Enquanto advogados que trabalham na defesa dos interesses corporativos, estamos surpresos com a despreocupação com que parte dos empresários estão tendo em relação à Lei Geral de Proteção de Dados (LGPD).
Desde 2018, quando da promulgação da LGPD, nosso escritório já vem desenvolvendo ações estruturantes para que nossos clientes, de forma geral, iniciassem a necessária adaptação para as exigências da Lei de proteção de dados. São medidas que consideram ações de governança, ações jurídicas, de tecnologia da informação, sempre calcadas no princípio do conhecido PDCA (planejar, fazer, checar e revisar) e dentro daquilo que entendemos como ações de melhoria contínua.
E diga-se, tais exigências inseridas na LGPD não são poucas. Em cerca de 65 artigos, a LGPD criou uma série de regras, que vão muito além da adoção de medidas de tecnologia da informação.
Na verdade, as medidas de adequação se revestem também em ações de governança corporativa que incluem, inevitavelmente, a participação do nível estratégico, tático e operacional de uma empresa.
Observe que a LGPD vai além de estabelecer a adoção de medidas que evitem os chamados e conhecidos “vazamentos” de dados.
A LGPD exige muito mais! Ela exige governança e até mesmo publicidade de cada etapa do tratamento de dados pessoais. Isto significa que todo o tratamento de um dado pessoal precisa ser mapeado e documentado (da coleta até o repositório, seja físico, virtual, na nuvem etc.), além de apresentar, inevitavelmente, a adequação jurídica em face da LGPD e de tantas outras legislações que protegem a intimidade e a privacidade de uma pessoa.
Note que a LGPD busca inverter o atual sistema econômico, onde os dados pessoais são utilizados indiscriminadamente para maximizar os lucros de uma empresa. A exploração dos dados pessoais permite ao empresário delimitar seu público alvo e fortalecer, por exemplo, as atividades de marketing. Os dados pessoais, invariavelmente, são aproveitados por processos internos que buscam aumentar a margem de lucro.
Em sentido oposto a esta intenção lucrativa empresarial, surge a LGPD com o objetivo precípuo de resgatar a dignidade dos titulares de dados, garantindo sua privacidade e, principalmente, sua autodeterminação informativa. E tais fundamentos são reforçados por outros princípios e obrigações que estão descritas no corpo da lei, os quais atribuem interesse em qualquer dado que possa identificar seu titular.
Imagine que suas fotos e interações em aplicativos ou sites mostram seus hábitos alimentares e possam ser cruzadas com dados de seus exames anuais de sangue, realizados quando de seus checkups médicos. De posse desse cruzamento de dados, um plano de saúde poderia prever que você apresentará, futuramente e em tese, problemas cardíacos e, portanto, recusar sua apólice. Ou, pior, entrar em discussões sobre agravamento de riscos e até mesmo pré-existência de doenças.
São em situações como esta que a LGPD também busca proteger o titular dos dados.
Ressalta-se, também, que a LGPD não busca proteger apenas os dados que podem ser considerados sensíveis a privacidade de seu titular. Em verdade, estabelece regras de proteção mais amplas, que englobam qualquer dado que possa identificar seu titular. Para a LGPD, se o dado pessoal permite identificar seu titular, ele há de receber a proteção jurídica e de governança de uma empresa.
É igualmente necessário esclarecer que a LGPD indica quais princípios devem ser considerados durante o tratamento de dados, ou seja, desde o momento da coleta até seu esquecimento. Porém, todo o regramento protetivo, do ponto de vista prático, precisa ser definido pelo empresariado.
Então, como se adaptar a este fundamento?
Dentro deste sistema de governança, num diagnóstico inicial, é preciso identificar quais são os tipos de dados recebidos e tratados pela empresa. Qual a origem destes dados, como são recepcionados, para onde vão e porque são coletados. É preciso definir todos os processos, em cada departamento que manuseia um dado pessoal, desenhando seus fluxos. Isto vai além da segurança de informação.
É preciso compreender a LGPD, considerando que um dado pessoal somente pode ser tratado depois de um processo de livre esclarecimento para a obtenção de autorização para seu uso. Isto não é fácil, pois, além de atender requisitos legais, determinada empresa precisa deixar muito bem definido qual é seu legítimo interesse na coleta dos dados. Dados sem finalidade para a empresa não devem ser coletados, aliás, a coleta precisa de uma fundamentação legal autorizativa.
Além disso, o que a empresa deve fazer quando receber uma solicitação de informação do titular de dados? Será que o titular poderá questionar como seus dados são protegidos? Quais dados podem ser esquecidos? Até quando posso continuar a tratá-los?
Ora, note, em mais um exemplo, que é muito comum o cidadão ser identificado e até mesmo fotografado pela recepção de um prédio. Não há dúvida que sua imagem é um dado pessoal, pelo que lhe é facultado questionar como tal dado será tratado, onde fica arquivado, quem tem acesso a ele, entre outros vários questionamentos. Parece simples, mas o titular de um dado pessoal pode requerer, inclusive, que tal informação seja destruída. O que deve o condomínio fazer? São muitas as questões a serem identificadas e respondidas.
São muitas as obrigações criadas pela LGPD e que devem ser seguidas, sob pena do descumprimento levar a aplicação de multas milionárias.
Não perca mais tempo. A previsão de vigência da lei de proteção está marcada para agosto deste ano e estimamos que o processo de adequação a LGPD pode levar mais de 06 meses. Ou seja, já estamos praticamente sem tempo.
Jefferson de Almeida
Advogado na Scudeller de Almeida Advogados