Por Rosangela Carmanini (*)
Neste último mês, a Lei 13.709, também conhecida como LGPD (Lei Geral de Proteção de Dados), completou dois anos. Mesmo já decorrido todo este tempo desde sua publicação, ainda restavam dúvidas quanto ao início da vigência, pois desde sua criação, em agosto de 2018, aconteceram várias mudanças. Contudo, na última quarta-feira do mês de agosto, dia 26, ao votar o Projeto de Lei de Conversão 34/2020 (proveniente da MP 959 de 2020), o Senado deliberou que manteria a determinação da Lei 14.010/2020, ou seja, a vigência a partir de 14 de agosto de 2020, com possibilidade de aplicação de sanções a partir de agosto de 2021.
Desta forma, resta apenas a sanção presidencial para que a Lei comece, de fato, a vigorar. Com isso, tornou-se ainda mais urgente conhecer como esta Lei afeta as organizações. Para entender o impacto que a LGPD tem sobre as empresas, é necessário explicar que a Lei surgiu com o intuito de proteger as pessoas físicas, garantindo a elas os direitos fundamentais de liberdade e de privacidade, de forma a evitar o tratamento indiscriminado dos dados por parte de pessoa natural ou por pessoas jurídicas, sejam elas públicas ou privadas.
Tudo isso significa que todas as pessoas físicas terão mais controle do que é feito com os seus dados pessoais. Quer um exemplo? Quem nunca passou pela experiência de ter seu nome e CPF solicitado no caixa quando pretendia comprar um simples chocolate ou um analgésico? Até pouco tempo, raramente alguém questionava se estas práticas poderiam ser realizadas. No entanto, todos sabiam identificar o porquê de logo depois destas compras, começarem a receber mensagens no celular com promoções desses mesmos estabelecimentos.
Com a vigência da lei este tipo de situação não poderá mais ocorrer, pois para solicitar seus dados as empresas terão de dizer exatamente qual o uso fará deles e contar com sua aceitação. Além disso, o fato de concordar hoje, não implica em um consentimento vitalício. Ou seja, aquela loja em que você se cadastrou quando comprou uma roupa deverá excluir seu telefone ou e-mail da lista de distribuição de ofertas se for de seu interesse. Outro exemplo é a possibilidade de solicitar a portabilidade de seus dados de plano de saúde, caso o usuário opte pela trocar de operadora, e assim manter seu histórico médico.
Olhando do ponto de vista do titular do dado pessoal, com a vigência da lei, ele passará a ter muito mais controle sob seus dados e sua privacidade. No entanto, do ponto de vista das empresas, há muito que ser feito. O prazo entre a publicação da lei e sua efetiva vigência teve o objetivo de propiciar tempo às empresas de adaptarem suas atividades para atenderem às determinações legais. Porém, de acordo com o Índice LGPD Abes, desenvolvida pela Associação Brasileira das Empresas de Software (Abes), em parceria com a EY, atualmente cerca de 60% das empresas ainda não estão em conformidade com as exigências da Lei e um dos fatores que influenciam neste resultado é a quantidade de ações necessárias para esta adequação.
O primeiro passo que a empresa deve tomar é identificar dentro da organização quem serão as pessoas envolvidas neste programa de adaptação, incluindo uma equipe multidisciplinar entre Jurídico, Negócios, Tecnologia, Compliance e Processos, além de garantir o apoio da alta administração nesta empreitada. A partir daí, é preciso realizar uma análise de todas as atividades desenvolvidas pela empresa afim de entender o ciclo de vida dos dados pessoais em cada uma delas. Ou seja, entender de quem são os dados pessoais tratados pelas diversas áreas, como estes dados são obtidos, para que são usados, se são compartilhados dentro e fora da empresa e do país e, talvez, o principal desafio, seja saber por quanto tempo estes dados são armazenados.
A ênfase no tempo se faz necessária porque antes da Lei não se tinha a preocupação com o descarte de dados, fazendo com que empresas armazenassem dados pessoais desnecessários por décadas. Feito isso, é o momento de identificar as bases legais para o tratamento destes dados. Esta fase é importante porque, ao contrário do que se pensa em um primeiro momento, a LGPD não surgiu para proibir o uso de dados pessoais, mas sim regulamentar formas de uso para garantir direitos aos titulares, dentre eles de saber onde e como seus dados estão sendo tratados. Desta forma, desde que amparado pelas bases legais previstas na lei, a empresa pode continuar com suas atividades sem prejuízo ao seu negócio.
De posse do mapeamento das atividades e dos gaps identificados, chega o momento em que a companhia irá definir ações para adaptar seus processos, contratos, canais de comunicação; revisar políticas; definir formas de mitigar os riscos identificados; implementar medidas de segurança dos dados e estruturar processo de gestão de incidentes. Além de todas estas etapas, conforme especificado na lei, a empresa deve designar um encarregado de proteção de dados. Essa pessoa, além de monitorar os assuntos relacionados à proteção dos dados pessoais, será o responsável pela interlocução com o órgão fiscalizador: a ANPD (Autoridade Nacional de Proteção de Dados).
Para todas as etapas mencionadas, além de dedicação de pessoal, há também o esforço financeiro, que dado o cenário atual de pandemia, passou a ser um agravante para atingir o compliance com a Lei. Por isso, é imperativo que as empresas iniciem o mais breve possível seu processo de adaptação, já que quanto antes a empresa iniciar o levantamento, mais cedo será capaz de iniciar ações que irão impactar positivamente para o aumento do nível de maturidade da organização.
Para finalizar, há dois pontos importantes a serem ressaltados: a lei atinge empresas de todos os tamanhos, que vai de escritórios de advocacia, consultórios médicos, e profissionais autônomos de vários segmentos, até mesmo as repartições públicas. E o fato de as sanções por parte da ANPD só poderem ser aplicadas a partir de agosto de 2021, não impedirá que haja aplicação de penalidades por outros órgãos, como o Ministério Público ou o Procon, com base no direito dos titulares, visto que a Lei estará em vigor.
(*) Rosangela Carmanini é consultora sênior de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.
Desta forma, resta apenas a sanção presidencial para que a Lei comece, de fato, a vigorar. Com isso, tornou-se ainda mais urgente conhecer como esta Lei afeta as organizações. Para entender o impacto que a LGPD tem sobre as empresas, é necessário explicar que a Lei surgiu com o intuito de proteger as pessoas físicas, garantindo a elas os direitos fundamentais de liberdade e de privacidade, de forma a evitar o tratamento indiscriminado dos dados por parte de pessoa natural ou por pessoas jurídicas, sejam elas públicas ou privadas.
Tudo isso significa que todas as pessoas físicas terão mais controle do que é feito com os seus dados pessoais. Quer um exemplo? Quem nunca passou pela experiência de ter seu nome e CPF solicitado no caixa quando pretendia comprar um simples chocolate ou um analgésico? Até pouco tempo, raramente alguém questionava se estas práticas poderiam ser realizadas. No entanto, todos sabiam identificar o porquê de logo depois destas compras, começarem a receber mensagens no celular com promoções desses mesmos estabelecimentos.
Com a vigência da lei este tipo de situação não poderá mais ocorrer, pois para solicitar seus dados as empresas terão de dizer exatamente qual o uso fará deles e contar com sua aceitação. Além disso, o fato de concordar hoje, não implica em um consentimento vitalício. Ou seja, aquela loja em que você se cadastrou quando comprou uma roupa deverá excluir seu telefone ou e-mail da lista de distribuição de ofertas se for de seu interesse. Outro exemplo é a possibilidade de solicitar a portabilidade de seus dados de plano de saúde, caso o usuário opte pela trocar de operadora, e assim manter seu histórico médico.
Olhando do ponto de vista do titular do dado pessoal, com a vigência da lei, ele passará a ter muito mais controle sob seus dados e sua privacidade. No entanto, do ponto de vista das empresas, há muito que ser feito. O prazo entre a publicação da lei e sua efetiva vigência teve o objetivo de propiciar tempo às empresas de adaptarem suas atividades para atenderem às determinações legais. Porém, de acordo com o Índice LGPD Abes, desenvolvida pela Associação Brasileira das Empresas de Software (Abes), em parceria com a EY, atualmente cerca de 60% das empresas ainda não estão em conformidade com as exigências da Lei e um dos fatores que influenciam neste resultado é a quantidade de ações necessárias para esta adequação.
O primeiro passo que a empresa deve tomar é identificar dentro da organização quem serão as pessoas envolvidas neste programa de adaptação, incluindo uma equipe multidisciplinar entre Jurídico, Negócios, Tecnologia, Compliance e Processos, além de garantir o apoio da alta administração nesta empreitada. A partir daí, é preciso realizar uma análise de todas as atividades desenvolvidas pela empresa afim de entender o ciclo de vida dos dados pessoais em cada uma delas. Ou seja, entender de quem são os dados pessoais tratados pelas diversas áreas, como estes dados são obtidos, para que são usados, se são compartilhados dentro e fora da empresa e do país e, talvez, o principal desafio, seja saber por quanto tempo estes dados são armazenados.
A ênfase no tempo se faz necessária porque antes da Lei não se tinha a preocupação com o descarte de dados, fazendo com que empresas armazenassem dados pessoais desnecessários por décadas. Feito isso, é o momento de identificar as bases legais para o tratamento destes dados. Esta fase é importante porque, ao contrário do que se pensa em um primeiro momento, a LGPD não surgiu para proibir o uso de dados pessoais, mas sim regulamentar formas de uso para garantir direitos aos titulares, dentre eles de saber onde e como seus dados estão sendo tratados. Desta forma, desde que amparado pelas bases legais previstas na lei, a empresa pode continuar com suas atividades sem prejuízo ao seu negócio.
De posse do mapeamento das atividades e dos gaps identificados, chega o momento em que a companhia irá definir ações para adaptar seus processos, contratos, canais de comunicação; revisar políticas; definir formas de mitigar os riscos identificados; implementar medidas de segurança dos dados e estruturar processo de gestão de incidentes. Além de todas estas etapas, conforme especificado na lei, a empresa deve designar um encarregado de proteção de dados. Essa pessoa, além de monitorar os assuntos relacionados à proteção dos dados pessoais, será o responsável pela interlocução com o órgão fiscalizador: a ANPD (Autoridade Nacional de Proteção de Dados).
Para todas as etapas mencionadas, além de dedicação de pessoal, há também o esforço financeiro, que dado o cenário atual de pandemia, passou a ser um agravante para atingir o compliance com a Lei. Por isso, é imperativo que as empresas iniciem o mais breve possível seu processo de adaptação, já que quanto antes a empresa iniciar o levantamento, mais cedo será capaz de iniciar ações que irão impactar positivamente para o aumento do nível de maturidade da organização.
Para finalizar, há dois pontos importantes a serem ressaltados: a lei atinge empresas de todos os tamanhos, que vai de escritórios de advocacia, consultórios médicos, e profissionais autônomos de vários segmentos, até mesmo as repartições públicas. E o fato de as sanções por parte da ANPD só poderem ser aplicadas a partir de agosto de 2021, não impedirá que haja aplicação de penalidades por outros órgãos, como o Ministério Público ou o Procon, com base no direito dos titulares, visto que a Lei estará em vigor.
(*) Rosangela Carmanini é consultora sênior de Data Privacy da ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.