A LGPD, ou, a Lei Geral de Proteção de Dados, é um dos assuntos mais presentes ultimamente em seminários, congressos e outros eventos da área do Direito. Também, pudera. Em agosto de 2020 a legislação entra efetivamente em vigor e a maior parte das empresas brasileiras não está preparada para atender a todas as suas determinações.

Por um acaso, no escritório de advocacia ou no departamento jurídico, a equipe já parou para pensar no que fazer para proteger os dados dos clientes?

Em tempos de 4ª revolução, o controle está na informação. Em raríssimos casos, as pessoas sabem exatamente onde vão parar os registros dos seus dados ou para que eles serão usados.

O InternetLab fez uma experiência com uma câmera escondida que demonstra o quanto as pessoas fornecem as suas informações pessoais sem nem perguntar a razão. O resultado, compartilhado na internet, conscientiza para a necessidade de manter os dados seguros e protegidos.

Sendo assim, esse é um dos motivos pelos quais se fala tanto em LGPD atualmente, também. Próximo de a lei entrar em vigor, é necessário conscientizar. Afinal, considerando que as pessoas poucas reservas detêm em relação ao compartilhamento das próprias informações, a tendência é a de que reproduzam essa mesma conduta nas empresas em que atuam.

Para os escritórios de advocacia e departamentos jurídicos, isso significa que:

  1. É preciso gerar essa consciência da importância da proteção de dados nas equipes, pois, algumas atitudes corriqueiras como encaminhar um e-mail do trabalho para a caixa pessoal para poder finalizar o trabalho em casa é uma das atitudes que terá de ser repensada.
  2. O número de processos que poderão surgir em função da violação de dados ou do uso indevido das informações poderá aumentar a demanda de processos do Judiciário. Sem contar que há pouca jurisprudência para alguns casos. Então, será preciso acompanhar de perto os movimentos da Justiça em relação às demandas envolvendo a proteção de dados.

Contudo, em relação ao primeiro ponto, algumas ações podem ser implementadas para se adequar à Lei Geral de Proteção de Dados.

6 ações para se adequar à LGPD

1. Inventário do ambiente e dados

As empresas precisam levantar e analisar o ciclo de vida dos dados pessoais que detêm. Isso começa por entender:

  • quais dados pessoais a empresa possui;
  • de que forma foram coletados;
  • como são armazenados;
  • com quem são compartilhados;
  • de que forma podem ser excluídos.

2. Relatório de Impacto

Após o inventário do ciclo de vida dos dados pessoais, o próximo passo é levantar todos os possíveis riscos que há na atual estrutura da empresa e que possam ser alvo das sanções previstas na LGPD.

3. Instaurar o Data Protection Officer

Quando a Lei de Proteção de Dados estiver vigorando, a partir de agosto de 2020, será imprescindível que toda empresa possua, em seu quadro ou de forma terceirizada, alguém que possa ser responsável pela gestão dos dados pessoais, o chamado Data Protection Officer.

4. Definir os padrões de segurança

A adoção de algumas tecnologias podem ser necessárias para que a empresa possa se adequar à Lei Geral de Proteção de Dados.

Dessa maneira, em termos de segurança da informação, pode ser preciso:

  • varrer os servidores locais e em nuvem, além das estações de trabalho;
  • checar a configuração das ferramentas que a empresa está usando;
  • implementar uma solução de criptografia, caso a empresa já não a possua;
  • adotar de ferramenta de DLP (data loss prevention), responsável pela segregação de permissões de acessos;
  • implementa alarmes para identificar invasões ou tentativas de acesso indevidas;
  • definir (ou revisar) a política de backup de dados pessoais;
  • monitorar a ação de terceiros que compartilham dados com a empresa.

Já para garantir a auditoria e o controle, as tecnologias atenderão:

  • ao monitoramento e gestão do ambiente de rede;
  • aos testes de penetração e vulnerabilidade da rede;
  • para comprovar a origem e o direito de uso dos dados;
  • à garantia da exportação dos dados;
  • à necessidade de poder rastrear os dados.

5. Revisar os contratos

A revisão de todos os contratos que contenham dados pessoais tem de ser feita para a inclusão das cláusulas relacionadas ao consentimento, à coleta e à finalidade de uso dos dados.

6. Testar e monitorar os planos de ação

Os testes e monitoramentos permitem identificar quais adequações ainda precisam ser feitas e quais têm prioridade perante as falhas detectadas. Assim, com o cenário completo, há como recomendar a execução de ações mais efetivas de adequação para que o plano de ação possa ser colocado em prática com maior sucesso.

Dessa forma, há maior chance de reduzir para patamares muito pequenos os riscos que cercam as empresas e os escritórios de advocacia.

Conclusão

Todas as iniciativas necessárias para as empresas e escritórios de advocacia estarem em conformidade com a LGPD podem exigir um certo nível de investimento. Olhar para essa conta, agora, pode fazê-la parecer onerosa. Entretanto, a sanções que poderão advir da falta de adequação à norma poderão ser mais impactantes ao caixa das empresas e dos escritórios do que a adequação.

Portanto, no fim, adequar-se ou não é uma escolha entre:

a) agir de acordo com a Lei e receber menos punições, caso elas venham, pelos esforços realizados para estar em conformidade; e

b) assumir o risco de não executar qualquer ação e arcar com a cobrança, que pode ser vultuosa, quando algo der errado e a punição pelo descumprimento à LGPD vier.

O caminho para a opção “a” consta nas 6 ações para se adequar à LGPD. Para seguir pelo “b”, basta deixar tudo como está. De qualquer maneira, agora já está claro o porquê de só se falar em LGPD ultimamente. E, com toda a certeza, o assunto ainda está longe de acabar. Especialmente porque é no próximo ano que a Lei de Proteção de Dados passa a valer efetivamente. Enfim, estejamos preparados.