A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, entrou em vigor no mês de setembro, após muitas idas e vindas. Em abril, uma medida provisória tentou adiar o início da vigência da LGPD para maio de 2021. Depois, a Câmara diminuiu o prazo para dezembro deste ano, mas o Senado retirou o trecho sobre o adiamento e o presidente Jair Bolsonaro sancionou o projeto, dando início à vigência da lei.
Inspirada no Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) da legislação europeia, a LGPD tem como objetivo regulamentar a coleta, o armazenamento e a manipulação de dados pessoais, garantindo maior transparência em como empresas privadas e públicas lidam com a privacidade e a segurança das informações de clientes e funcionários.
A lei modifica alguns dos artigos do Marco Civil da Internet, estabelece quais dados pessoais são sensíveis e determina que a empresa deve informar ao titular quais dados dele mantém e com qual finalidade. A LGPD também estipula regras sobre responsabilidade e ressarcimento de danos relacionados ao tratamento das informações.
“Com a LGPD, é preciso instalar um programa de governança de proteção de dados pessoais, como outros programas de governança que existem na empresa”, explica Samara Schuch, sócia-diretora da área de Privacidade da consultoria KPMG.
Apesar da vigência da LGPD, as punições por eventuais descumprimentos da lei, como multas que podem chegar a 2% do faturamento da empresa, limitado a R$ 50 milhões, só passarão a ser aplicadas a partir de agosto de 2021. Mesmo assim, a recomendação dos especialistas é que as empresas iniciem a adequação à lei imediatamente, já que é um processo que leva tempo.
“Qualquer projeto que é implementado em uma empresa tranquilamente leva um ano. Quem não começou tem que começar. Se vier qualquer ação de fiscalização, pelo menos a empresa já está tentando uma conformidade com a lei”, afirma Walmir Freitas, diretor da área de Cyber Risk da consultoria de riscos Kroll.
O que empresas devem levar em conta para se adequar à LGPD?
O primeiro passo, claro, é conhecer a lei e entender quais as bases legais estabelecidas por ela para o tratamento dos dados. “O tratamento só pode acontecer se estiver dentro das bases estabelecidas pela LGPD. A empresa deve buscar qual é a base legal mais adequada para o tratamento que realiza e ajustar o seu modelo de negócio àquela base legal”, recomenda André Giacchetta, sócio de Tecnologia do Pinheiro Neto Advogados.
Em um primeiro momento, também é preciso identificar quais dados a empresa coleta, de que forma eles são tratados, onde estão armazenados e qual é a finalidade deles, além de identificar se os dados são sensíveis de acordo com a nova legislação. Nessa etapa, é possível ainda avaliar a quantidade de informação coletada. “Muitos dados não são realmente necessários para a empresa. Em muitos trabalhos de assessoria que fizemos, as empresas repensaram a quantidade de dados que estavam coletando”, diz Walmir Freitas.
Após o mapeamento dos dados da empresa, a prioridade passa a ser a garantia dos direitos do titular dos dados estabelecidos pela LGPD, além da transparência ao interagir com esse titular.
"É fundamental garantir que as pessoas possam ter controle sobre quais dados são tratados sobre ela, onde esses dados são armazenados e por quanto tempo, sendo imprescindível o estabelecimento de um mecanismo de gestão de solicitações dos titulares de dados", diz Paulo Lilla, counsel responsável pela Área de Tecnologia, Proteção de Dados e Propriedade Intelectual do Lefosse Advogados.
"É preciso oferecer transparência, através de políticas de privacidade, como aquelas de sites e aplicativos ou até as enviadas por email, tanto em relação a dados de consumidores como de funcionários e colaboradores", acrescenta.
Lilla destaca ainda a segurança da informação, com avaliação e diagnóstico dos riscos e implantação de novos sistemas para proteger os dados contra acesso de terceiros não autorizados ou hackers.
Outra ação que deve ser tomada é a nomeação do Encarregado pelo Tratamento de Dados Pessoais (chamado de Data Protection Officer, DPO, na legislação europeia). Ele é responsável pelo desenvolvimento e pela implementação das políticas de proteção de dados e privacidade dentro da empresa, devendo exercer esse papel de maneira independente, e uma de suas funções é a disseminação do conhecimento, da cultura e das regras para o tratamento de dados pessoais na empresa.
"Muito se compara o DPO ao compliance officer, responsável pelo compliance da empresa de forma geral", afirma André Giacchetta. "Hoje, toda e qualquer empresa que faça tratamento de dados deve ter um DPO nomeado."
As recomendações dos especialistas ainda incluem o treinamento de funcionários e colaboradores para conscientizá-los sobre a importância de boas práticas e sobre os riscos envolvidos no tratamento de dados, além do estabelecimento de políticas e procedimentos internos envolvendo a proteção das informações. Também é importante a criação de protocolos de respostas a incidentes e de diretrizes para a elaboração de relatórios, de acordo com o que é exigido na lei.
Giacchetta destaca que a proteção de dados pessoais deve ser uma medida permanente em qualquer empresa, sendo um elemento sempre analisado, melhorado, desenvolvido, ajustado. "É um processo contínuo e sempre haverá espaço para melhorias", ressalta.
“A mensagem principal é que as empresas se adequem, pois infelizmente aparece muita solução milagrosa de última hora que sabemos que não funciona. E, mesmo quem está atrasado, deve fazer direito, pois não há mágica que faça a empresa ‘ficar em compliance’ tão rápido”, declara Walmir Freitas.
Para Samara Schuch, os consumidores não estão mais dispostos a se relacionarem com empresas que não demonstram transparência e preocupação com a segurança de seus dados pessoais. "As empresas que não se adaptarem à LGPD e a esse contexto de gerar privacidade e confiança para o consumidor, não vão só perder mercado: elas não vão se manter no mercado", opina.
Quem vai fiscalizar?
O governo criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão que será responsável por regular a LGPD, interpretando a lei, fiscalizando e aplicando sanções. O órgão, no entanto, ainda não foi estruturado e não está operando.
“Muitas empresas talvez não adotem medidas porque não há uma fiscalização proativa”, diz Freitas. “Mas a empresa não deve esperar, ela tem que se antecipar e mostrar isso ao mercado como uma vantagem: que ela já tem as práticas em conformidade com a LGPD”.
Mesmo sem a ANPD em atividade, no entanto, outros órgãos podem aplicar sanções. “Órgãos fiscalizadores ou de controle podem continuar exigindo o cumprimento da lei e aplicando as suas penalidades normalmente, como o órgão de defesa do consumidor, o Ministério Público e o próprio poder judiciário”, esclarece Schuch.
“Se a empresa falhar na interação com o titular dos dados, provavelmente vai ser acionada por algum outro órgão fiscalizador que não necessariamente a ANPD e pode ser multada ou condenada a indenizar algum prejuízo”, alerta.