Lei Geral de Proteção de Dados (LGPD): Como se adequar?

O tema proteção de dados vinha sendo tratado há muito tempo no Brasil, de forma esparsa, através de regulamentos como o Código Civil e o Código de Defesa do Consumidor. Em julho de 2018, a Lei Federal nº 13.709/2018, mais conhecida como LGPD, foi aprovada por unanimidade pelo Senado e criou um importante marco legal para a proteção de dados no Brasil. A LGPD tem grande influência do regulamento europeu sobre a matéria, o GDPR, e vai mudar completamente a forma como os dados pessoais são manipulados, com a sua entrada em vigor em agosto de 2020.

A importância da LGPD está baseada na garantia dos direito à privacidade e proteção de dados pessoais dos cidadãos, que a cada dia passa a ser mais violado em função das necessidades estratégicas do mercado varejista e dos conglomerados políticos em busca de votos. Dois grandes exemplos dessa violação podem ser vistos no grande número de propagandas indesejadas que recebemos, através da definição de um suposto perfil de consumo e no episódio da Cambridge Analytica nas eleições dos EUA. A lei visa especificamente a proteção dos dados pessoais, que são definidos como qualquer informação que possa levar à identificação de uma pessoa, de maneira direta ou indireta, como por exemplo: Nome, CPF, telefone endereço etc. Além dos dados pessoais, a lei se preocupa de maneira mais contundente com os dados sensíveis, que são dados cujo tratamento pode ensejar a discriminação do seu titular por se referirem, por exemplo, à opção sexual, convicções religiosas, filosóficas ou morais, ou opiniões políticas etc.

Com a implantação da lei, haverá um grande fortalecimento da governança dos dados e consequentemente uma redução significativa dos riscos aos negócios. A transparência no uso dos dados ira fortalecer bastante a reputação das empresas, melhorar a experiencia do cliente e consequentemente agregar valor para os produtos e serviços oferecidos. Ainda há quem pense que essa lei “não vai pegar”, mas existe um apelo comercial e econômico mundial muito forte dos países que pretendem tirar vantagens dos acordos internacionais existentes. A adequação à LGPD não é uma questão de escolha, mas sim uma questão de sobrevivência.

O processo de adequação requer uma análise detalhada do funcionamento da empresa. Todos os processos que manipulam dados pessoais precisam ser diagnosticados para definição dos riscos de violação e das estratégias de respostas mais adequadas. Será preciso também revisar todas as políticas, procedimentos e contratos com terceiros para garantir a conformidade com a lei.

As empresas que já desejarem iniciar essa jornada podem começar a fazer alguns deveres de casa importantes para dimensionar o escopo do seu projeto de adequação:

• Estudar a lei;
• Nomear o Encarregado de Dados que pode ser um colaborador interno, com conhecimentos em segurança da informação e na lei ou uma empresa especializada no assunto;
• Criar um comitê de privacidade e proteção de dados com colaboradores dos setores mais impactados, como por exemplo, RH, Compras, Jurídico, Marketing etc;
• Identificar todos os processos que de alguma forma manipulam dados pessoais de forma física ou eletrônica, descrevendo a justificativa da necessidade dessas informações na empresa;
• Relacionar todas as políticas, procedimentos e contratos para revisão;
• Identificar as funções que a empresa realiza como controlador e como processador;
• Relacionar os principais recursos de TI que processam dados pessoais;

É preciso ficarmos atentos ao fato de que a partir de agora tudo é LGPD Compliance. Todos os fabricantes de software de software, profissionais de TI e escritórios de advocacia passaram a ser especialistas em um tema que ainda está sendo tratado com muitas incertezas no nosso país, devido ao fato de não termos uma autoridade nacional atuante e que ainda vai desenvolver muitas legislações complementares. A melhor saída é procurar apoio de profissionais que possuam experiência prática comprovada em áreas como segurança da informação, mapeamento de processos, direito digital e pleno conhecimento do regulamento europeu, que é a base da nossa LGPD.