No dia 28/01 é comemorado o Dia Internacional da Proteção de Dados Pessoais e aqui no Brasil a Lei 13.709/18, que trata do assunto, entrou em vigência em setembro do ano passado (2020), trazendo forte impacto para as empresas, pois são obrigadas a adotar medidas que assegurem os direitos dos titulares desses dados.
Em âmbito internacional, o Estado alemão de Hesse, em 1970, editou a primeira lei sobre essa matéria. Já em 1981 o Conselho da Europa promulgou Convenção, que entrou em vigor em 1985, definindo normas visando a proteção de dados pessoais e garantia à privacidade (right to privacy). Ou seja, esta não é uma “invenção do Brasil”, e outros países, inclusive aqui da América do Sul, também já legislação a respeito.
Não resta dúvidas sobre a quantidade de dados pessoais que são coletados pelas empresas, e no contexto atual grande parte através de meios eletrônicos. Todavia, não se pode esquecer que a lei também abarca o tratamento daqueles obtidos por meios físicos. Nome, CPF, e-mail, telefone, imagem, raça, opção sexual, são alguns dados tidos como pessoais, mas não se limitam a eles. Até mesmo placas de carro são assim consideradas, vez que possibilitam a identificação do titular.
De uma análise geral, as empresas têm pensado na adequação apenas em seu âmbito interno, esquecendo-se que também compartilham com terceiros os dados pessoais recebidos, a exemplo de contadores, advogados, planos de saúde, dentre outros. E neste caso, em havendo vazamento por eles, a empresa, na condição de controladora, também é responsabilizada.
Outro grande equívoco é pensar que a adequação das empresas à LGPD é apenas a elaboração de documentos como o termo de consentimento do titular, política de privacidade, ajustes de contratos. Se assim agirem, as empresas não estarão seguras e poderão sofrer as sanções previstas na lei, além daquelas na esfera cível, criminal, trabalhista e administrativa do Procon, muitas das quais, inclusive, já estão sendo aplicadas.
Para estar em conformidade com a LGPD é preciso que as empresas implantem um processo de gestão dos dados pessoais, onde se inclui o diagnóstico, mapeamento dos dados (data mapping), avaliação dos riscos e definição de medidas mitigadoras. Não bastasse isso, além dos documentos, será necessária a implantação dos processos e controles internos, treinamentos, plano de monitoramento, ações de boas práticas e governança dos dados. E cabe a empresa comprovar que está fazendo a “lição de casa”.
As penalidades previstas na LGPD são bem severas, a exemplo da multa de até 2% do faturamento limitados a 50 milhões por infração, e começam a ser aplicadas pela Autoridade Nacional de Proteção de Dados a partir de agosto deste ano (2001). Mas não é por isso que as empresas podem aguardar até lá para começarem a se adequar. E isso porque o processo de implantação não é simples e demanda tempo, não se limitando, como dito acima, na elaboração de documentos ou ações da TI.
Denota-se, então, que os riscos às empresas decorrentes da não conformidade à LGPD são enormes e podem afetar até mesmo sua sobrevivência, razão pela qual é fundamental que busquem amparo em profissionais especialistas na área e que tenham conhecimento de gestão de dados.
Apesar do momento difícil que enfrentamos, a Lei Geral de Proteção de Dados Pessoais é uma realidade, não podendo ser desprezada ou ignorada, seja por empresa pequena, média ou grande.
Luciana Serafim, sócia da Olianz, advogada, membro da Associação Nacional dos Profissionais de Privacidade de Dados, presidente em exercício da Comissão de Compliance da OAB/MT, presidente da Comissão da ABA-Cuiabá de Compliance, coordenadora do Regional do Compliance Women Committee.
E-mail: luciana@olianz.com.br