Por Vanessa Butalla (*)
A Lei de Proteção de Dados Pessoais (LGPD) entra em vigor no mercado brasileiro em agosto de 2020. O objetivo central desse importante marco jurídico-regulatório é estabelecer os princípios, direitos e deveres que deverão passar a ser observados no tratamento de dados pessoais de todos os indivíduos – empregados, clientes, consumidores e usuários de serviços.
Um aspecto crucial da nova legislação, que deve ser destacado, está no fato de que o texto se aplicará a todas as empresas, independentemente de suas dimensões ou especificidades.
Ou seja, na prática, isso se traduzirá em obrigatoriedades que alcançarão organizações de todos os portes e que, portanto, precisam se atentar desde já às adaptações necessárias.
A aprovação dessa primeira lei federal no País voltada exclusivamente à proteção de dados é resultado de um movimento amplo, que vem acontecendo não só no Brasil, como também em outros países, de busca por maior consciência no tratamento de informações pessoais.
Na União Europeia, por exemplo, a General Data Protection Regulation (GDPR) está em vigor desde maio de 2018, proporcionado um benchmarking valioso para a consolidação da proteção aqui no Brasil.
Assim como na Europa a nossa matriz Experian acompanhou ativamente todo o trâmite de formalização da GDPR, a Serasa Experian vem participando no Brasil da trajetória que originou a LGPD, contribuindo para o debate e colaborando no diálogo que resultou na aprovação da lei.
Com isso, visamos disseminar para as empresas uma visão cada vez mais consistente sobre as mudanças e as vantagens em conduzir, de forma estruturada, o alinhamento à nova regulamentação, além de prover suporte aos desafios enfrentados no momento de alinhar suas operações aos requisitos da nova lei.
Nesse processo, três passos são decisivos para fundamentar e assegurar a conformidade da gestão e da proteção de dados, alinhada ao que passará a vigorar a partir de agosto de 2020. São eles: Governança de dados, Segurança da Informação e Atendimento aos Titulares dos Dados.
O primeiro pilar, de governança, compreende as revisões mais abrangentes e complexas das práticas empresariais relacionadas ao tratamento de dados.
Dentro do seu escopo estão sete etapas:
- Catálogo de dados, ou seja, mapeamento e unificação de todas as informações de posse da empresa para organização de um catálogo, que será a base que fundamentará toda a governança de dados, envolvendo desde a coleta de informações até o seu descarte;
- Origem, visando atestar criteriosamente se a procedência dos dados atende a todos os regulamentos legais;
- Finalidade, uma vez que a nova regulamentação requer que sejam previamente definidas as finalidades permitidas para cada conjunto de informações, visando coibir o uso indiscriminado que ultrapasse o propósito;
- Estabelecimento de Políticas de Privacidade e Termos de Uso para todas as informações coletadas por processos e canais de relacionamento da empresa;
- Rastreabilidade dos dados, visando controlar alterações e acessos disponibilizados a cada um de seus conjuntos de dados, desde a captura da informação até sua eliminação da base vigente;
- Controle dos dados por meio de auditorias periódicas para garantir o andamento em conformidade com os aspectos legais e propiciar a identificação de oportunidades de melhoria; e por último,
- Destaque de um Encarregado de Dados, profissional que assumirá a função de representante legal da empresa, responsável pela interlocução com a Autoridade Nacional de Proteção de Dados (ANPD) e com os titulares dos dados.
Visando mitigar o impacto negativo que incidentes relacionados à proteção de dados causam aos titulares e também à reputação das empresas, a LGPD reforça em seus dispositivos um rigor ainda maior às práticas voltadas à Segurança da Informação, o segundo pilar fundamental para adequação às novas regras.
Para assegurar a integridade e a preservação de toda a base de dados, será necessário que as empresas avaliem a adoção de uma gestão mais robusta para esse processo, como a adoção do sistema ISO 27001, que contempla a criação de políticas de segurança específicas compartilhadas com seus profissionais.
Por fim, a adequação à LGPD traz ainda um terceiro pilar fundamental: a obrigatoriedade de estruturar o Atendimento aos Titulares dos Dados.
Como a nova legislação assegura à pessoa física o direito de acesso as suas respectivas informações constantes na base de dados de qualquer empresa, as companhias deverão disponibilizar canais gratuitos de atendimento, garantindo autonomia do usuário para realizar, por exemplo, consultas, correções em cadastro ou até mesmo a revogação de consentimentos.
Nesse novo contexto que se desenha, tão relevante quanto atender aos requerimentos da LGPD é identificar como este novo referencial legal pode contribuir para o fortalecimento da conduta corporativa.
Para além de conferir proteção às informações, a amplitude da LGPD proporcionará às empresas brasileiras a oportunidade de evoluir na adoção de melhores práticas em termos de transparência, segurança jurídica e eficiência.
Quanto antes as companhias revisarem seus processos de acordo com a nova realidade, mais significativos se tornarão os ganhos para reputação e para ampliação de diferenciais estratégicos e potenciais de crescimento e desenvolvimento de novos negócios.
E sua empresa, está preparada?
(*) Vanessa Butalla é diretora jurídica da Serasa Experian.
Fonte: Fausto Macedo – O Estado de S. Paulo, em 30.03.2019.