É muito comum que as pessoas se atentem para determinadas coisas somente após algum problema, não é verdade? Particularmente após o surgimento da internet e das redes sociais, a cada dia mais dados são fornecidos a empresas pelos seus consumidores, especialmente por meio de cadastros em e-commerces, sites de busca e plataformas de redes sociais, que recolhem informações de seus usuários a todo momento – tanto por meio de formulários a serem preenchidos, quanto pela observação de hábitos e interesses.
Dessa forma, não demorou muito até que os primeiros escândalos de vazamento e venda de informações surgissem. Com o objetivo de assegurar um maior controle de seus dados por parte da população, a Lei Geral de Proteção de Dados (ou LGPD, como é chamada a lei nº 13.709/2018) criou uma série de obrigações para as empresas que lidam com informações dos cidadãos. Assim, eles se mantêm protegidos e só poderão ser armazenados, recuperados e transferidos com autorização de seus titulares.
Durante o Digital Day da Célula, tivemos a honra de contar com uma excelente palestra do advogado e Especialista em Proteção de Dados e Privacidade, Pablo Gomes*, sobre o assunto. E, com tantas informações importantes, decidimos convidá-lo para falar melhor sobre o tema neste artigo e te ajudar a adequar sua empresa à Lei Geral de Proteção de Dados. Confira agora!
Por que adequar sua empresa à Lei Geral de Proteção de Dados?
A nova Lei Geral de Proteção de Dados brasileira (LGPD) tem como principal objetivo assegurar aos titulares de dados um maior controle sobre o armazenamento, recuperação e transferência de seus dados pessoais, que consistem em quaisquer informações relacionadas a pessoa natural que a identifique ou a torne identificável, como, por exemplo: nome, endereço, e-mail, número dos documentos, dados de GPS, hábitos de consumo, numeração das vestimentas, preferências ou restrições alimentares, dentre outras.
Inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR), ela vai entrar em vigor plenamente a partir de agosto de 2020 e vai ser aplicável a todas as empresas que realizem operações de tratamento de dados pessoais. Assim, elas devem solicitar o consentimento explícito do titular, tanto para a coleta quanto para o uso de seus dados, além de ter de conceder a possibilidade de acesso, correção, anonimização, eliminação e de portabilidade dos dados.
A LGPD define princípios para que o uso de dados seja permitido somente em momentos em que haja ao menos uma das seguintes bases legais:
- consentimento;
- obrigação legal;
- políticas públicas;
- órgãos de pesquisa;
- cumprimento de contrato;
- exercício de direito;
- tutela da saúde e da vida;
- legítimo interesse;
- proteção do crédito.
Dessa forma, a LGPD criou uma série de obrigações para as empresas que lidam com informações dos cidadãos. Não basta que investir na segurança dos dados, também é imprescindível que seu tratamento seja mapeado e que a empresa esteja apta a evidenciar por meio de ferramentas jurídicas e técnicas o efetivo cumprimento da LGPD e de toda a legislação brasileira. Além disso, ela deve ser capaz também de notificar os envolvidos e de ofertar pronta resposta em caso de incidentes envolvendo dados pessoais, minimizando eventuais danos à sua reputação.
Tais obrigações precisam ser seguidas com bastante cautela, tanto pela companhia que coleta os dados diretamente, quanto por uma eventual empresa contratada que trabalhe os dados por aquela fornecidos.Assim, deve ser criada uma cultura de proteção de dados considerando, inclusive, as multas estabelecidas na LGPD (2% do faturamento até o limite de 50 milhões).
Tudo isso é necessário especialmente diante do crescimento nos escândalos de vazamento de dados e aumento do número de ataques e incidentes.As empresas que derem atenção à cultura de segurança da informação e de proteção de dados pessoais,certamente, vão estar à frente das demais no mercado. Afinal, essa adequação vai ser um filtro nas contratações por parte de clientes e fechamento de parcerias e negócios.
Passo-a-passo para adequar sua empresa à LGPD
Para se adequar às exigências da Lei Geral de Proteção de Dados, é necessário adotar processos de governança e um programa mais consistente de compliance, de acordo com a sua capacidade econômica e financeira. Ou seja, deve-se elaborar um conjunto de disciplinas, a fim de cumprir e se fazer cumprir a lei, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer.
1. Faça um levantamento dos dados
O ponto de partida para o desenvolvimento do complianceé mapear quais são e onde estão todos dados que são tratados na empresa,sejam físicos ou digitais, online ou offline. Deve-se realizar um inventário e um diagnóstico para se detectar onde estão os gargalos que devem ser solucionados para a correta adequação às conformidades legais da LGPD.
Além disso, é necessário verificar se a LGPD se aplica a esses dados coletados e tratados (aplicação territorial, extraterritorial, hipóteses de exceção e se são dados pessoais ou não) e, se houver aplicação, observar qual a finalidade, a adequação e a necessidade do tratamento desses dados, além de observar o prazo de armazenamento e a sua acessibilidade.
2. Avalie a necessidade de coletar tais dados
Observe se, para esses dados pessoais sob tratamento, há alguma das bases legais, se são recolhidos por legítimo interesse ou se agora é exigido o consentimento do usuário. Caso a resposta para a última questão seja “sim”, é imprescindível a manifestação do titular, de forma livre, inequívoca e informada.
É importante se atentar para que, no caso de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais dos titulares,seja realizado também o relatório de impacto à proteção de dados pessoais, de acordo com as operações de tratamento realizadas por parte da pessoa jurídica ou física.
3. O tratamento de dados é terceirizado?
No caso de o tratamento dos dados coletados pela sua empresa ser realizado de forma terceirizada, é fundamental se certificar de que o operador também está se adequando à política de privacidade e de compliance do controlador. Observe as regras de boas práticas, de governança e de segurança para cada tratamento de dados pessoais sob a sua responsabilidade.
4. Atualize as cláusulas de contratos
Após as verificações acima e o levantamento de cada medida necessária para se adequar, é importante que seus clientes estejam cientes de todas as mudanças que vão acontecer no tratamento de seus dados. Portanto, as cláusulas de contratos devem ser atualizadas de acordo com a LGPD, com termos de confidencialidade elaborados com todos os colaboradores, operadores e terceiros que tenham acesso aos dados pessoais coletados em tratamento.
Além disso, deve ser elaborado um código de conduta que preveja o respeito à proteção desses dados pessoais. Uma dica importante é sempre mapear o fluxo de dados para o controle do consentimento de forma que demonstre que o titular de fato manifestou sua vontade inequivocamente, caso seja necessária sua comprovação devido a solicitação ou eventual litígio.
5. Treine e conscientize sua equipe
Um passo muito importante no processo de adequar sua empresa à Lei Geral de Proteção de Dados é adotar proteções técnicas para segurança informacional pela empresa, a fim de evitar incidentes e risco de violação de dados (podendo ser utilizadas como embasamento a ISO 27.001 e 27.002).
Ademais, realize treinamentos e campanhas de conscientização dos colaboradores, parceiros, fornecedores e clientes.Os princípios que a LGPD traz devem ser observados pelos controladores dos dados pessoais, não somente as bases legais, respeitando-se principalmente os direitos e as garantias dos titulares.
6. Faça sua própria auditoria
Nunca espere que uma autoridade bata à porta da sua empresa para verificar se a nova lei está sendo cumprida. Para garantir a conformidade, uma dica é formar um comitê no início do processo, que tenha participação de pessoas do Recursos Humanos, do Jurídico e da área de Tecnologia da Informação. Essa equipe será responsável por elaborar política de privacidade e de termo de usoconsiderando osrequisitos da LGPD.
Ao final, para implementação do compliance, defina quem vai ser o encarregado de dados. Ou seja, quemvai ter autonomia para controle e revisão de todo esse processo e que deve atenderaos requerimentos dos titulares dos dados e responder perante a Autoridade Nacional de Proteção de Dados.
Em caso de dúvidas no processo, conte com um advogado empresarial de confiança, que possa te ajudar em todo o processo para adequar sua empresa à LGPD com segurança, qualidade e eficiência.
*Pablo Gomes é Especialista em Proteção de Dados e Privacidade pelo Inspere sócio da Melo Campos Advogados. Para mais informações, entre em contato pelo e-mail lgpd@melocampos.com.br.
