Por Helen Mesquita (*)
A Lei Geral de Proteção de Dados Pessoais (LGPD) está em vigor desde 18 de setembro com o objetivo de trazer mais segurança em relação ao tratamento dos dados pessoais dos titulares. Apesar de as punições administrativas pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD) começarem a ser aplicadas somente em agosto de 2021, o importante é a empresa não deixar para a última hora para se adequar totalmente à lei, sob pena de sofrer outras sanções e de ficar exposta de uma forma negativa no que tange a sua reputação. E hoje, o nível de reputação da empresa é o que a torna mais valiosa. Imagine uma organização que demorou anos para se consolidar ser destruída por uma mancha na sua reputação. Além disso, não estar em conformidade com a LGPD ou caminhando para esse sentido, aumenta-se o risco de ser acionado judicialmente, além de possíveis autuações por órgãos, como Programa de Proteção e Defesa do Consumidor (Procon), Secretaria Nacional do Consumidor (Senacon), entre outros.
Para atender a LGPD, as empresas precisam desenvolver procedimentos especiais de compliance, adequando todos os seus setores com relação à segurança da informação. É importante editar políticas internas de privacidade e de proteção de dados - como políticas de senhas, uso de e-mail e clean desk, planos de recuperação, planos de incidentes de segurança da informação e políticas de confidencialidade, entre outras. Pegando um exemplo do dia a dia, num processo de seleção, que envolve a área de RH, o tratamento dos dados começa desde a pré-seleção dos candidatos, quando a empresa tem acesso aos dados pelo currículo. Para isso, é preciso ter uma equipe treinada para adequar o tratamento desses dados às bases legais da LGPD.
A empresa também precisa focar em treinamento de colaboradores a partir de uma estratégia top down – abordagem de cima para baixo, ou seja, o CEO e os gestores precisam entender a necessidade dessa lei para que toda a organização consiga abrir a mente por meio de treinamentos.
Também é preciso preparar-se para fornecer qualquer informação sobre o tratamento de dados pessoais ao titular, quando for o caso. Ou seja, caso um cliente do e-commerce, por exemplo, solicite informações sobre quais dados pessoais dele estão sendo tratados, para qual finalidade e com quem foi compartilhado (direito de acesso), a empresa terá até 15 dias para informá-lo, sob pena de ser acionada inclusive judicialmente.
Noutro aspecto, importante ressaltar que ajustes no site da empresa devem ser feitos, cita-se como exemplo a elaboração e disponibilização da política de cookies e aviso de privacidade.
Hoje, a empresa que começar a cultivar essa cultura da LGPD vai ganhar vantagem competitiva e terá cada vez mais credibilidade com seus clientes em relação aos dados pessoais.
Como funciona na prática
Pela lei, o dado pessoal é toda a informação que identifique a pessoa, como o acesso ao seu nome, CPF ou RG. Ou que a torne identificável como, por exemplo, o acesso à placa do seu carro ou seu e-mail, que somado a outra informação pode chegar até você.
A lei traz dez bases legais para o tratamento de dados pessoais, que abrange desde a coleta até o descarte da sua informação. Por exemplo: você vai ao banco para fazer um contrato de financiamento imobiliário. O banco vai colher suas informações e elaborar um contrato de acordo com a base legal adequada, que envolve a execução do contrato. Nesse contexto e via de regra, se o crédito não for aprovado, as informações do cliente deverão ser descartadas. A partir dali se o banco for usar suas informações novamente terá de utilizar outra base legal, como o seu consentimento, por exemplo.
Portanto, as empresas já deveriam estar na corrida para entrar em conformidade com a LGPD, integrando todos os setores, treinando colaboradores e enfatizando a importância dessa cultura. Essa adequação é fundamental para, além de estar em conformidade com a legislação, minimizar o risco de incidentes. Quanto mais as organizações demoram para se adequar, maior o risco reputacional, além estarem sujeitas a tratar dados pessoais de forma ilícita. Ademais, a partir de agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD), poderá determinar sanções, como a temida multa, que pode chegar até R$ 50 milhões de reais por infração, contudo, consideramos que a maior sanção é a mancha à reputação da empresa, que pode levar anos para se recompor, correndo inclusive o risco de não ser mais reconstruída.
(*) Helen Mesquita é advogada, LLM em Direito Empresarial pela Fundação Getúlio Vargas, especialista em privacidade e proteção de dados pessoais, membro da Associação Nacional de Advogados(as) do Direito Digital (ANADD) e Co- founder LGPDlearning.