Lacerda Diniz Sena

Os dados pessoais, atualmente, são de extrema relevância e interesse para diversos fins. Os casos de vazamento e usos inadequados de dados pessoais nos últimos anos urgiram o surgimento de regulamentação que protegesse os titulares. Busca-se, desde então, educar as instituições acerca do uso dos dados assim como garantir direitos, por meio da Lei Geral de Proteção de Dados, daqueles que tem suas informações utilizadas.

A Lei n° 13.709 regulamenta o tratamento de dados pessoais de forma a gerar maior transparência e controle dos titulares sobre o uso de suas informações, propondo uma nova cultura e maior responsabilidade das empresas. Situações comuns como imensos questionários ou coleta irrestrita de informações virtualmente, as quais não se tinha o menor controle ou conhecimento do uso, deverão ser cada vez mais evitadas. O tratamento dos dados deverá ser claro para o titular e, em alguns casos, poderá ser revogado ou alterado.

Apesar da Lei Geral de Proteção de Dados ter entrado em vigor em setembro de 2020 e, anteriormente, muito discutir-se sobre ela, ainda há certa resistência e desconhecimento acerca das mudanças práticas que a lei trará. Um dos motivos da regulamentação ainda parecer distante da realidade é o fato de que ainda não eram aplicadas sanções administrativas até agosto deste ano. Entretanto, importante ressaltar que a proteção de dados e à privacidade são direitos constitucionais há muito reconhecidos pelo STF e que, vigente desde 2020, a LGPD já vinha sendo respaldo para decisões judiciais desfavoráveis àqueles desatentos ao cumprimento de seus princípios e diretrizes.

De fato, desde 01/08/2021, o tratamento de dados pessoais feito por empresas já está suscetível a sanções administrativas, caso a norma não seja cumprida pelas organizações. O que muda nessa nova etapa, vislumbra-se, é uma maior atuação da ANPD – Autoridade Nacional de Proteção de Dados e, com maior conscientização dos direitos e empoderamento dos titulares, a cobrança de multas, que variam de 2% faturamento anual até 50 milhões de reais dentre outras punições, como bloqueio do banco de dados da empresa e proibição do tratamento de dados.

Acredita-se que, inicialmente, a fiscalização terá um caráter mais educativo e progressivamente alcançará medidas mais duras em relação ao descumprimento da LGPD.

É importante que todos tenham consciência de que a proteção de dados pessoais é uma realidade no Brasil e deverá ser levada a sério de agora em diante. Empresas que ainda não se adequaram deverão procurar rapidamente meios para entrar em conformidade com a lei afim de evitar possíveis reprimendas.

Neste ponto destaca-se que a LGPD é, ao nosso ver, antes de um marco legal de caráter somente punitivo, uma oportunidade para as empresas reverem seus processos, entenderem a efetividade e o resultados do tratamento de dados que realizam e, ainda, vislumbrar as potencialidades que tal tratamento pode trazer para o negócio. Afinal de contas, dentre outros motivos, foi necessário criar uma legislação de proteção aos dados pessoais pois estes são considerados o novo petróleo, ou seja, elementos com enorme valor estratégico e financeiro.

Caso sua organização não tenha trilhado os primeiros passos para adequação LGPD, é preciso ter em mente que a complexidade das estruturas de Governança sobre dados pessoais (políticas, práticas de gestão, padrões de trabalho, treinamentos, segurança da informação, contratos, termos e etc.) é proporcional à complexidade do fluxo do dado pessoal na empresa e da centralidade do tratamento de dados pessoais no negócio. Há uma tendência de que a complexidade das estruturas a serem adequadas ou implementadas determinem a demanda de tempo para sua execução.

Neste sentido é importante que as organizações, de início, verifiquem qual sua “realidade” frente ao tratamento de dados pessoais e as exigências da LGPD, em uma espécie de diagnóstico, para uma projeção do tempo e recursos necessários à implementação de uma governança eficaz.

Para tal diagnóstico, sugerimos 3 ações (de forma genérica e resumida):

1. Levantamento das sistemáticas que a empresa adota na coleta, armazenamento e eliminação de dados pessoais. Neste momento, identificar os demais tratamentos eventualmente realizados;

2. Mapeamento dos Dados pessoais que são tratados na organização quanto a algumas perspectivas: tipo do dado pessoal, finalidade do tratamento, local de armazenamento, tempo de retenção do dado, se o dado é compartilhado com ou por terceiros e a base legal (art. 7º ou 11º) que permite o tratamento de dado pela empresa;

3. Por fim, após o mapeamento e avaliação das bases legais pertinentes, a empresa deve avaliar os riscos associados ao tratamento de dados pessoais e os mecanismos que deve adotar para sanar inadequações face a LGPD.

Tais etapas, aqui resumidas, são frequentes nas metodologias de adequação à LGPD, e permitem às empresas construir uma agenda de implementação de acordo com sua realidade, baseada na complexidade do tratamento e fluxo de dados pessoais no negócio.

Fica aqui uma dica que pode ser valiosa: constitua uma comissão na empresa para iniciar os estudos sobre o tema. O envolvimento das pessoas poderá gerar informações valiosas sobre o cenário da organização face a LGPD.

Mesmo ambientes que já buscaram adequar-se, é recomendável instituir e manter hábitos de cultura de proteção de dados entre os colaboradores e, para isso, contar com uma forte liderança e promover circulação de informações sobre a importância da proteção de dados para a empresa.

Use a LGPD para o desenvolvimento da organização que certamente bons frutos serão colhidos.

Adriana é Estudante do 4º período de Direito da UFMG, Estagiária na Lacerda Diniz Sena Advogados;

Gabriel é advogado, coordenador da área de Direito da proteção de dados na Lacerda Diniz Sena Advogados