O que significa estar em conformidade?
A conformidade está intimamente ligada ao Compliance, palavra que tem origem no verbo em inglês "to comply", que significa agir de acordo, se comprometer e estar submetido a uma regra. Em suma, é combinar procedimentos, missão, princípios e comportamentos, de modo que estejam alinhados aos regramentos estabelecidos, sejam internos ou externos.
Estar em conformidade legal significa atender aos requisitos estabelecidos pelas leis, tanto nacionais quanto internacionais, quando aplicáveis.
A LGPD (Lei nº 13.709/18), ou Lei Geral de Proteção de Dados, tem por objetivo garantir a implementação de políticas, procedimentos e sistemas que visem a proteção de dados da pessoa natural, sendo obrigatório para qualquer negócio que trate dados pessoais. Claro que isso não seria diferente para o advogado, independente da forma como trabalha: escritório, autônomo ou departamento jurídico de empresa. Por óbvio, para devido exercício da advocacia, há necessidade de controle e processamento de dados dos clientes e, consequentemente, das partes contrárias. Exatamente por isso, a rotina jurídica será amplamente impactada pela nova legislação.
Mas, como será na prática?
Necessário começar o quanto antes e com devido planejamento estratégico. Pega o insight de Benjamin Franklin “A falha na preparação é a preparação para a falha.” e vamos arregaçar as mangas.
Abaixo, alguns pontos que merecem atenção nesse começo:
1) Revisão ou feitura das políticas de segurança: uma boa PSI (política de segurança da informação) não faz mal a ninguém, rs. Brincadeiras à parte, estabelecer diretrizes e boas práticas para todos os funcionários, clientes e colaboradores que utilizem os recursos de informação, é essencial para evitar incidentes, já que este é um dos ativos mais valiosos no âmbito jurídico. A sua confecção deve levar em consideração os riscos e benefícios associados à falta de segurança.
2) Revisão dos modelos atuais de coleta de dados: todo e qualquer procedimento atualmente utilizado para coleta de dados pessoais deverá ser revisto para priorizar a privacidade. A nova lei prevê que a pessoa natural terá direito de ser informada da coleta e do processamento de dados, além do direito de acessar, corrigir, apagar, restringir o processamento, garantir a portabilidade e se opor à coleta dos dados pessoais. Ainda, haverá direitos em relação à tomada de decisão feita por perfis automatizados. Ou seja, todo tratamento de dados pessoais precisa estar 100% dentro da norma para atender de forma eficaz seus proprietários.
3) Avaliação e classificação dos dados existentes: ATENÇÃO! A LGPD se aplica aos dados já coletados tanto físicos quanto digitais. Não sabia? Agora já sabe, rs.
Deve-se levar em conta a natureza dos dados, base legal para processamento, como foi coletado e onde foi armazenado, quem controla a segurança e uso dos dados, quais as políticas existentes para reter e excluir as informações, qual é o período de retenção, qual procedimento é adotado para manter a precisão dos dados, entre outros.
A melhor forma de começar é fazendo um inventário dos dados já coletados. Assim, fica mais fácil definir os que deverão ser apagados, rever medidas de segurança antigas ou estabelecer novas para proteção dos dados que serão mantidos e, ainda, manter o controle do conjunto, caso haja qualquer violação.
4) Revisão dos contratos vigentes e redação de novo modelo para futuros negócios: a LGPD traz novos requisitos que balizam a concessão do consentimento para coleta e processamento de dados pessoais. Não é suficiente apenas comunicar o titular que seus dados serão coletados. As cláusulas contratuais referentes aos dados pessoais deverão conter a forma, a duração e a finalidade do tratamento, as suas responsabilidades, os riscos a serem suportados, bem como informar as maneiras de obter revogação da autorização anteriormente concedida. Tudo isso da maneira mais clara e transparente possível, evitando, inclusive, linguajar rebuscado.
Quanto mais simples e fácil de compreender, maiores são as chances do consentimento ter a necessária validade.
Para evitar dores de cabeça: padronização de documentos e procedimentos. Isso evita que cada pessoa/setor faça um tipo de contrato ou termo de consentimento diferente. Melhor prevenir do que remediar não é mesmo?
Observação: Existem outras formas de obter o consentimento válido ok? Isso vai depender de cada caso. Porém, na advocacia, normalmente, trabalha-se através de contratos.
5) E o mais importante: Plano de Gerenciamento de Incidentes de Privacidade. Nobre colega, se eu pudesse dar apenas um conselho, o melhor deles seria: você precisa antecipar os piores cenários e criar saída para todos eles. Planejar monitoração recorrente, procedimentos para declaração e resposta a incidentes e plano de ação com avaliação do risco.
ATENÇÃO! A LGPD define que a autoridade nacional e o titular dos dados, deverão ser notificados em prazo razoável, diante de incidente que acarrete risco ou dano relevante.
Acima, verifica-se o básico para iniciar a adaptação necessária diante do novo cenário imposto pela legislação de dados.
Pense comigo advogado autônomo ou escritório de advocacia: Qual a credibilidade que será repassada ao cliente ou potencial cliente se o seu negócio não estiver em conformidade com a legislação vigente?
E no caso dos departamentos jurídicos: qualquer due diligence realizada na empresa poderá identificar ausência de conformidade legal. Imagine a alta administração perder uma venda, fusão ou incorporação por conta de negligência jurídica. Complicado não é mesmo?
Passar segurança e confiabilidade é primordial, principalmente no âmbito jurídico.
As medidas a serem tomadas vão variar, a depender da complexidade e do tamanho do negócio. Embora pareça complexa e custosa, a adaptação advinda das determinações da LGPD visam conceber um ciberespaço mais seguro e confiável, onde não há tratamento indiscriminado de dados pessoais.