As dúvidas que pairam sobre a LGPD

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2018, mas as penalidades começaram a vigorar recentemente.

A lei busca que se protejam os dados pessoais dos indivíduos, considerando dados pessoais, aqueles que possibilitem identificar um indivíduo. Também traz a figura dados sensíveis que são aqueles que podem causar uma discriminação, como por exemplo: tipo sanguíneo, opção sexual, sindicalização.

O Brasil caminha a passos largos para cada vez mais uma maior regulação estatal sobre os dados pessoais, sendo que recentemente tivemos a regulamentação pela autoridade nacional do processo administrativo para a aplicação das penalidades. Então em 2022 será acentuada a participação do estado nesse controle, tendo em vista a possibilidade de aplicação destas penalidades.

A grande dificuldade é que a maioria das empresas não entendeu como funcionava esta questão de proteção, especialmente porque a legislação impõe a proteção dos dados pessoais, mas não diz especificamente como fazer, ou seja, a lei não traz a receita do bolo.

Nesse cenário, houve uma miscelânea de metodologias, havendo três correntes distintas, a jurídica, onde bastaria fazer a revisão dos instrumentos contratuais e criação de outros documentos, a de tecnologia da informação, onde a proteção dos dados passava exclusivamente sobre a análise do ambiente de TI e a interdisciplinar, onde jurídico, mapeamento de dados e TI andavam de mãos dadas.

Atualmente a metodologia mais utilizada, passa pela interligação das disciplinas jurídicas, TI e mapeamento interno, em regra, havendo uma fase de assement, implementação e aculturamento.

Em resumo, o que as empresas precisam fazer para ter uma forma de proteção de dados eficiente é criar um projeto de governança de dados, que nada mais são do que regras para a utilização dos dados pessoais, coleta, armazenamento, tratamento e exclusão dos dados que transitam pelas mais distintas áreas do empreendimento.

Serão previstas regras a exemplo de como coletar, porque coletar, onde arquivar, porque arquivar, quanto tempo ficar arquivado e isso é preciso fazer setor a setor, em síntese, cada setor da empresa (jurídico, suprimentos, comercial, etc) terá as suas regras de coleta, tratamento e exclusão.

Outra dificuldade das empresas é a cultura de incutir isto nos seus colaboradores de que estes dados devem ser protegidos sob pena de existir uma multa. Assim como falamos em diversidade e sustentabilidade, a partir de hoje as empresas precisam falar sobre a proteção destes dados pessoais dos seus clientes, fornecedores e prestadores de serviços.

Outro ponto que merece atenção é que os dados pessoais dos próprios colaboradores devem ser protegidos, quando falamos em dados pessoais falamos do público, clientes, fornecedores, prestadores de serviços mas também dos próprios colaboradores e sócios. Isso não é tratado e é outra dificuldade de entendimento.

Nesse cenário de novidades, ainda chama atenção o fato de muitas empresas entenderem que não precisam se adequar a legislação, pois só trabalham como pessoas jurídicas. Como vimos acima, o próprio público interno possui dados pessoais que devem ser protegidos, inclusive, a primeira punição ocorrida no Rio Grande do Sul, foi a partir de uma sentença proferida pela Justiça do Trabalho. Outro fator que essas empresas não distinguem é que mesmo o contrato sendo entre pessoas jurídicas, existe acesso a dados pessoais a partir dos contratos sociais, em regra utilizados para qualificação das partes e verificação da representatividade corporativa.

Destaca-se uma situação peculiar e moderna. A lei diz que é preciso ter um encarregado de dados, ou seja, uma pessoa nomeada perante a autoridade nacional para ser a pessoa que dialoga não só com a autoridade nacional, mas também com os titulares dos dados, especialmente quando os mesmos buscarem informações sobre os seus dados pessoais. A lei não traz exceções, portanto, todas as empresas necessitam indicar o nome e qualificação de quem será o encarregado pelos dados. Isto é uma dificuldade, pois a maioria das empresas ainda não nomeou ou não explicitou esta informação junto ao seu site, imposição vindicada pela legislação.

Essa é a situação mais importante na atualidade, pois as empresas precisam ter um canal de comunicação com o titular do dado e ainda, estampar essa informação de forma destacada no site. Além disso, é preciso ter a política de riscos e o nome do encarregado estampado no site. Podemos garantir que 80% das empresas não têm esta situação.

Mais uma dificuldade é que não são apenas os dados eletrônicos que devem ser protegidos, mas também os dados físicos. Todos os documentos físicos que têm algum dado pessoal têm que ser protegidos, precisam ter regras para a utilização. Temos uma mania de deixar crachá ou pilha de documentos na gerência ou fichas físicas em armários que não são chaveados e isso pode ocasionar um vazamento de dados pessoais. Outra dificuldade que existe por não haver uma fórmula é que muita empresa se diz uma certificadora acreditada governamentalmente. Não existem entidades que certificam por força governamental, o que seja acreditada.

Quando falamos em criar um projeto de governança muitas vezes achamos que é só revisar um contrato e criar termos de uso e outras acham que é só mexer na parte de TI e na verdade não é. É um projeto de governança que envolve a TI, o jurídico e o mapeamento de dados para uma efetividade. Não adianta só arrumar os contratos ou proteger o servidor. É necessário regras para tratar os dados a partir do momento em que a lei diz que o titular dos dados teria o direito de reivindicar a exclusão de seus dados do banco daquela empresa.