A Lei Geral de Proteção de Dados Pessoais - LGPD
Com o avanço da Internet de modo global, os dados pessoais tornaram-se uma questão econômica, social e até mesmo política, na medida que as organizações passaram a gerenciar significativos bancos de dados pessoais, o que é crucial para o desenvolvimento econômico e tecnológico; a inovação; a livre iniciativa; e a livre concorrência.
Os escândalos repetidos – e em particular as revelações de Edward Snowden em 2013 e a questão da Cambridge Analytica em diversos processos eleitorais pelo mundo, em especial na eleição presidencial americana de 2016 – levaram a União Europeia a acelerar o ritmo de trabalho do sucessor da Diretiva 95: o Regulamento Geral de Proteção de Dados (GDPR) de maio de 2016, que entrou em vigor na União Europeia em maio de 2018.
Assim, diante desse cenário mundial que vem se desenhando preocupado com a proteção de dados pessoais, o Brasil em 15/08/2018 publicou a Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) , que passou a tratar pontualmente da matéria.
A LGPD foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas pelas organizações.
Neste sentido, a LGPD regula o uso de dados pessoais com fins econômicos, sobretudo, para mitigar os riscos relacionados ao seu uso indevido. A lei brasileira estabelece novos princípios e bases legais para o tratamento de dados pessoais; introduz novos direitos para os titulares desses dados e traz novas obrigações às pessoas jurídicas e físicas que operam dados pessoais.
A nova legislação se aplica não somente às organizações, publicas ou privadas brasileiras, mas também para todas as empresas estrangeiras que oferecem produtos e/ou serviços para indivíduos no mercado brasileiro ou que monitoram o comportamento de detentores de dados localizados no Brasil, independentemente de sua nacionalidade ou local de residência.
A LGPD pretende promover no Brasil uma nova cultura de proteção de dados pessoais, partilhando desta nova cultura com o resto do mundo. Essa transformação envolve: considerar a privacidade dos dados pessoais do cidadão desde a fase de concepção do serviço ou produto até sua execução; e promover ações de conscientização de todo corpo funcional no sentido de incorporar o respeito à privacidade dos dados pessoais nas atividades institucionais cotidianas.
Os conceitos essenciais para compreender a nova lei
Conformidade em privacidade
A LGPD baseia-se numa lógica de responsabilização dos agentes – princípio chamado accountability. Assim, a lei estabelece que a organização não somente é responsável pela conformidade a LGPD mas também deve ser capaz de demonstrá-la na prática .
Para satisfazer os requisitos legais exigidos pela LGPD , as organizações devem implantar um sistema de governança de dados pessoais, por meio de medidas técnicas, jurídicas e organizacionais, para assegurar a proteção dos dados pessoais dos respectivos titulares tais como clientes, prospectos, parceiros e colaboradores.
As medidas a serem aplicadas devem ser proporcionais ao potencial risco que uma operação de tratamento implica para o titular dos dados pessoais.
Ressalta-se, que todos os departamentos da organização (Recursos Humanos, SI, Comercial, Jurídico, Marketing, etc.) serão impactados pela LGPD, e, conjuntamente, deverão engajar-se na implementação do sistema de governança de dados pessoais, bem como na manutenção e melhoria continua de sua conformidade.
A conformidade à LGPD pressupõe uma nova cultura em privacidade, que deve ser promovida e partilhada por todas as esferas da organização. Neste sentido, a privacidade é responsabilidade de todos!
As grandes etapas de implementação
Diante desse período de transição, as organizações, precisam iniciar rapidamente o seu processo de conformidade com as regras da nova legislação. Por isso apresentamos, a seguir, uma síntese com as 4 etapas essenciais para a constituição de uma governança de dados pessoais, a saber:
A LGPD trouxe novos conceitos, direitos e obrigações sobre os quais as organizações devem se basear para implementarem seu processo de conformidade. Assim, antes de iniciar o processo de implementação , é necessário conscientizar os colaboradores, especialmente aqueles que processam dados pessoais em suas atividades diárias sobre a nova legislação e a importância da contribuição de cada um no processo de conformidade à LGPD.
Para pilotar a governança em privacidade, a organização precisará de um “maestro de orquestra” que desempenhe uma missão de informação, aconselhamento e controle interno: o encarregado da proteção de dados (Data Protection Officer – DPO) cuja indicação é obrigatória pela LGPD.
O DPO pode ser uma pessoa física ou jurídica, interna ou externa à organização. Ressaltamos que, a designação deste “maestro de orquestra” , desde o projeto de implantação da conformidade, é importante principalmente para conduzir e orientar internamente as ações a serem implementadas pelos diferentes departamentos.
As organizações devem constituir um registro de suas atividades de tratamento de dados, o que pressupõe a elaboração de um mapeamento pormenorizado de todos os dados pessoais tratados pela empresa. Esse mapa deve conter o detalhamento das informações requeridas pela LGPD, tais como, as categorias dos dados tratados, as medidas de segurança aplicadas, os prazos de apagamento, entre outros.
O mapeamento fornecerá uma visão ampla e personalizada das operações de tratamento de dados pessoais da organização, o que possibilita a identificação precisa das não-conformidades, das medidas de proteção de dados a serem implementadas, além da elaboração de um diagnóstico dos riscos associados permitindo a identificação dos tratamentos sujeitos à elaboração de um relatório de impacto sobre a proteção de dados pessoais (RIPD).
Após a realização do mapeamento dos dados pessoais tratados pela empresa, será imprescindível a elaboração de um plano de ação detalhado, indicando as medidas corretivas (técnicas, jurídicas e organizacionais) a serem implementadas, bem como aquelas consideradas prioritarias em função dos riscos associados à respectiva operação de tratamento.
A elaboração de um plano de ação é a pedra angular do processo de implantação da conformidade. Concluída sua implementação, a organização terá ao mesmo tempo iniciado sua governança em privacidade nos termos da Lei 13.709/2018.
Impactos da LPGD para as organizações
Os agentes de tratamento de dados, públicos e privados, em razão das infrações cometidas às previsões da LGPD, ficarão sujeitos ficarão sujeitos a multas de 2% do faturamento do último exercício até 50 milhões de reais por infração.
Outras penalidades podem ser aplicadas pela Agência Nacional de Proteção de Dados – ANPD, tais como a publicização da infração, bloqueio e eliminação dos dados pessoais a que se refere a infração.
A lei também prevê a reparação dos danos patrimoniais, morais, individuais ou coletivos causados pelas organizações aos titulares dos dados. Nos litígios trabalhistas, as organizações precisam estar atentas a legalidade das provas apresentadas em favor do empregador. Para ser admitida no processo, as provas contendo dados pessoais de empregados devem ser obtidas de forma lícita, o que pressupõe que a coleta e tratamento dos dados tenham sido realizados em conformidade com a nova Lei Geral de Proteção de Dados.
Assim ocorre, também, nos litígios consumeristas. O Procom já recebe as reclamações por parte dos consumidores, que enquanto titulares de dados pessoais, tem seus direitos violados, em particular, durante a compra de um produto ou serviço.
De fato, os impactos da não conformidade à LGPD às organizações são inúmeros, podendo inclusive causar importante prejuízo em termos de imagem da marca. Ressalta-se, contudo, que o paradigma da conformidade em privacidade apenas como obrigação regulamentar é certamente uma abordagem superficial e equivocada do conceito.
“Privacy is good for business”
A privacidade pode ser vista como um valor agregado inestimável para as operações comerciais e de marketing da organização, pois aumenta e mantém a confiança do usuário, um elemento essencial nas relações com o cliente.
A adequação à nova lei permite, reforçar a segurança dos dados pessoais e rever parte de seus processos internos, contribuindo assim para a melhoria e aumento de eficacia operacional das organizações.
A implantação da governança em privacidade, além de satisfazer as suas necessidades de conformidade, tornará possível não apenas excluir possíveis custos relacionados com as consequências financeiras de potenciais violações de privacidade, mas também de consolidar o caráter reputacional da organização no mercado.
Deve-se salientar que a nova legislação impõe uma mudança real na forma de comunicação pelas organizações, proporcionando consolidar a credibilidade no mercado o que representa uma verdadeira oportunidade de negócios para as empresas que a aplicam.