As implicações da Lei Geral de Proteção de Dados nas empresas
Por Aleff Ribeiro
Hoje, ainda, para a maior parte das empresas e entes públicos brasileiros, os dados pessoais são vistos e tratados como elementos de cunho burocrático, ou até mesmo banal. Contatos de clientes (ou cidadãos) são tratados rudimentarmente, comumente para envio de e-mails, faturas ou cobranças; as informações dos empregados (nome, endereço, salário, férias, licenças médicas, auxílios especiais…) são geridas pelo setor de Recursos Humanos com auxílio de softwares simples; o controle das vendas muitas vezes feito em planilhas, e as notas das compras, arquivadas para fins de garantia dos produtos adquiridos.
Todavia, esse paradigma tem mudado diametralmente, a começar pelos grandes e recentes vazamentos de dados, pela vigência do Regulamento de Proteção Europeu (GDPR) e agora, aqui, com a promulgação da Lei Geral de Proteção de Dados, que impõe mudança no modus operandi dos titulares e controladores, cria condutas, direitos e deveres, cujos efeitos estão prestes a surtir[1].
Com isso, os dados hoje adquiriram status de preciosos ativos, e os exemplos acima elencados são alguns dentre tantos que demonstram que sua má administração pode dar origem a importantes – e pesados – passivos para aqueles que os detêm.
Quais os passos, então, para a regularização? Como as empresas, da farmácia ao hospital, do pequeno negócio à multinacional, deverão se portar sob as novas diretrizes?
De forma simples e concisa, a primeira medida é dar um passo para trás e tomar conta do contexto sócio-político-tecnológico atual que, em linhas gerais, se traduz pela rápida e contínua transmissão de informações, que podem facilmente, se mal administradas, lesar os titulares ou até mesmo cair nas mãos de agentes mal intencionados, causando exposição de dados sensíveis e de informações confidenciais, e.g.
Feito isso, é fundamental a nomeação do agente encarregado por todo o gerenciamento e proteção dos dados da empresa, o DPO (Data Protection Officer), que pode ser um profissional ou uma equipe, de dentro da empresa ou prestando consultoria externa. Assim como o Compliance Officer, o DPO deve estar acima da cadeia hierárquica, com liberdade de implementar as medidas necessárias sem interferências.
Uma destas é a distinção de onde estão as informações dentro da empresa (dados de clientes, fornecedores, funcionários), qual seu fluxo (por e-mail, por planilhas, pela nuvem ou por papel) e seus usos (histórico de compras e vendas, e-mails, arquivo), num processo chamado de data maping.
Uma vez devidamente mapeados, o caminho para a identificação dos titulares desses dados (clientes, fornecedores, devedores, funcionários, etc) está mais visível, permitindo assim a análise das espécies de tratamento que cada grupo de dados e titulares exigem[2].
Isso é fundamental para que a empresa esteja plenamente ciente da dimensão dos riscos que possui (exposição, vazamento e consentimento são amostras), podendo então tomar medidas protetivas, como a instauração de políticas de governança, alinhamento de condutas do corpo de funcionários e de due dilligence nas relações negociais.
Por óbvio, a complexidade dessas medidas varia de acordo com o porte e com a espécie dos dados tratados pela empresa (se sensíveis, como prontuários médicos, ou registro de devedores), mas é inegável que todas deverão conferir especial atenção à espécie de tratamento que têm dado a eles.
Isso porque a Lei não é branda com as sanções, podendo ser arbitrada multa de até 2% (dois por cento) do faturamento da empresa, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, além da publicização da infração e da eliminação e bloqueio dos dados pessoais a ela ligados.
Assim, não é demais concluir que a nova abordagem para com os dados pessoais, regulamentada no Brasil pela LGPD, tem forte ingerência na forma de operação do empresariado, fazendo da conformidade com a Lei fator decisivo na escolha dos investidores e sinônimo de confiabilidade, por exemplo; razão pela qual não se deve estar alheio a esse novo cenário, mas consciente e atuante.
[1] Entrada em vigor em dezembro de 2020 (24 meses da publicação da MP 869/18).
[2] O art. 7º estatui que o tratamento dos dados poderá ser realizado em dez hipóteses, sendo algumas o expresso consentimento do titular, o cumprimento de obrigação legal, para execução de contratos, para a proteção da vida, tutela da saúde ou quando atender os interesses legítimos do controlador.