Por DYOGO CROSARA e ARTUR HENRIQUE BAHIA, sócios do escritório Crosara Advogados

Vamos imaginar que uma empresa, com o objetivo de lhe vender um produto, obtenha acesso, por meio de terceiros, a seus dados pessoais como nome, nome do cônjuge, profissão, endereço, cadastros em órgãos e instituições, páginas visitadas na internet, locais frequentados e outros.

Iremos mais longe, e se os partidos políticos e candidatos também tivessem acesso ao mesmo conteúdo em época de eleições. Você se sentiria confortável? Esse tipo de caso tornou-se recorrente e existem outras situações semelhantes.

 Em 2018, o escândalo envolvendo o vazamento de dados de usuários do Facebook para servidores da empresa de varejo americana Amazon acendeu para o cidadão comum uma luz de alerta: será que nossos dados pessoais estão realmente protegidos? As organizações com as quais nos relacionamos se preocupam verdadeiramente com essa proteção? Quais serão os danos causados pela utilização indevida desses dados?

Naquele caso, apesar de ainda estar respondendo judicialmente e sujeita a duras penalidades, a gigante americana de tecnologia e mídias sociais garantiu ter o compromisso de atuar junto a desenvolvedores para proteger os dados e a privacidade dos usuários da rede social.

No Brasil, a proteção de dados pessoais tem um novo e importante capítulo: a Lei 13.709/2018, também chamada de Lei Geral de Proteção de Dados Pessoais (LGPD), que foi sancionada em agosto de 2018 e entrará integralmente em vigor a partir de agosto do corrente ano.

A nova lei, sucessora do marco civil da internet (2014), segue os passos de uma regulamentação já existente na Europa General Data Protection Regulation (GDPR); e surge para regularizar o tratamento dos dados pessoais e instruir as empresas e demais organizações, pessoas jurídicas de direito público inclusive, sobre quando e como elas poderão tratar esses dados, seja na coleta, armazenamento, reprodução, avaliação, controle, modificação, transmissão, entre outros.

Sobre o conceito de dados pessoais trazido pela nova lei, devemos compreender como toda informação que identifique ou possa levar à identificação de uma pessoa natural, por exemplo, RG, CPF, telefone, endereço, nome de cônjuge, e-mails e etc.

O texto da LGPD tem como norte 10(dez) princípios gerais de privacidade, que visam garantir aos titulares dos dados direitos como a correção, eliminação e até mesmo a revogação do consentimento de utilizá-los, que deve agora ser sempre inequívoco, representado por cláusula expressa e livre de elementos que possam causar confusão e viciar a vontade do detentor do direito.

Compreender esses princípios é primordial para traçar um projeto de implementação das diretrizes trazidas pela LGPD:

1. Finalidade – A LGPD impede o tratamento de dados com finalidades genéricas. As organizações devem justificar para qual fim serão utilizados os dados. Por exemplo, se um endereço é fornecido para fins de remessa de notificações, ele não poderá ser utilizado para envio de publicidade.
2.  Adequação – Os dados pessoais tratados devem ser condizentes com a finalidade da organização. Por exemplo, não será possível que uma empresa solicite dados do cônjuge para finalizar uma compra pela internet.
3. Necessidade – Utilizar somente os dados necessários para a finalidade da empresa. Quanto mais dados, maior a responsabilidade da empresa.
4. Livre acesso – Garantir ao titular dos dados acesso amplo aos seus dados, bem como especificar para qual fim serão utilizados e por quanto tempo.
5. Qualidade dos dados – Garantir a credibilidade das informações, mantendo-as atualizadas.
6. Transparência – As informações transmitidas devem ser claras, exatas e verossímeis. Será vedado o compartilhamento de dados pessoais para terceiros de forma oculta, sem a autorização do titular.
7. Segurança – Garantir a segurança das informações por intermédio de procedimentos, meios e tecnologias de proteção de dados e controle de acesso.
8. Prevenção – Ter uma política de prevenção objetiva, a fim de evitar a ocorrência de danos em virtude do tratamento de dados pessoais. Significa agir antes dos problemas.
9. Não Discriminação – Os dados pessoais jamais poderão servir para discriminar ou promover abusos contra os seus titulares. Nesse ponto, a própria LGPD tratou de distinguir os dados que comumente são vetores de discriminação pessoal. São os chamados dados pessoais sensíveis, que informam acerca de origem racial ou étnica, credo ou religião, opinião política, partidarismo, dados sobre vida sexual e outros.
10. Responsabilização e Prestação de Contas – As empresas e organizações devem demonstrar boa-fé e diligência na implementação da LGPD em âmbito corporativo, comprovando as medidas adotadas interna e externamente para esse fim.

Resumidamente, o objetivo é demonstrar que os dados coletados são necessários, mínimos, adequados e de qualidade, atendendo aos propósitos de um negócio válido, bem como outras particularidades exigidas pela lei.

Trazendo a discussão para o campo de atuação do CROSARA ADVOGADOS no direito privado, especialmente no que se refere à consultoria corporativa, o início de vigência da lei nos leva a questionar se os empresários goianos estão realmente preparados (e bem assessorados do ponto de vista técnico), no sentido de promoverem as adequações necessárias para atenderem à LGPD, antes do início de sua vigência integral.

Isso porque o cumprimento efetivo da lei demanda que seja observada uma série de questões técnicas e jurídicas, sobretudo no campo regulatório.

Ao mesmo tempo que as empresas precisarão garantir a segurança e privacidade dos dados, por vezes também serão responsáveis por informar incidentes ao órgão regulador.

Se adequar à nova lei demandará mudanças significativas na estrutura organizacional das empresas. Por outro lado, o seu descumprimento pode levar a sanções que vão desde uma mera advertência até multas de R$ 50.000.000,00 (cinquenta milhões de reais) por infração, a serem aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), órgão de fiscalização criado para esse fim.

Diante desse cenário, recomendam-se algumas medidas imediatas a serem tomadas por parte do empresário.

O primeiro passo é compreender que dificilmente a sua empresa não estará sujeita ao cumprimento da LGPD. A nova lei é abrangente e se aplica a toda pessoa física ou jurídica que trata dados pessoais (ainda que offline), razão pela qual não há como fugir dessa nova realidade.

O empresariado precisa se conscientizar que a LGPD veio para ficar e que, muito mais do que um amparo para o usuário ou para o cliente, a lei representa uma proteção à própria empresa, seus colaboradores e valores éticos.

Ademais, adequando-se ao regramento já existente fora do País, a LGPD tende a atrair investimentos externos, alavancados pela segurança jurídica trazida pela novel legislação, que será aplicada também para empresas estrangeiras que tratarem dados pessoais em solo brasileiro (por meio de sucursais e etc.).

Desse modo, é de suma importância que o projeto envolva a companhia como um todo, desde o alto escalão corporativo (diretores, executivos, presidente, CEO) até os demais segmentos hierárquicos, sendo altamente recomendável a realização de treinamentos para a apresentação e habituação da nova política aos colaboradores.

Na prática, o início do processo de implementação consiste no mapeamento dos dados pessoais atualmente já tratados pela empresa. É necessário que sejam identificados os usuários, locais de armazenamento, o grau de acesso (compartilhamento) interno e externo desses dados, bem como o ciclo de vida dessas informações e os riscos a ela associados. 

Nos casos das empresas que já haviam implementado programas de atendimento da GDPR (raras exceções no Estado de Goiás), uma adaptação para a LGPD seria bem recebida.

Daí então designar responsáveis diretos para identificar as principais áreas da empresa a serem influenciadas pela LGPD (RH, por exemplo), bem como para fiscalizar e acompanhar o cumprimento de um cronograma pré-estabelecido, que também constitui medida importante para garantir o sucesso dessa implementação.

Outro importante passo é ter a tecnologia como instrumento de auxílio na gestão e governança de dados que será exigida pela LGPD, à exemplo da gestão de consentimentos, revogações e do ciclo de vida dos dados pessoais (data mapping & data discovery).

Aqui, importante contar com um programa de governança (software), para controlar e acompanhar a implantação de padrões exigidos pela LGPD, o que pode ser otimizado via contratação de uma consultoria em cibersegurança.

Outrossim, garantir e organizar meios a fim de que os titulares dos direitos referidos possam exercitá-los, bem como para uma correta e tempestiva comunicação ao órgão regulador, em caso de incidentes como vazamentos e/ou utilização indevida de dados pessoais.

Estruturar a área de implementação com a indicação de um encarregado pela proteção de dados (DPO – “Data Protection Officer”).

Apesar da LGPD não ter esclarecido acerca das hipóteses de dispensa desse encarregado, algumas situações o tornam obrigatório, como por exemplo, nos casos de empresas que tratam ou armazenam dados pessoais de cidadãos europeus em grande quantidade.

No Estado de Goiás, contratar um DPO qualificado é um desafio. Além do conhecimento sobre segurança da informação, é necessário um conhecimento sobre leis e práticas de proteção de dados, razão pela qual o trabalho desse profissional pode ser terceirizado para consultorias e escritórios de advocacia que atuam na área.

A tarefa não é fácil e restam apenas 7(sete) meses para que as empresas possam se adequar às novas exigências.

Daí, a assessoria jurídica é imprescindível para acompanhar esse processo de implementação, rever e analisar aspectos regulatórios, política de privacidade, bem como elaborar e/ou promover ajustes necessários nos contratos celebrados e/ou disponibilizados pela pessoa jurídica, inclusive, junto a terceiros (prestadores de serviço em geral, por exemplo), compatibilizando-os com os padrões exigidos pela LGDP.

O Crosara Advogados possui uma equipe altamente qualificada em prestar consultoria preventiva, aperfeiçoando-se constantemente no ramo do direito digital, inclusive, colocando à disposição da pessoa jurídica estudos e métodos para facilitar a inserção e a adequação a esse novo universo jurídico.

*Este artigo também está disponível na Goiás Industrial, revista do Sistema Federação das Indústrias do Estado de Goiás (Fieg), de fevereiro de 2020, p. 8: