No dia 28/01 é comemorado o Dia Internacional da Proteção de Dados Pessoais e aqui no Brasil a Lei 13.709/18, que trata do assunto, entrou em vigência em setembro do ano passado (2020), trazendo forte impacto para as empresas, pois são obrigadas a adotar medidas que assegurem os direitos dos titulares desses dados.
Em âmbito internacional, o Estado alemão de Hesse, em 1970, editou a primeira lei sobre essa matéria. Já em 1981 o Conselho da Europa promulgou Convenção, que entrou em vigor em 1985, definindo normas visando a proteção de dados pessoais e garantia à privacidade (right to privacy). Ou seja, esta não é uma “invenção do Brasil”, e outros países, inclusive aqui da América do Sul, também já legislação a respeito.
Não resta dúvidas sobre a quantidade de dados pessoais que são coletados pelas empresas, e no contexto atual grande parte através de meios eletrônicos.
Todavia, não se pode esquecer que a lei também abarca o tratamento daqueles obtidos por meios físicos. Nome, CPF, e-mail, telefone, imagem, raça, opção sexual, são alguns dados tidos como pessoais, mas não se limitam a eles. Até mesmo placas de carro são assim consideradas, vez que possibilitam a identificação do titular.
De uma análise geral, as empresas têm pensado na adequação apenas em seu âmbito interno, esquecendo-se que também compartilham com terceiros os dados pessoais recebidos, a exemplo de contadores, advogados, planos de saúde, dentre outros. E neste caso, em havendo vazamento por eles, a empresa, na condição de controladora, também é responsabilizada.
Outro grande equívoco é pensar que a adequação das empresas à LGPD é apenas a elaboração de documentos como o termo de consentimento do titular, política de privacidade, ajustes de contratos. Se assim agirem, as empresas não estarão seguras e poderão sofrer as sanções previstas na lei, além daquelas na esfera cível, criminal, trabalhista e administrativa do Procon, muitas das quais, inclusive, já estão sendo aplicadas.
Para estar em conformidade com a LGPD é preciso que as empresas implantem um processo de gestão dos dados pessoais, onde se inclui o diagnóstico, mapeamento dos dados (data mapping), avaliação dos riscos e definição de medidas mitigadoras.
Não bastasse isso, além dos documentos, será necessária a implantação dos processos e controles internos, treinamentos, plano de monitoramento, ações de boas práticas e governança dos dados. E cabe a empresa comprovar que está fazendo a “lição de casa”.
As penalidades previstas na LGPD são bem severas, a exemplo da multa de até 2% do faturamento limitados a 50 milhões por infração, e começam a ser aplicadas pela Autoridade Nacional de Proteção de Dados a partir de agosto deste ano (2001). Mas não é por isso que as empresas podem aguardar até lá para começarem a se adequar.
E isso porque o processo de implantação não é simples e demanda tempo, não se limitando, como dito acima, na elaboração de documentos ou ações da TI.
Denota-se, então, que os riscos às empresas decorrentes da não conformidade à LGPD são enormes e podem afetar até mesmo sua sobrevivência, razão pela qual é fundamental que busquem amparo em profissionais especialistas na área e que tenham conhecimento de gestão de dados.
Apesar do momento difícil que enfrentamos, a Lei Geral de Proteção de Dados Pessoais é uma realidade, não podendo ser desprezada ou ignorada, seja por empresa pequena, média ou grande.
Luciana Serafim é advogada.