Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados, também conhecida como LGPD ou Código de Defesa da Privacidade, estabelece regras sobre coleta, tratamento, armazenamento e compartilhamento de dados pessoais gerenciados pelas organizações. Segundo alguns especialistas, trata-se de um alinhamento por parte de nosso país às principais práticas globais de gestão de dados, cuja instituição se deu por influência direta da General Data Protection Regulation - GDPR, que é a Lei de Proteção de Dados Europeia.
A General Data Protection Regulation (GDPR) em vigor desde 25/05/18 regula, além das empresas europeias, pessoas físicas ou jurídicas situadas no Brasil que, de alguma forma utilizam dados pessoais de europeus para o desenvolvimento de suas atividades econômicas.
Aqui no Brasil, a legislação de proteção de dados abrange todas as empresas e órgãos da Administração Pública, identificando os dados pessoais dos indivíduos e trazendo todo tipo de informações em geral, inclusive de dados sensíveis. Sabe-se que a lei regula não só dados como nome, RG e CPF, mas que também prevê o tratamento aos dados que se enumeram com informações a respeito da origem, raça ou etnia, saúde, religião e até em relação a opinião pública do indivíduo.
A LGPD, atualmente, vem realizando mudanças sérias de paradigmas em nosso arcabouço legislativo e social, tendo como objetivo, além de proteger a privacidade do cidadão, o de fomentar a inovação, gerando novas maneiras de fazer negócios com maior segurança jurídica.
Nessa toada, o consentimento do titular é imprescindível e se classifica como um dos mais fortes pilares da LGPD, sendo este verdadeira decorrência lógica da privacidade e da autodeterminação informativa. Cuida-se, também, de primeiro requisito autorizador para o tratamento de dados (art. 7º, inciso I da nova Lei), sendo necessário que se colha a manifestação livre, informada e inequívoca do titular. Tal manifestação deve se dar por escrito e em cláusula destacada, e seu compartilhamento com outros controladores deve ser seguida de expressa autorização e de monitoramento periódico.
Demais disso, torna-se primordial a existência de órgão fiscalizador que auxilie o efetivo cumprimento da nova lei até a criação de um órgão regulador para esta novidade normativa. Este deve ser exercido então, provisoriamente, por todos os órgãos de controle nacionais, incluído nestes, o próprio Ministério Público.
Como consequência, inúmeras empresas, mormente aquelas de economia digital, deverão alterar algumas políticas para manter a conformidade com a nova legislação.
E por falar em conformidade, as adequações não param por aí: com a nova lei anticorrupção, as adaptações aos códigos de conduta ética se fazem necessárias, além de novos treinamentos decorrentes dessas grandes mudanças. Muda-se uma cultura na empresa, neste caso, uma agregadora mudança.
Assim, ainda que se promovam inúmeros ajustes decorrentes da implementação da LGPD nas empresas, verifica-se que a nossa Lei Geral de Proteção de Dados chega a ser mais flexível do que a própria GDPR Europeia, apesar de compartilhar dos mesmos princípios essenciais como: consentimento, transparência, auditoria, fiscalização e penalidades, principalmente nos casos em que ocorram incidentes de segurança, como vazamento de informações, por exemplo.
E o que a política de Compliance tem a ver com tudo isso? Diria que tudo. Isso porque com a chegada da nova Lei de Proteção de Dados, muito da política já implementada nas empresas deve ser atualizada e padronizada de acordo com esta novidade legislativa.
Para tanto, faz-se necessária a criação de novas regras e de procedimentos consignados, tanto no código de conduta quanto em normatização interna, no sentido de que sejam feitos upgrades periódicos e atualizados para fins de garantir que as normas de compliance sejam efetivamente cumpridas.
O constante monitoramento desses dados deve ser realizado por um comitê, que em muitos casos é chamado de “Comitê de Compliance”, constituído por profissionais de diversas áreas da empresa, mas que nesse caso, precisará de um forte aliado também na área de tecnologia, sendo este o profissional quem norteará no auxílio da elaboração das novas normas e na implementação dessas novas políticas.
Ressalta-se então, que um dos pontos de partida para conhecer os dados de determinadas empresas e de seu público, pode ser a criação de um mapa visual, o que ajudaria na organização, na abrangência, e na melhor supervisão das informações coletadas.
A partir disso, é essencial que a organização implemente procedimentos padronizados e formas de trabalho para lidar com dados pessoais, e que os funcionários só tenham acesso a eles quando necessários para sua função nos negócios. Diga-se de passagem, a coleta de alguns dados, sempre que comunicada, pode ser repassada aos funcionários da empresa. Isso porque é necessário, para a própria segurança do indivíduo, que seus dados sejam utilizados para determinados procedimentos afetos a operacionalização do objeto empresarial.
Demais disso, muito importante lembrar acerca da existência dos direitos daqueles a quem as informações são divulgadas. Seu consentimento é estritamente necessário e o indivíduo tem a prerrogativa de limitá-los e de revisá-los, sempre que lhe aprouver. As empresas, no entanto, devem respeitar a correção dos dados até mesmo quando forem obrigadas a deletar informações consideradas excessivas, assim como quando for retirado o consentimento àqueles. Dentro de um efetivo programa de governança, o monitoramento contínuo, a revisão das informações, assim como segurança e prazo para armazenamento, devem ser obedecidos.
Ademais, e é importante ressaltar, que a conformidade com a LGPD não abrange apenas os funcionários da empresa. Ela engloba, igualmente, fornecedores e terceiros que devem cumprir a lei indistintamente.
Portanto, a elaboração de um plano de governança de dados e a adoção de medidas de compliance devem ser elaborados e adotados desde agora, para evitar consequências jurídicas negativas num futuro próximo.
E como delimitar esse conjunto de disciplinas internas? Seguindo os parâmetros previstos na própria LGPD, elencamos seis passos básicos que promoverão uma política eficiente de governança e compliance.
Para tanto, é necessária a indicação de um profissional interno, que atue junto ao Comitê de Compliance, e que possa se reportar ao Chief Compliance Officer e a alta administração sobre a realização de novos treinamentos, revisão das políticas do direito a informação, reavaliação contínua de dados pessoais e de transparência e da revisão dos contratos junto aos fornecedores, tendo em vista estes sofrerem mudanças contínuas, inclusive em relação aos seus funcionários e com o restabelecimento de novas cláusulas contratuais, sob pena de eventual responsabilização solidária.
Por essa razão, imprescindível que a alta administração apresente instrumentos e medidas capazes de mitigar os riscos envolvidos na coleta, tratamento e no compartilhamento de dados.
Além disso, devem ser elaborados relatórios de impacto à proteção de dados individuais, contendo as medidas e políticas necessárias, além de informar quais dados serão processados.
Acrescenta-se, por oportuno, que o alinhamento das empresas aos preceitos desta nova norma deve ser interpretada como um investimento de ganho imediato, pois estar compliance com a LGPD é uma excelente oportunidade para a realização de novos modelos de negócios, tendo em vista que aumentar o nível de privacidade, segurança, gerenciamento e até de descarte de dados pode ser encarado também como um diferencial competitivo. Afinal de contas, uma empresa que tem sua confiança restaurada, tem uma representatividade maior e sua reputação cresce no mercado.
Por fim, espera-se que muito em breve todas as empresas venham a adotar um modelo de coleta, armazenamento e descarte de dados que seja ao mesmo tempo inteligente e eficiente, assim como efetue o devido tratamento àquilo que seja estritamente necessário à realização de suas atividades para que haja considerável mudança cultural e comportamental das empresas, principalmente em relação à coleta indiscriminada de dados.