamento de quem está dentro da organização para cumprir os preceitos da LGPD. O Data Protector Office não consegue nenhum resultado sozinho. É preciso engajar a(s) equipe(s) para garantir o sucesso na adequação à Lei de Proteção de Dados.

São os colaboradores quem precisam implementar as boas práticas de uso dos dados previstas na legislação. Caso contrário, o Plano de Conformidade de Dados Pessoais será deficitário.

Sendo assim, a proteção de dados pessoais precisa ser entendida como uma missão da organização, e não de uma só pessoa. Precisa ser internalizada tanto quanto a própria missão da empresa. 

Principalmente porque quanto mais for delegado somente para o DPO a criação do Plano e a montagem da estrutura de aprendizado necessária para conscientização, pior será para ele e pior será para a empresa a longo prazo. Dessa maneira, há o risco de os colaboradores não compreenderem os desafios e os conceitos básicos da proteção de dados pessoais. Por essa razão, é preciso haver sinergia, o que significa que nenhuma área deve permanecer isolada e sem se envolver completamente nas questões envolvendo a LGPD.

9 ações para se adequar à LGPD

Considerando que as pessoas poucas reservas detêm em relação ao compartilhamento das suas próprias informações, a tendência é a de que reproduzam essa mesma conduta nas empresas em que atuam.

Assim, quando questionada sobre onde trabalha, onde está localizada a empresa, número de funcionários e se podem compartilhar um relatório “somente para eu ter de exemplo”, a maior parte das pessoas fornece tudo o que lhes é solicitado, sem questionar o real uso que será dado a cada uma das informações.

Muitas vezes, essas informações são solicitadas por amigos, conhecidos, parceiros ou possíveis clientes. Pessoas às quais geralmente se deposita a confiança de que nada será utilizado com intenção escusa.

Esse comportamento, somado aos inúmeros dados que são coletados, são dois fatores que geram ansiedade em todos que precisam adaptar-se à lei. Para os escritórios de advocacia e departamentos jurídicos, significa, ainda, que:

  1. É preciso gerar consciência da importância da proteção de dados nas equipes, pois, algumas atitudes corriqueiras como encaminhar um e-mail do trabalho para a caixa de mensagem pessoal para poder finalizar a análise de dados em casa é uma das atitudes que terá de ser repensada.
  2. O número de processos que poderão surgir em função da violação de dados ou do uso indevido das informações poderá aumentar a demanda do Judiciário. Sem contar que há pouca jurisprudência para alguns casos. Então, será preciso acompanhar de perto os movimentos da Justiça em relação ao que envolve a proteção de dados.

Por onde começar? Quanto ao primeiro ponto, algumas ações podem ser implementadas para se adequar à Lei Geral de Proteção de Dados.

1. Inventário do ambiente e dados

Consiste em levantar e analisar o ciclo de vida dos dados pessoais já cadastrados. Portanto, em começar por entender:

  • quais dados pessoais a empresa possui;
  • de que forma foram coletados;
  • como são armazenados;
  • com quem são compartilhados;
  • de que forma podem ser excluídos.

Esse registro das atividades, aliás, é uma das exigências da LGPD.

2. Relatório de impacto

Após o inventário do ciclo de vida dos dados pessoais, o próximo passo é levantar todos os possíveis riscos que há na atual estrutura do negócio e que possam ser alvo das sanções previstas na LGPD.

3. Instaurar o Data Protection Officer (DPO)

Quando a Lei de Proteção de Dados estiver vigorando, a partir de agosto de 2020, será imprescindível que toda empresa possua, em seu quadro ou de forma terceirizada, alguém que possa ser responsável pela gestão dos dados pessoais, o chamado Data Protection Officer (DPO).

4. Definir os padrões de segurança

A adoção de algumas tecnologias podem ser necessárias para que a empresa possa se adequar à Lei Geral de Proteção de Dados.

Dessa maneira, em termos de segurança da informação, pode ser preciso:

  • varrer os servidores locais e em nuvem, além das estações de trabalho;
  • checar a configuração das ferramentas utilizadas;
  • implementar uma solução de criptografia, caso já não exista uma;
  • adotar ferramenta de DLP (data loss prevention), responsável pela segregação de permissões de acessos;
  • implementar alarmes para identificar invasões ou tentativas de acesso indevidas;
  • definir (ou revisar) a política de backup de dados pessoais;
  • monitorar a ação de terceiros que compartilham dados com a empresa.

Já para garantir a auditoria e o controle, a sugestão é para que as tecnologias sejam capazes de:

  • monitorar e gerir o ambiente de rede;
  • fazer testes de penetração e vulnerabilidade da rede;
  • comprovar a origem e o direito de uso dos dados;
  • garantir a exportação dos dados;
  • poder rastrear os dados.

5. Revisar os contratos conforme a LGPD

A revisão de todos os contratos que contenham dados pessoais tem de ser feita para a inclusão das cláusulas relacionadas ao consentimento, à coleta e à finalidade de uso dos dados.

6. Testar e monitorar os planos de ação

Os testes e monitoramentos permitem identificar quais adequações ainda precisam ser feitas e quais têm prioridade perante as falhas detectadas. Assim, com o cenário completo, há como recomendar a execução de ações mais efetivas para adequação, de maneira que o plano de ação possa ser colocado em prática com mais efetividade.

Dessa forma, há maior chance de reduzir para patamares muito pequenos os riscos que cercam as empresas e os escritórios de advocacia.

7. Compliance dedicado a data protection

Planejar e executar ações de compliance exclusivas para a proteção de dados é uma maneira de demonstrar interesse em estar em conformidade com o que determina a Lei Geral de Proteção de Dados.

Uma das principais perguntas a serem feitas para nortear esse trabalho pode ser: como gerenciar os inúmeros bytes e gigabytes gerados em dados?

Encontrar essa resposta acaba por ser responsabilidade de quem está à frente do plano de adequação à LGPD, mas não somente a essa pessoa – ou ao grupo formado para tal.

Embora seja responsabilidade do compliance officer ou do grupo entender os dispositivos da lei e organizar os processos internos necessários para que a operação esteja de acordo com o que preconiza a legislação, é necessário o apoio de todas as pessoas, de todas as áreas, na execução das ações de compliance dedicado ao data protection.

Até porque algumas ações exigem que sejam revistas, por exemplo, as políticas de proteção da informação praticadas pela área de Tecnologia da Informação. Outras requerem a readequação da política de uso dos computadores de trabalho e por aí adiante para que todas as pessoas de uma mesma organização se portem da mesma maneira, entendam os riscos e saibam como gerar valor para os titulares dos dados.

8. Seguir metodologia de privacy by design

Em síntese, a metodologia privacy by design consiste em preocupar-se com a proteção dos dados pessoais dos usuários de um produto ou serviço desde a sua concepção.

Por essa razão, é atribuído aos profissionais de TI, segurança cibernética, engenheiros de software e desenvolvedores de sistemas a implementação da metodologia. É responsabilidade desses profissionais, também, atuar em conjunto com a diretoria de suas empresas para orientar as demais áreas a respeito da importância da privacidade dos dados pessoais.

9. Plano de resposta para incidentes

A Lei Geral de Proteção de Dados impõem a obrigação de notificar incidentes. Por exemplo, vazamento de dados pessoais de clientes. Sendo assim, o ideal é criar um plano de resposta para incidentes antes de a legislação vigorar. Dessa maneira, todos os procedimentos estarão prontos para serem executados, caso haja necessidade.

O atributo alt desta imagem está vazio. O nome do arquivo é Divulgação-Planos-Convex-Banner-Blog-Post.jpg

Conclusão

No momento em que se começa a implementar as iniciativas necessárias à proteção de dados, é que emerge a percepção das consequências relacionadas à coleta das informações que, antes, eram pouco observadas.

As iniciativas, importantes para as empresas e escritórios de advocacia estarem em conformidade com a LGPD, podem exigir um certo nível de investimento. Olhar para essa conta, agora, pode fazê-la parecer onerosa.

O fato é que as sanções que poderão advir da falta de adequação à norma poderão ser mais impactantes ao caixa das empresas e dos escritórios do que a adequação.

Portanto, no fim, adequar-se ou não é uma escolha entre:

a) agir de acordo com a Lei e receber menos punições, caso elas venham, pelos esforços realizados para estar em conformidade; e

b) assumir o risco de não executar qualquer ação e arcar com a cobrança – que pode ser vultuosa, quando algo der errado – e a punição pelo descumprimento à LGPD.

O caminho para a opção “a” consta nas 7 ações para se adequar à LGPD. Mas, para seguir pelo “b”, basta deixar tudo como está.

De qualquer maneira, agora já está claro o porquê de só se falar em LGPD ultimamente. A privacidade de dados é a nova onda, devido aos dados deterem um alto valor. Hábitos de consumo, comportamento, tudo é possível controlar quando há um grande volume de dados para analisar, tratar e usar para direcionar interesses.

O novo desafio é criar sistemas de proteção de dados. Aliás, um desafio tardio, já que a constituição de 1988 desde então determina o direito à privacidade. Portanto, a Lei Geral de Proteção de Dados apenas estabelece como se deve proceder especificamente nesse direito, já garantido.

Com toda a certeza, o assunto ainda está longe de acabar. Especialmente porque é em agosto de 2020 que a Lei de Proteção de Dados passa a valer efetivamente. Enfim, estejamos preparados, pois o desafio é grande e há uma complexidade de trabalho relacionado à LGPD. Além de muitas questões a serem transpostas quando a legislação estiver em vigor.

Saiba mais sobre o mundo do Direito, inovação e tecnologia. Assine nossa newsletter e receba todas as informações por email.