LGPD: a adequação no ambiente corporativo
Confira o artigo do diretor de assuntos jurídicos da ACP sobre a Lei Geral de Proteção de Dados
Com a publicação da lei federal n° 13.709, em 14/08/18, a LGPD se tornou realidade no ambiente jurídico nacional, sendo que, posteriormente, a lei federal n° 13.853, de 08/07/19, trouxe algumas mudanças no texto original, inclusive com a criação da Agência Nacional de Proteção de Dados (ANPD), sendo que a sua vigência começou a partir de 14/08/20, embora as penalidades por infrações cometidas pelas empresas serão aplicadas somente a partir de 01/08/21.
A referida legislação tem aplicação direta às pessoas físicas e jurídicas, seja de direito público ou privado, desde que tenham contato direto com a coleta ou tratamento de dados, que poderá ser por meio físico ou digital. Para fins de exemplificação, o tratamento de dados citados na legislação, se refere a toda a conduta da empresa que tenha relação com os dados dos seus clientes, funcionários ou fornecedores, como a coleta em si, produção, utilização, análise, acesso, transmissão, reprodução, avaliação, processamento, controle da informação, arquivamento ou destruição.
Nesta senda, torna-se muito importante que todas as empresas revisem e se alinhem às novas diretrizes trazidas pela legislação federal, sobretudo para adequar sua rotina de trabalho e procedimentos no dia a dia, visando minimizar os impactos em relação ao objeto do negócio, em relação aos dados coletados dos seus clientes, funcionários, fornecedores, terceiros e prestadores de serviço. E, com relação aos dados pessoais obtidos pelas empresas no âmbito de sua atuação, importante destacar que toda e qualquer informação que identifique a pessoa merece atenção e proteção, seja direta ou indireta, e pode se relacionar ao nome da pessoa, o número de documentos, telefones, e-mails, endereço, profissão, estado civil, características físicas, sociais, culturais, étnicas, religiosas, etc.
Com base nas diretrizes da legislação vigente, far-se-á necessário que as empresas organizem um novo programa de gestão e governança, destinado a proteção dos dados coletados e manejados no dia a dia do seu negócio, visando proteger tais informações e obter dos seus clientes as devidas autorizações ou consentimentos necessários para o uso de tais dados, conforme a necessidade específica da empresa ou do serviço que será prestado, até mesmo para garantir a confiança, transparência e responsabilidade dentro do ambiente corporativo.
Para tanto, a empresa terá que designar uma pessoa para ser a responsável pela organização e proteção dos dados internos, chamado de Encarregado da Proteção de Dados, que será indicado pelo Controlador e terá a responsabilidade de fazer a ligação entre a empresa e a Agência Nacional de Proteção de Dados, além de orientar os colaboradores para as melhores práticas para a coleta e proteção de dados dos clientes, em especial para estimular uma nova cultura entre os players do negócio, visando uma compliance adequada e propositiva.
Neste novo cenário, a mudança de cultura e de gestão será imprescindível nas empresas, para que possam implementar rotinas seguras para a coleta e proteção de dados, bem como para o armazenamento, tratamento e eliminação dos mesmos, a fim de evitar qualquer vazamento no ambiente interno ou externo, cujas consequências poderão ser nefastas, com a possibilidade de responsabilização da empresa na esfera administrativa (perante a ANPD), cível (reparação de danos) e criminal (aplicação de penalidades). Com efeito, os “caminhos” ou o “ciclo de vida” que os dados terão dentro da organização precisam ser traçados e estarem bem delimitados, devidamente previstos na política interna de segurança da informação, como forma de atender a legislação ou a eventual fiscalização dos representantes da ANPD, do PROCON ou do Ministério Público.
Como forma de se adaptar a esta nova realidade, as empresas precisam estabelecer etapas e os procedimentos a serem adotados para a devida adequação, dentre os quais podemos citar: (i) realizar o mapeamento interno dos dados coletados e armazenados, para poder definir quais dados serão obtidos dos seus clientes, como será o tratamento dos mesmos, a definição do fluxo interno e a forma pela qual serão protegidos no sistema; (ii) fazer uma prévia avaliação dos riscos, que consiste na identificação das condutas internas que estão vulneráveis e cujas práticas ainda não estão alinhadas com os preceitos da lei, o que poderá resultar na aplicação de penalidades dos órgãos fiscalizadores ou a reparações perante clientes lesados; (iii) efetivação de um plano interno de ação para a implementação das diretrizes previstas na norma, com o objetivo de definir medidas práticas para serem obedecidas por toda a equipe no dia a dia de trabalho, como por exemplo, a revisão de políticas de privacidade, termos de uso dos dados, alteração de contratos com funcionários, clientes, terceiros, fornecedores ou poder público, formas de proteção de dados pessoais considerados sensíveis.
Não restam dúvidas quanto a importância e necessidade das empresas se adequarem aos novos preceitos trazidos pela LGPD, sobretudo pela quebra de paradigma da nova legislação, ensejando a criação de boas práticas de gestão, segurança, mudança de cultura organizacional e de governança. Além disso, com a necessária proteção dos dados e o efetivo resguardo dos direitos dos seus titulares, as empresas demonstrarão responsabilidade, transparência, credibilidade e confiança ao mercado (consumidores e órgãos fiscalizadores), o que certamente será um diferencial competitivo a ensejar o seu maior crescimento.
Fabrício Cagol
Diretor de Assuntos Jurídicos da Associação Comercial de Pelotas