Sua empresa está preparada para a LGPD?

Por Flávia Lubieska N. Kischelewski

A advogada Flávia Lubieska Kischelewski atua no setor societário do Prolik.

Sua empresa está preparada para a Lei Geral de Proteção de Dados (LGPD)? Esta é a pergunta que muitos empresários e executivos deveriam estar se fazendo ou, num cenário mais otimista, estar em condições de responder positivamente. Todavia, para a grande maioria das empresas, o efetivo conhecimento sobre a LGPD não é ainda uma realidade, embora sua vigência se inicie em meados de agosto de 2020.

A promulgação em 14/08/2018 da Lei nº 13.709/2018 da chamada “Lei Geral de Proteção de Dados” (LGPD) trouxe ao ordenamento jurídico brasileiro novas disposições para a proteção e o tratamento de dados pessoais, seja em meios físicos, seja em meios digitais.

Fortemente inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (General Data Protection Regulation – GDPR – UE 2016/679), a LGPD nasceu com o desafio de pavimentar o caminho que tornará o Brasil um país detentor de níveis mínimos de proteção de dados pessoais, permitindo a continuidade da troca de informações pessoais com países da União Europeia. Sem isso, muitas atividades de comércio e serviços internacionais poderiam vir a ser prejudicadas num futuro próximo, assim como ações rotineiras de órgãos públicos, por exemplo.

Ao mesmo tempo em que o governo brasileiro começou a fazer sua parte para a adequação às melhores práticas internacionais (havendo ainda muito trabalho pela frente, especialmente com vistas à criação da Autoridade Nacional de Proteção de Dados – ANPD), é imprescindível que a iniciativa privada também passe a agir, voltando-se à governança de dados e à adoção de programas internos de adequação à nova Lei.

Nesse contexto, as empresas devem, primeiramente, conhecer a LGPD, considerando as alterações decorrentes da Medida Provisória 869/2018, cujo projeto de Lei de Conversão foi aprovado pelo Senado recentemente.

Após esse primeiro contato com a legislação, deve-se passar à etapa de diagnóstico, avaliação ou “assessment”. Essa espécie de auditoria pode ser feita internamente caso a equipe conte com profissionais capacitados. Aqui vale destacar a palavra “equipe”. Com efeito, trata-se de um trabalho multidisciplinar, havendo necessidade de se atacar várias frentes ao mesmo tempo, que exigem conhecimentos jurídicos e técnicos, como de tecnologia da informação, de marketing etc.

Não havendo expertise para conduzir o “assessment” internamente, recomenda-se a contratação de especialistas, os quais devem inicialmente se dedicar a conhecer o negócio do cliente. Isso é importante, pois cada empresa tem um perfil distinto e isso deverá ser levado em consideração quando da definição do modelo de levantamento de informações a ser realizado.

Esse trabalho pode levar alguns meses, dependendo do porte da empresa, de sua organização interna e do tipo de atividade que exerce. O campo de avaliação é amplo e deve cobrir contratos, propostas, documentos de marketing, do setor de recursos humanos, mapeamento de processos, políticas de segurança da informação, tratamento de consentimento na obtenção de informações, finalidades do uso de dados e tantos outros itens.

O período de “assessment” é relevante igualmente para definir qual a forma de atuação da empresa no tratamento de dados (considerando que “tratamento”, nos termos da LGPD, é um conceito extremamente abrangente). Essa identificação revelará quando a empresa será considerada uma controladora de dados e quando será operadora, o que é fundamental para fins de definição das responsabilidades aplicáveis e os riscos inerentes às atividades.

A análise das informações apuradas permitirá a produção de relatório que contemple os riscos existentes e um plano de trabalho para as próximas etapas, seja para correções, melhorias ou implementação de processos, aquisições de softwares etc, entre outras tantas sugestões. Essa segunda etapa é, de longe, ainda mais longa.

Um dos itens da fase implementação é, em regra, a proposição de treinamentos internos sobre a governança de dados e os novos processos que deverão ser conhecidos e praticados. É preciso que haja uma mudança de cultura e uma verdadeira incorporação dos procedimentos de governança de dados no dia a dia da empresa, até mesmo porque o trabalho será contínuo, ou seja, constituirá uma rotina.

Outro aspecto a ser levado em conta é a eventual nomeação do encarregado ou “Data Protecion Officer – DPO”. Será mesmo preciso ter este profissional? Quem pode exercer essa função? Precisa ser uma pessoa física ou uma pessoa jurídica? Essa pessoa ou entidade detém o conhecimento jurídico-regulatório exigido pela LGPD? Pode-se terceirizar e, em caso positivo, seria isso conveniente? Pode o DPO exercer mais de uma função na empresa? Tudo isso deverá ser ponderado diante de cada caso prático para se chegar à melhor resposta.

Não se pode supor que a consultoria será um processo com uma data de término específica (ainda que depois de um longo trabalho). Vale dizer que a consultoria é o primeiro passo que trará as bases e construções iniciais, porque haverá, posteriormente, a necessidade de revisões periódicas e melhorias supervenientes do programa original de adequação e implementação de governança de dados. Lembrando a metáfora de que a empresa é um organismo vivo, deve-se ter em mente que esse organismo deverá ser constantemente nutrido e que, em função das próprias mudanças e crescimento a que ele estará sujeito, o programa deverá ser constantemente revisto e aprimorado.

Essa condição de trabalho constantemente em progresso também decorre do fato de que a ANPD ainda não está constituída e que lhe competirá normatizar e estabelecer diretrizes relativas à Política Nacional de Proteção de Dados Pessoais e da Privacidade, bem como disciplinar padrões para produtos e serviços, estabelecer regras simplificadas e distintas para microempresas, empresas de pequeno porte, startups ou empresas de inovação, aplicar as penalidades legais, firmar compromissos de adequação de conduta com empresas e adotar outras medidas e regramentos.

Esse aspecto não deve ser interpretado como motivação para postergar a adequação à LGPD. Até mesmo porque, atualmente, mesmo sem estar vigente, existem em andamento inúmeros casos de inquéritos civis e até ações civis públicas relativas a coletas e vazamento de dados, com base no Marco Civil da Internet. Há inclusive consequências financeiras para as empresas, sem contar o prejuízo à imagem.

Por todos esses aspectos, é que se conclui pela necessidade de se preparar para o LGPD em caráter preventivo. O comprometimento e o alinhamento devem ser uma iniciativa de caráter “top-down”, isto é, que partem da alta gestão para os demais empregados, colaboradores e, por que não, fornecedores, consultores, prestadores de serviços, terceirizados etc. Também a relação com os clientes deve ser revista, pois poderá merecer ajustes ou comportar espaço para melhorias e até mesmo constituir um novo nicho de mercado.

Os empresários precisam adequar suas operações à LGPD não apenas em razão das severas penalidades a que estarão sujeitos. Cabe considerar que a implantação da governança propiciará uma nova forma de trabalho e que, a despeito dos investimentos que deverão ser feitos, trará competitividade nesse novo mercado que se apresenta a todos. A adequação à Lei Geral trará igualmente a preservação da reputação da marca e da representatividade da empresa no cenário em que atua.

Se o ideal de governança e o destaque no mercado frente à concorrência não são elementos suficientes de convencimento, nunca é demais relembrar as sanções legais. Na hipótese de descumprimento da LGPD pelos agentes de tratamento, a penalidade imposta pode variar de uma advertência, com indicação de prazo para adoção de medidas corretivas, a multas e outras sanções, a saber: a) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; b) multa diária, observado o limite total acima referido; c) publicização da infração após devidamente apurada e confirmada a sua ocorrência; d) bloqueio ou eliminação dos dados pessoais a que se refere a infração até a sua regularização.

Feitas essas considerações, perguntamos novamente: sua empresa está preparada para a LGPD? As iniciativas preventivas são sempre mais econômicas e vantajosas sob diversos pontos de vista, quando comparadas a atuações apressadas decorrentes de sanções ou mesmo da ameaça de punições por autoridades públicas ou para alcançar a concorrência.