Diariamente, muitos são os desafios a serem enfrentados por quem deseja empreender e se solidificar no mercado. A partir de fevereiro de 2020, um novo marco jurídico entrará em vigor trazendo novos desafios às empresas, a Lei Geral de Proteção de Dados (LGPD), que obrigará as empresas a se adaptarem às novas regras de tratamento de dados pessoais. Mas como implementar as regras da nova Lei Geral de Proteção de Dados nas Empresas?
A Lei nº 13.709/2018, que seguiu os passos da legislação europeia de proteção de dados pessoais, define as regras de tratamento de dados no Brasil baseando-se nos direitos fundamentais de liberdade e de privacidade, conectando assim o desenvolvimento tecnológico e econômico com a proteção da pessoa, sem perder de vista o interesse público. Como resultado, tem-se a ponderação de interesses.[1]
E nesse aspecto a LGPD é muito clara. Ela estabeleceu para as pessoas naturais e jurídicas de direito privado e público, novas regras de proteção ao uso, armazenamento e transferência de dados pessoais em qualquer tipo de operação de tratamento de dados, inclusive os meios digitais, prevendo ainda os direitos dos titulares dos dados, as responsabilidades e atribuições dos agentes envolvidos, além das respectivas penalidades em caso de infração.
A LGPD tem um amplo âmbito de aplicação, atingindo grande parte das atividades empresariais. Assim, para que as empresas se adequem a esse novo regramento, é de fundamental importância o conhecimento de alguns pontos importantes.
O que vem a ser proteção e tratamento de dados pessoais.
A lei protege toda e qualquer informação referente às pessoas naturais, ainda que de um titular anônimo, classificada nos incisos I a III do artigo 5º como:
- dado pessoal: informação relacionada a pessoa natural identificada ou identificável (RG, CPF, endereço, etc);
- dado pessoal sensível: de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- dado anonimizado: relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Tratamento, diz respeito aos procedimentos feitos com os dados pessoais obtidos em qualquer meio, inclusive o eletrônico, chamado pela norma de “operação de tratamento de dados”. Assim, a coleta, arquivamento, uso, avaliação, acesso, compartilhamento, modificação, dentre outros, independentemente do meio empregado, são considerados operação de tratamento de dados.
Atos corriqueiros, tais como preencher formulários em lojas, fazer cadastro em portais eletrônicos ou fornecer dados para registro biométrico, são configurados como tratamento de dados protegidos pela Lei nº 13.709/2018.
Tratamento de dados não abrangidos pela LGPD.
Nem toda operação que envolva a utilização de dados pessoais está sujeita às regras de proteção da presente norma.
Segundo o artigo 4º e incisos, o tratamento de dados exclusivamente para fins particulares e sem proveito econômico, assim como aqueles realizados para fins artísticos, acadêmicos ou jornalísticos, estão excluídos da sua proteção. Além disso, quanto ao poder público, também não são abrangidos os tratamentos com finalidade exclusiva da segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
Quanto às informações de dados pessoais oriundas do exterior (inciso IV do citado artigo), estas também estão fora da proteção jurídica, desde que não sejam objeto de comunicação, uso compartilhado de dados com agentes de brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta lei.
Feitas as observações preliminares, necessário destacar a figura dos Agentes de Tratamento, personagens criados pela Lei Geral de Proteção de Dados, cuja existência será obrigatória dentro das empresas de cada setor, e o papel principal de cada um deles.
Quem são os agentes de tratamento de dados?
Conforme o artigo 5º da LGPD, os agentes de tratamento de dados são pessoas naturais ou jurídicas, de direito público ou privado, responsáveis pelas operações de tratamento dos dados de que trata a lei, classificados em: controlador e operador.
O controlador é o tomador de decisões no tocante ao tratamento de dados pessoais, ao passo que o operador, como o próprio nome diz, realiza a operação de tratamento das informações em nome do primeiro. Portanto, na cadeia de comando de tratamento de dados o controlador está no topo.
Basicamente, a diferença entre o controlador e operador está na tomada de decisão. O operador somente realiza o tratamento de dados por ordem do controlador e sob sua fiscalização.
Unindo-se a essas, outra figura importante também foi definida pela norma, a do encarregado. Assim como os dois primeiros, o encarregado pode ser uma pessoa natural ou jurídica, de direito público ou privado, porém sua função será a de estabelecer uma ponte de comunicação entre o controlador (tomador de decisão), a Autoridade Nacional de Proteção de Dados – ANPD (agente fiscalizador) e os titulares de dados pessoais.
Quais são as respectivas atribuições?
Como visto acima, os agentes de tratamento (controlador e o operador) terão a função de atuar diretamente nas operações de tratamento dos dados pessoais e, portanto, serão os responsáveis pelo cumprimento dos ditames estabelecidos em lei.
Sua principal obrigação estabelecida pela Lei nº 13.709/2018 (artigo 37) foi a de manter registros de todas as operações de tratamento, em razão do princípio de prestação de contas e do direito de acesso do titular.
Para a lei, o cumprimento desta obrigação se dará através de relatório de impacto à proteção de dados pessoais elaborado pelo controlador, contendo as informações determinadas no § único, do artigo 38, quais sejam:
- a descrição dos tipos de dados coletados;
- o fundamento da coleta e a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação as medidas;
- salvaguardas e mecanismos de mitigação de risco adotados.
O encarregado, por sua vez, além da interface com os titulares dos dados e a Autoridade Nacional de Proteção de Dados, terá a responsabilidade de orientar funcionários e contratados no âmbito da empresa sobre as boas práticas no tocante à proteção de dados pessoais.
Em que pese as diferentes atribuições dos agentes de tratamento, verifica-se que o trabalho deve ser realizado em conjunto para o alcance efetivo dos fins pretendidos pela norma.
Como implementar as regras da nova Lei Geral de Proteção de Dados nas empresas
A implementação (ou adequação) das empresas às novas práticas de tratamento de dados deverá observar alguns pontos:
- Nomeação de encarregado.
Como visto acima, a função de encarregado de tratamento e proteção de dados é de suma importância, não só pela relação com os agentes de tratamento, com os titulares das informações e com a autoridade regulatória, mas principalmente pela função de orientação e monitoramento dos funcionários da empresa a respeito das boas práticas a serem tomadas em relação à proteção de dados pessoais.
Isto porque a LGPD tem aplicação multissetorial e ampla, logo suas regras devem ser observadas por todos os departamentos que lidam com o tratamento de dados.
- Revisão das políticas de segurança.
Uma vez determinada pela lei a elaboração de relatório de impacto à proteção de dados pessoais, conclui-se pela importância de se revisar os sistemas de políticas de segurança da informação, as chamadas boas práticas empresariais.
Conceitualmente, a política de segurança resguarda às regras que devem ser seguidas pelos agentes de tratamento e por todos os utilizadores dos recursos de dados de uma empresa.
Esse documento definirá as diretrizes das operações de tratamento de dados a serem praticadas internamente e também do relacionamento entre os agentes de tratamento, conferindo transparência e confiabilidade nas operações relacionadas ao uso seguro dos dados.
Seu objetivo é a criação da cultura da segurança, uma vez que a informação é uma moeda muito valiosa no mercado e, portanto, deve ser protegida.
A implementação de um sistema de gestão de compliance, por exemplo, pode auxiliar as empresas no controle e cumprimento das boas práticas dessas normativas.
- Investimento em cibersegurança.
As relações e atividades empresariais se tornam cada vez mais digitalizadas e necessitam de ações protetivas que acompanhem esse avanço. Isto significa investimento em cibersegurança, procedimento já adotado por grandes empresas e Governos.
Cibersegurança, ou segurança cibernética, vem a ser o conjunto de tecnologias e meios que visam proteger programas, computadores, redes e dados, contra de danos e intrusão ilícita, os chamados cibercrimes.[2]
Assim, as empresas deverão adotar medidas de segurança modernas de modo a proteger os dados pessoais contra acessos não autorizados ou qualquer forma de tratamento ilícito ou inadequado, visando prevenir, detectar e resolver violações de dados pessoais nas operações de tratamento de dados em meios eletrônicos.
- Criação de política de tratamento e proteção de dados.
A criação de uma política de tratamento e proteção de dados é outra medida a ser adotada tanto pelos agentes de tratamento quanto pelas empresas.
Também chamada de “política de privacidade de dados”, tem o objetivo de dar conhecimento aos clientes e usuários dos sistemas e serviços das empresas dos termos de tratamento de dados pessoais realizados.
Além disso, esse conjunto de informações visa garantir os direitos estabelecidos aos titulares dos dados quando estes outorgam às empresas o direito de uso das suas informações coletadas, como estabelecido nos artigos 17 a 22 da Lei Geral de Proteção de Dados.
- Revisão de contratos.
As empresas deverão revisar os termos de todo e qualquer contrato que, de alguma forma, inclua o tratamento de dados pessoais, de modo a adequá-los às novas regras, atendendo aos requisitos previstos nos artigos 7º ao 10 da norma, notadamente em relação ao consenso do titular.
Assim, a contratação de equipe técnica especializada em cibersegurança e gestão de risco empresarial fará toda a diferença.
Por ter a LPGD um campo de atuação muito abrangente, atingindo quase todos os tipos de atividades empresariais e comerciais, é de suma importância que as empresas revisem ou criem todo o seu sistema de proteção e tratamento de dados.
E para a eficaz implementação dessas novas regras será necessário investir em expertises multidisciplinares e sistemas técnicos de segurança de internet, além de conhecer bem o papel de cada um dos agentes de tratamento de dados, trazendo assim maior segurança no controle e no uso de dados pessoais e evitando-se prejuízos financeiros que, segundo a lei, podem alcançar 50 milhões de reais.
Referências:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
Entenda mais sobre cibersegurança, seu potencial e oportunidades de carreira. Fundação Instituto de Administração (FIA). Disponível em : < https://fia.com.br/blog/ciberseguranca/>. Acesso em 28 jul. 2019.
RABELO, Iglesias Fernanda de Azevedo; GARCIA, Filipe Rodrigues. O direito à autodeterminação informativa. Disponível em :<https://ambitojuridico.com.br/cadernos/direito-civil/o-direito-a-autodeterminacao-informativa/ >. Acesso em 01 ago. 2019.
[1] RABELO, Iglesias Fernanda de Azevedo; GARCIA, Filipe Rodrigues. O direito à autodeterminação informativa. Disponível em : <https://ambitojuridico.com.br/cadernos/direito-civil/o-direito-a-autodeterminacao-informativa/ >. Acesso em 01/08/2019.
[2] Entenda mais sobre cibersegurança, seu potencial e oportunidades de carreira. Fundação Instituto de Administração (FIA). Disponível em : < https://fia.com.br/blog/ciberseguranca/>. Acesso em 01 ago. 2019.