Sua empresa está preparada para a LGPD?

Por Flávia Lubieska N. Kischelewski

A advogada Flávia Lubieska Kischelewski atua no setor societário do Prolik.

Sua empresa está preparada para a Lei Geral de Proteção de Dados (LGPD)? Esta é a pergunta que muitos empresários e executivos deveriam estar se fazendo ou, num cenário mais otimista, estar em condições de responder positivamente. Todavia, para a grande maioria das empresas, o efetivo conhecimento sobre a LGPD não é ainda uma realidade, embora sua vigência se inicie em meados de agosto de 2020.

A promulgação em 14/08/2018 da Lei nº 13.709/2018 da chamada “Lei Geral de Proteção de Dados” (LGPD) trouxe ao ordenamento jurídico brasileiro novas disposições para a proteção e o tratamento de dados pessoais, seja em meios físicos, seja em meios digitais.

Fortemente inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (General Data Protection Regulation – GDPR – UE 2016/679), a LGPD nasceu com o desafio de pavimentar o caminho que tornará o Brasil um país detentor de níveis mínimos de proteção de dados pessoais, permitindo a continuidade da troca de informações pessoais com países da União Europeia. Sem isso, muitas atividades de comércio e serviços internacionais poderiam vir a ser prejudicadas num futuro próximo, assim como ações rotineiras de órgãos públicos, por exemplo.

Ao mesmo tempo em que o governo brasileiro começou a fazer sua parte para a adequação às melhores práticas internacionais (havendo ainda muito trabalho pela frente, especialmente com vistas à criação da Autoridade Nacional de Proteção de Dados – ANPD), é imprescindível que a iniciativa privada também passe a agir, voltando-se à governança de dados e à adoção de programas internos de adequação à nova Lei.

Nesse contexto, as empresas devem, primeiramente, conhecer a LGPD, considerando as alterações decorrentes da Medida Provisória 869/2018, cujo projeto de Lei de Conversão foi aprovado pelo Senado recentemente.

Após esse primeiro contato com a legislação, deve-se passar à etapa de diagnóstico, avaliação ou “assessment”. Essa espécie de auditoria pode ser feita internamente caso a equipe conte com profissionais capacitados. Aqui vale destacar a palavra “equipe”. Com efeito, trata-se de um trabalho multidisciplinar, havendo necessidade de se atacar várias frentes ao mesmo tempo, que exigem conhecimentos jurídicos e técnicos, como de tecnologia da informação, de marketing etc.

Não havendo expertise para conduzir o “assessment” internamente, recomenda-se a contratação de especialistas, os quais devem inicialmente se dedicar a conhecer o negócio do cliente. Isso é importante, pois cada empresa tem um perfil distinto e isso deverá ser levado em consideração quando da definição do modelo de levantamento de informações a ser realizado.

Esse trabalho pode levar alguns meses, dependendo do porte da empresa, de sua organização interna e do tipo de atividade que exerce. O campo de avaliação é amplo e deve cobrir contratos, propostas, documentos de marketing, do setor de recursos humanos, mapeamento de processos, políticas de segurança da informação, tratamento de consentimento na obtenção de informações, finalidades do uso de dados e tantos outros itens.

O período de “assessment” é relevante igualmente para definir qual a forma de atuação da empresa no tratamento de dados (considerando que “tratamento”, nos termos da LGPD, é um conceito extremamente abrangente). Essa identificação revelará quando a empresa será considerada uma controladora de dados e quando será operadora, o que é fundamental para fins de definição das responsabilidades aplicáveis e os riscos inerentes às atividades.

A análise das informações apuradas permitirá a produção de relatório que contemple os riscos existentes e um plano de trabalho para as próximas etapas, seja para correções, melhorias ou implementação de processos, aquisições de softwares etc, entre outras tantas sugestões. Essa segunda etapa é, de longe, ainda mais longa.

Um dos itens da fase implementação é, em regra, a proposição de treinamentos internos sobre a governança de dados e os novos processos que deverão ser conhecidos e praticados. É preciso que haja uma mudança de cultura e uma verdadeira incorporação dos procedimentos de governança de dados no dia a dia da empresa, até mesmo porque o trabalho será contínuo, ou seja, constituirá uma rotina.

Outro aspecto a ser levado em conta é a eventual nomeação do encarregado ou “Data Protecion Officer – DPO”. Será mesmo preciso ter este profissional? Quem pode exercer essa função? Precisa ser uma pessoa física ou uma pessoa jurídica? Essa pessoa ou entidade detém o conhecimento jurídico-regulatório exigido pela LGPD? Pode-se terceirizar e, em caso positivo, seria isso conveniente? Pode o DPO exercer mais de uma função na empresa? Tudo isso deverá ser ponderado diante de cada caso prático para se chegar à melhor resposta.

Não se pode supor que a consultoria será um processo com uma data de término específica (ainda que depois de um longo trabalho). Vale dizer que a consultoria é o primeiro passo que trará as bases e construções iniciais, porque haverá, posteriormente, a necessidade de revisões periódicas e melhorias supervenientes do programa original de adequação e implementação de governança de dados. Lembrando a metáfora de que a empresa é um organismo vivo, deve-se ter em mente que esse organismo deverá ser constantemente nutrido e que, em função das próprias mudanças e crescimento a que ele estará sujeito, o programa deverá ser constantemente revisto e aprimorado.

Essa condição de trabalho constantemente em progresso também decorre do fato de que a ANPD ainda não está constituída e que lhe competirá normatizar e estabelecer diretrizes relativas à Política Nacional de Proteção de Dados Pessoais e da Privacidade, bem como disciplinar padrões para produtos e serviços, estabelecer regras simplificadas e distintas para microempresas, empresas de pequeno porte, startups ou empresas de inovação, aplicar as penalidades legais, firmar compromissos de adequação de conduta com empresas e adotar outras medidas e regramentos.

Esse aspecto não deve ser interpretado como motivação para postergar a adequação à LGPD. Até mesmo porque, atualmente, mesmo sem estar vigente, existem em andamento inúmeros casos de inquéritos civis e até ações civis públicas relativas a coletas e vazamento de dados, com base no Marco Civil da Internet. Há inclusive consequências financeiras para as empresas, sem contar o prejuízo à imagem.

Por todos esses aspectos, é que se conclui pela necessidade de se preparar para o LGPD em caráter preventivo. O comprometimento e o alinhamento devem ser uma iniciativa de caráter “top-down”, isto é, que partem da alta gestão para os demais empregados, colaboradores e, por que não, fornecedores, consultores, prestadores de serviços, terceirizados etc. Também a relação com os clientes deve ser revista, pois poderá merecer ajustes ou comportar espaço para melhorias e até mesmo constituir um novo nicho de mercado.

Os empresários precisam adequar suas operações à LGPD não apenas em razão das severas penalidades a que estarão sujeitos. Cabe considerar que a implantação da governança propiciará uma nova forma de trabalho e que, a despeito dos investimentos que deverão ser feitos, trará competitividade nesse novo mercado que se apresenta a todos. A adequação à Lei Geral trará igualmente a preservação da reputação da marca e da representatividade da empresa no cenário em que atua.

Se o ideal de governança e o destaque no mercado frente à concorrência não são elementos suficientes de convencimento, nunca é demais relembrar as sanções legais. Na hipótese de descumprimento da LGPD pelos agentes de tratamento, a penalidade imposta pode variar de uma advertência, com indicação de prazo para adoção de medidas corretivas, a multas e outras sanções, a saber: a) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; b) multa diária, observado o limite total acima referido; c) publicização da infração após devidamente apurada e confirmada a sua ocorrência; d) bloqueio ou eliminação dos dados pessoais a que se refere a infração até a sua regularização.

Feitas essas considerações, perguntamos novamente: sua empresa está preparada para a LGPD? As iniciativas preventivas são sempre mais econômicas e vantajosas sob diversos pontos de vista, quando comparadas a atuações apressadas decorrentes de sanções ou mesmo da ameaça de punições por autoridades públicas ou para alcançar a concorrência.

MP que modifica a Lei Geral de Proteção de Dados é debatida pela Comissão Mista

A Comissão Mista legislativa que analisa a Medida Provisória 869/2018 (“MP”), que modifica a Lei nº 13.709/2019 (“Lei Geral de Proteção de Dados Pessoais”), promoveu audiências públicas nos dias 16 e 17 de abril, com estas pautas: (i) tratamento de dados no setor privado, tratamento automatizado e o direito à explicação; e (ii) compartilhamento e proteção de dados na saúde e na pesquisa científica.

Com relação à questão do tratamento automatizado, vale recordar que a MP alterou o artigo 20 da LGPD, de modo a retirar a obrigatoriedade de um ser humano revisar os dados tratados de forma automatizada. O tema é relevante pois se discute as vantagens econômicas decorrentes exclusivamente da revisão automatizada versus os erros que essas análises podem gerar e que somente seriam revistos por “pessoa natural” (nos termos da redação original da LGPD). Receia-se que a avaliação automatizada possa obstar, por exemplo, o acesso a crédito bancário ou à contratação de planos de saúde, em razão de cruzamentos de dados com bases equivocadas.

A criação da Agência Nacional de Proteção de Dados (“ANPD”) também foi debatida. O formato proposto vem sendo alvo de críticas, não pela sua necessidade, mas pela estrutura administrativa prevista. Pela MP, a ANPD será um órgão da administração pública federal, integrante da Presidência da República, embora o desejável seria que a Autoridade se assemelhasse ao Conselho de Administrativo de Defesa Econômica – CADE, com maior autonomia técnica e financeira.

Já na audiência pública do dia 17 de abril, debateu-se o dispositivo da MP que possibilitaria o compartilhamento de dados pessoais entre entidades privadas sem, em alguns casos, o consentimento do titular. Como divulgado no Portal do Senado Federal, “esses compartilhamentos, na área da saúde, podem ocorrer entre empresas de seguro e hospitais, para efetuar pagamento de serviços; entre profissionais médicos, para composição de diagnósticos; e também entre clínicas e pesquisadores ou órgãos públicos, para subsidiar estudos e políticas públicas”.

Ao mesmo tempo que entidades defendem que o compartilhamento é essencial para a cadeia produtiva do setor, com vistas a aumentar segurança dos procedimentos, contribuir para a formação de políticas públicas e avanços em pesquisa, há aqueles que temem que haja discriminação por parte, por exemplo, de planos de saúde na formação de seus preços.

A MP recebeu 176 emendas e o relatório do deputado Orlando Silva (PCdoB-SP) deve ser apresentado em 23 de abril. Esse relatório será submetido à votação pelo colegiado, passando a constituir parecer da Comissão Mista se aprovado. A advogada Flávia Lubieska N. Kischelewski destaca que a LGPD deve entrar em vigência em agosto de 2020, de modo que as empresas precisam iniciar imediatamente seu plano de adequação e implantação de controles e de governança de dados para atender à nova legislação (uma vez que essas atividades podem levar cerca de 12 meses ou mais para serem concluídas).