• Conheça nosso jeito de fazer contabilidade

    Lorem ipsum dolor sit amet, consectetur adipiscing elit. Vestibulum sit amet maximus nisl. Aliquam eu metus elit. Suspendisse euismod efficitur augue sit amet varius. Nam euismod consectetur dolor et pellentesque. Ut scelerisque auctor nisl ac lacinia. Sed dictum tincidunt nunc, et rhoncus elit

    Entenda como fazemos...

Notícia

Lei Geral de Proteção de Dados: mitos e verdades da lei que mudará as empresas

O "tratamento de dados pessoais", definido pela LGPD, compreende toda a forma de coleta, armazenamento, compartilhamento e eliminação de dados de pessoais naturais

Faltam menos de seis meses para o início da vigência plena da Lei Geral de Proteção de Dados (LGPD). Para esclarecer o verdadeiro impacto da legislação no contexto corporativo e a melhor solução do problema, André Damiani e Marina Santos Dias, sócios da Damiani Sociedade de Advogados, responderam seis questões fundamentais, de forma objetiva, para que as empresas possam direcionar esforços e investimento corretamente nessa necessidade de ajustes. Confira:

1. O que é LGPD?

LGPD significa Lei Geral de Proteção de Dados. Ela foi editada e aprovada pelo Congresso Nacional em 2018, como resposta à demanda do mercado internacional pela preservação da liberdade, da intimidade e da privacidade daquelas pessoas físicas que confiam os seus dados a terceiros, sobretudo em ambientes virtuais.

A fim de acreditar o Brasil como parceiro de negócios íntegro, confiável e atento à dinâmica econômica mundial, nosso legislativo se inspirou na lei europeia para disciplinar as operações com dados de pessoas físicas.

O "tratamento de dados pessoais", assim definido pela LGPD, compreende, portanto, toda a forma de coleta, armazenamento, compartilhamento e eliminação de dados de pessoais naturais. A lei ainda exige o consentimento do titular e a clara delimitação da finalidade do tratamento dos dados, estabelecendo rigorosos padrões de proteção, com exigências técnicas que passam, invariavelmente, por soluções em tecnologia da informação, gestão de processos e governança corporativa.

2. O que é dado pessoal para a LGPD?

Engana-se quem pensa que dado pessoal é apenas o nome ou o número do RG ou do CPF. Em verdade, "dado pessoal" é toda e qualquer informação que permita identificar uma pessoa física, assim entendidos os hábitos de consumo, preferências musicais ou histórico de deslocamento, por exemplo.

3. Quem está sujeito à LGPD?

Estão sujeitas à disciplina da LGPD as pessoas naturais ou jurídicas de direito público ou privado (independentemente de sua nacionalidade ou do país de sua sede), que realizem tratamento de dados pessoais com o objetivo de ofertar ou fornecer bens ou serviços a indivíduos brasileiros e/ou situados em território nacional.

4. A LGPD está em vigor? Qual o prazo fatal para a conformidade legal?

O prazo é hoje. A LGPD já está em vigor. Contudo, a Autoridade Nacional de Proteção de Dados somente poderá impor as sanções administrativas criadas, a partir de agosto de 2020.

5. Se o meu negócio ainda não está em conformidade, qual o tamanho do risco?

A proteção aos dados de pessoas físicas não é novidade na legislação brasileira. Nossa Constituição Federal resguarda, desde 1988, a privacidade e a intimidade de todos os cidadãos. Com base nela, as normas vigentes, tais como o Código de Defesa do Consumidor, o Código Civil e o Marco Civil da Internet, já asseguram a reparação dos danos oriundos da violação de dados (indenização). Em casos extremos, o vazamento dessas informações pode, inclusive, repercutir na esfera criminal.

Não bastasse tudo isso, a partir de agosto de 2020, a LGPD permitirá a imposição de sanções administrativas a quem deixar de observar as melhores práticas de governança de dados e proteção da privacidade. Assim, aqueles que não se adequarem aos standards legais de prevenção estarão sujeitos também a penalidades administrativas diversas, conforme a complexidade da infração, podendo sofrer com multa de até 2% (dois por cento) do faturamento da empresa, limitada a R﹩ 50.000.000,00 (cinquenta milhões de reais) por ocorrência, sem prejuízo do citado dever de reparação já previsto pelo ordenamento jurídico brasileiro.

6. Quais os mitos relacionados ao tema?

MITO: Isso é coisa para o T.I. resolver...

A abordagem do problema LGPD sob o viés exclusivamente tecnológico não funcionará. Isso porque a tradução das exigências legais para o ambiente corporativo exige expertise jurídica, que deverá se integrar às ferramentas de T.I. e aos mecanismos de governança, no propósito de compor a solução completa, efetiva e duradoura.

MITO: Basta eu implementar um software que o problema está resolvido...

Ferramentas tecnológicas são, sem dúvida, um grande aliado de um programa de governança de dados eficiente, embora não resolvam o problema de forma isolada. Para que o investimento nesse recurso seja convertido em benefícios para o empresário, é essencial o suporte de uma equipe multidisciplinar apta a mapear as características da operação e recomendar produtos alinhados à estratégia de enfrentamento do problema e às necessidades da organização. Além disso, vale ressaltar que a maior ameaça aos dados controlados pelo empresário não está na possibilidade de invasão dos sistemas corporativos e sim na má gestão dos fluxos e processos internos impactados pela lei. Se mal aproveitado, um bom software pode se transformar em um grande prejuízo para o negócio.

MITO: O jurídico interno possui todas as ferramentas para resolver o problema e continuar atendendo às demandas gerais e rotineiras...

A solução caseira, apesar de parecer atraente, não é a melhor opção. Como já ressaltado acima, o enfrentamento do desafio LGPD pressupõe disponibilidade de tempo para planejamento e execução do projeto, multidisciplinariedade e especialidade dos advogados envolvidos no projeto. A lei é extensa e repleta de peculiaridades que podem passar despercebidas pelos profissionais envolvidos com as demandas jurídicas diárias da empresa.

Uma vez desconstruídos alguns mitos a respeito da LGPD, a verdade é que o desafio da conformidade exige uma abordagem customizada e multidisciplinar, com integração de soluções jurídicas e tecnológicas para compor um plano de ação sólido e alinhado às características da organização. Cada empresa deve implementar uma política de proteção de dados adequada à sua exposição e à cultura que rege seu ambiente, estimulando os comportamentos esperados e fortalecendo os controles internos. O primeiro passo é, portanto, identificar as fragilidades internas em relação às exigências da lei, para, a partir delas, criar mecanismos de correção e prevenção de irregularidades no tratamento dos dados pessoais para todas as áreas da operação impactadas ("Assessment").

Identificado o problema de forma detalhada, com certeza serão necessárias, pelo menos, 10 (dez) entregas essenciais na busca da conformidade LGPD:

1. mapeamento do risco;

2. implementação de programa de governança de dados;

3. integração da estratégia jurídica com as soluções praticadas em T.I.;

4. revisão dos processos internos impactados pela lei;

5. recomendações para a implementação de um programa de segregação de funções e determinação de cadeia de responsabilidades;

6. atribuição de bases legais e gestão de logs de consentimento;

7. eleição conjunta de responsável pela gestão do programa de privacidade (encarregado);

8. treinamento, conscientização e capacitação dos colaboradores envolvidos;

9. documentação da "boa-fé" empresarial;

10. possibilidade de suporte para melhoria contínua e gestão de crise.

Em síntese, não há milagre. É preciso direcionar esforços e investimento no sentido de se contratar apoio multidisciplinar e customizado de profissionais com experiência voltada à solução de um problema permeável a todos os setores da empresa, cuja solução transformará o modus operandi das corporações.