LGPD. Nas últimas semanas, essa sigla têm ecoado com certa preocupação na cabeça de empresários e especialistas em tecnologia: quando de fato a lei entrará em vigor? O que será determinado? O que as empresas precisam fazer para se adequarem à nova regulamentação?
Mesmo com a indefinição sobre quando passará a vigorar de forma definitiva, algumas empresas já se adiantaram e começaram a avisar os usuários que estão trabalhando para ficarem em consonância com a LGPD. A mais recente delas foi o WhatsApp, que inseriu uma aba dentro de sua plataforma dando explicações sobre como vai tratar as informações de cada um de seus clientes pelo Brasil.
O Aviso de Privacidade indica, dentre outras coisas, que em determinadas circunstâncias o usuário “também tem o direito de se opor e restringir o tratamento de seus dados pessoais”. Outras organizações como o Facebook, Twitter e TikTok também emitiram comunicados em relação à esta temática.
A regulamentação, que entraria em vigor no Brasil em 14 de agosto de 2020, teve seu início adiado devido a uma Medida Provisória (MP 959/2020) que solicitava a prorrogação para maio do ano que vem. A votação da MP também foi suspensa por duas vezes só nesta semana. Ela, que foi publicada no último dia 29 de abril, prescreverá no próximo dia 26 de agosto, caso não entre em votação e se torne uma lei. Se essa votação definir pela retirada do artigo que prorroga a vigência para 2021, ou não ser votada, a LGPD passa a valer de forma imediata.
O fato é que, neste momento, surgem informações de todos os lados sobre a lei, o que pode gerar alguma confusão. Pensando em orientar corretamente quem ainda tem dúvidas sobre a LGPD, o Startupi preparou uma série de matérias para ajudar a responder várias perguntas à respeito da legislação, que tem como objetivo principal proteger as informações pessoais dos cidadãos, impedindo que elas sejam usadas de forma indevida ou não autorizada.
O que as empresas, de um modo geral, precisam fazer para se adequar à nova lei?
Para se adequarem à nova regra, as empresas, sejam de pequeno ou grande porte, deverão seguir uma série de recomendações, estas que deverão ser corretamente cumpridas para não gerar transtornos. De acordo com Walfrido Brito, coordenador de pós-graduação em Privacidade e Proteção de Dados do Instituto Mauá de Tecnologia, em um primeiro momento, é preciso fazer um diagnóstico e análise da maturidade da LGPD dentro das empresas para, em seguida, desenvolver um plano de ações para adequar a organização à lei.
“Adequar seus processos de negócio e suporte aos requisitos legais, atualizar seus sistemas (legados, pacotes), estruturar a governança de dados e infraestrutura de TI para atendimento a LGPD, implantar, revisar e adequar políticas de privacidade e proteção de dados, contratos jurídicos, termos de consentimento, convênios, entre outros”.
Ele também chama a atenção para a capacitação dos gestores, colaboradores e parceiros para a efetiva mudança de cultura na organização, sobretudo em tempos de home office. “As empresas precisam urgentemente preparar seus colaboradores para esta mudança de cultura, assim como capacitar os gestores e profissionais que atuarão na função de encarregado de dados (DPO) para esta nova realidade na empresa”.
Quem é o DPO?
A LGPD vai exigir uma nova função dentro das empresas que vai cuidar estritamente desta parte: a de Encarregado pelo Tratamento dos Dados Pessoais ou DPO (Data Protection Officer). Segundo o texto da lei, ele é descrito como a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. A ANPD, sigla para Autoridade Nacional de Proteção de Dados, seria uma espécie de “supervisor” da LGPD, que observaria a aplicação correta da lei e seria responsável por mediar eventuais conflitos.
“Dessa forma, entendemos que o DPO pode ser alguém interno ou terceiro contratado, Pessoa Física ou Jurídica, mas que deve ter conhecimento multidisciplinar, em especial no que diz respeito às áreas do Direito e Segurança da Informação”, explicou Gabriela de Ávila Machado, advogada e líder da área societária do Marcos Martins Advogados. Ela, que também é DPO certificada, afirmou que na prática, seu trabalho consiste em estruturar, implementar e monitorar um programa de segurança da informação em conformidade com a legislação. Para isso, precisa contar com um time completo com conhecimento nas diversas áreas do negócio.
O DPO, além de ter conhecimento em áreas diferentes, deve contar com especialistas em tecnologia da informação (TI), RH, financeiro, contábil e jurídico. “O time de TI vai auxiliar principalmente no que se refere à parte técnica/tecnológica do projeto e monitoramento. Esse conhecimento vai permitir que o DPO saiba onde estão os dados dentro da empresa, como esses dados estão sendo tratados, quais os softwares utilizados, quais os mecanismos de proteção da rede ou do servidor, novas medidas que podem ser implementadas de acordo com ameaças verificadas, dentre outros”, destacou Gabriela.
Até a aprovação concreta da lei, a empresa pode ser notificada?
Segundo a advogada, a empresa pode ser notificada. Além disso, apesar de as sanções administrativas terem sido adiadas para agosto de 2021, ainda há questões de ordem civil, penal e do direito do consumidor, que podem ser demandadas pelo titular ou até pelo Ministério Público. “Essas regras estão em vigor e visam proteger, inclusive, a privacidade do indivíduo. São exemplos: responsabilidade civil previstas no código civil e no código do consumidor, a tipificação criminal de delitos informáticos, proteção da privacidade e dos dados pessoais, previstas no Marco Civil da Internet, dentre outros”.
O que acontece com a empresa que não cumprir a LGPD?
Gabriela explica que, a partir de quando a LGPD entrar em vigor, as empresas e pessoas físicas que utilizam o tratamento de dados para fins comerciais ainda estarão sujeitas às seguintes sanções administrativas previstas no artigo 52 da lei: advertência, multa de até 2% do faturamento, multa diária, bloqueio dos dados pessoais e eliminação dos dados pessoais. “E ainda, a pior ao meu ver, a publicização da infração. Em certos casos, uma mancha na reputação pode trazer danos piores do que a multa propriamente dita”, destacou.
E quanto aos dados antigos? E os novos?
Outra preocupação também está relacionada ao banco de dados antigo da organização, além daquele que está em construção atualmente. Para Walfrido Brito, “os bancos de dados antigos e em produção precisarão ser inventariados com relação aos dados e adequados para atender a legislação, assim como facilitar o processo de captura e proteção das informações sensíveis”, disse.
Por sua vez, segundo o professor, os dados novos devem ser coletados, tratados, comunicados, arquivados e descartados conforme a política de privacidade e proteção de dados, esta que deverá ser implementada pela organização em consonância com a LGPD e as melhores práticas de governança.
Como evitar o vazamento de dados e, caso isso ocorra, o que deve ser feito?
Gabriela destacou que a melhor forma de evitar o vazamento por atos internos é o treinamento do pessoal. “Dessa forma, podemos evitar diversos vazamentos causados por senhas fracas, acessos por pessoas não autorizadas, dentre outros”.
De acordo com a advogada, a implementação de instrumentos de governança, tais como Políticas de Segurança da Informação, de Privacidade de Dados e de Controle de Acesso, também se mostram eficazes. “Por fim, o time de TI deve estar atento a ameaças externas, implementando medidas de prevenção ou, caso o vazamento já tenha ocorrido, medidas que possam bloquear atos e reduzir os danos.
Além de estar em conformidade com a lei, é preciso provar que ela está sendo cumprida corretamente dentro das empresas. Para a advogada, algumas medidas podem ser tomadas como: realização de treinamentos e monitoramento constantes, manter o registro de todos os tratamentos, treinamentos e processos relacionados à proteção de dados, além de relatório de impacto à proteção de dados pessoais atualizado, mesmo que não solicitado pela ANPD.
“Esse relatório é um documento que, conforme definido na LGPD, ‘contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco’”, destacou.
Como a questão do consentimento do uso de dados, outra condição da lei, deverá ser tratada?
Segundo Gabriela, a LGPD traz, no artigo 7º, as hipóteses em que o tratamento de dados pessoais é permitido, dentre elas, o consentimento. Esse consentimento deve ser dado por escrito (ou, de acordo com a Lei, “por outro meio que demonstre a manifestação de vontade do titular”), sendo que deverá ser dado para fins determinados – autorizações genéricas serão nulas – de forma clara e inequívoca.
“Se a finalidade for alterada, um novo consentimento deverá ser obtido. O problema do consentimento como base legal é que ele pode ser revogado a qualquer momento, o que impedirá qualquer novo tratamento dos dados a partir dessa revogação. Por isso, dizemos que o consentimento é uma base “frágil”, ressaltou.
Quanto uma empresa deverá gastar para implantar a LGPD?
Para Walfrido, não há um valor médio no País de quanto uma empresa terá que despender para implantar a LGPD. “Varia de acordo com o porte e segmento da empresa. Se tomarmos como referência números internacionais, seria algo entre US$ 1 mil a 3 mil”. Ele também chama a atenção sobre a relação dessas empresas com as autoridades, sobretudo em relação ao correto armazenamento de dados. “Os procedimentos devem ser definidos pela ANPD em conjunto com os representantes da sociedade, em consulta pública”.
Qual a relação da LGPD com a transformação digital?
Dado que a pandemia do novo coronavírus acelerou a transformação digital no Brasil e no mundo, de acordo com o professor, a discussão sobre a LGPD neste momento trouxe a importância e urgência de empresas garantirem a segurança e o tratamento das informações pessoais.
Segundo Brito, isso precisará ser feito com base nas melhores práticas, além da necessidade de uma mudança de cultura por parte da sociedade com relação a importância dos seus dados pessoais. “Permitirá maior qualidade nos projetos de adequação das empresas ao compliance e principalmente a capacitação das pessoas que atuarão na gestão e tratamento dos dados privados”.
Walfrido ainda acredita que a empresa que já está com um pé na transformação digital, em tese, também deveria estar mais à frente na implantação da LGPD. “Não é a realidade. O conceito de Privacidade e Proteção de Dados, aplicado desde a construção do produto ou do serviço até a sua operação, é muito recente. As empresas também, na sua grande maioria, não possuem uma Arquitetura de TI, de Governança de Dados e de Segurança da informação adequadas ao seu negócio, muito menos preparada para um compliance como a LGPD”.
Para ele, a LGPD não é mais uma questão de ordenamento jurídico, mas sim, de estratégia de negócio. “Quem não se adequar vai perder valor, negócios e aumentar o seu risco empresarial. Quem se adequar mais rápido vai gerar uma grande vantagem competitiva para o seu negócio”, destacou.
Já de acordo com Gabriela, a nova lei será positiva no sentido de criar uma consciência em cada cidadão sobre a importância de fiscalizar como as suas informações estão sendo utilizadas por empresas e governos. “Hoje ainda vemos pessoas que não se ‘incomodam’ e ‘aceitam’ todos os termos que colocam em sua frente, sem, no entanto, se atentar ao que estão concordam. Os dados pessoais trazem consigo um conceito de privacidade. A divulgação do seu telefone, do seu e-mail e, em casos mais graves, do seu endereço ou do seu CPF, podem trazer danos irreparáveis ao titular”.
Por fim, ela afirmou que com a lei e sua divulgação, os cidadãos terão maior conhecimento dos riscos envolvidos na exposição de seus dados e quais os seus direitos. “Adiciono que a LGPD vem para alterar também a forma de pensar das empresas e do Governo. E veja, a LGPD não é de todo ruim para estes. O cumprimento da Lei traz segurança jurídica ao consumidor e isso gera confiança. É importante que as empresas não vejam a LGPD como um custo desnecessário, mas sim como um investimento nas suas atividades”, finalizou a advogada.
Na próxima matéria, vamos tratar de algumas soluções que estão sendo feitas para ajudar outras empresas a se adequarem à nova lei. Fique ligado no nosso site e acompanhe as outras notícias do ecossistema de startups!
