ALGPD chegou para proteger todos nós dos perigos da internet que se manteve como uma terra sem lei por muito tempo. O Marco Civil da Internet não foi suficiente para solucionar todos os desafios e nos proteger de maneira eficaz. Assim, surgiu a LGPD, inspirada na GDPR – Lei de Proteção de Dados da União Europeia – para proteger nossa identidade no mundo virtual e evitar possíveis danos de exposições.
Assim, as empresas têm um papel fundamental para que os dados de seus clientes estejam preservados e em segurança na internet. Nós, como consumidores, certamente, vemos com bons olhos, quando sabemos que uma empresa de que somos clientes preocupa-se em seguir os protocolos de segurança para evitar que os nossos dados fiquem expostos e desprotegidos na internet. Ou seja, se o cliente sabe que a empresa segue as determinações da lei de proteção de dados, provavelmente, vai se fidelizar a essa empresa e dará prioridade a essa em vez de outra que não está em conformidade à LGPD.
A implantação da LGPD é obrigatória para as empresas, desde 2020. A partir de agosto 2021, começou a serem aplicadas as multas administrativas. Mas já existem muitas ações interpostas na Justiça também. Os clientes podem fazer denúncias à ANPD (Autoridade Nacional de Proteção de Dados) sobre as empresas que negligenciam a proteção de seus dados pessoais na internet. Isso iniciará o processo de fiscalização que será mais brando ou mais rigoroso a depender do quão adequada à LGPD encontra-se a empresa. Ou seja, se a empresa mostra que adotou diversas medidas para proteger os dados de seus clientes, essas atitudes serão interpretadas de maneira favorável no momento da imposição das sanções administrativas.
Portanto, a solução é a implantação eficiente da LGPD. Isso trará vantagem competitiva para a empresa no mercado. Porém, depois de algum tempo, essa vantagem tenderá a desaparecer, porque a tendência é que todas as empresas se adequem à lei. Quando a conformidade à LGPD for uma realidade comum no mundo empresarial, as empresas que estiverem inadequadas estarão em séria desvantagem competitiva, ou até mesmo excluídas do mercado.
Todas as empresas devem estar em conformidade à LGPD. As grandes certamente serão as primeiras a estarem em conformidade, por estarem na linha de frente de visibilidade, em face do grande volume de dados pessoais que gerenciam de seus clientes. Por sua vez, as médias e as pequenas só conseguirão contratar com as maiores se estiverem em conformidade à LGPD, porque, em caso de incidente de segurança, todas responderão solidariamente, ou seja, todas se responsabilizam independentemente de quem causou o evento danoso. Assim, as grandes apenas contratarão com as menores se estas estivem adequadas à LGPD. Portanto, procrastinar significa perder grandes oportunidades e boas parcerias. Além de se expor às sanções administrativas da ANPD.
Quando se ouve falar em projeto de adequação à LGPD é comum as empresas pensarem que isso significa a elaboração de certos documentos e a sua respectiva publicação no site, por exemplo, a política de cookies, a política de privacidade, o termo de consentimento, os termos de uso e a inclusão de aditivos contratuais sobre LGPD de forma genérica.
Porém, o entendimento de adequar corretamente uma empresa conforme os ditames da LGPD requer uma visão de maior alcance e um olhar estratégico que não se coadunam com a elaboração sumária de documentos.
A LGPD determina a adoção de certos comportamentos e de determinados critérios quotidianos pelas empresas os quais sejam capazes de proteger os direitos, as liberdades e a privacidade do maior ativo das pessoas: os seus dados pessoais. Ou seja, a simples criação de documentos representa apenas uma gota num oceano de providências.
Quando uma organização passa por um processo de adequar-se às normas da lei de proteção de dados, alguns processos necessitam ser criados obrigatoriamente. Por exemplo, o processo de treinamentos constantes dos seus colaboradores. De nada adiantará investir tempo e dinheiro em um processo trabalhoso de conformidade se não se plantar e não se cultivar uma forte cultura de proteção de dados no consciente e no inconsciente coletivo dos colaboradores. Muitas são as vezes em que os incidentes de dados ocorrem, por causa do descuido e da desídia no manuseio diário de tecnologia pelos funcionários. Vazamentos e invasões de rackers são capazes de gerar prejuízos consideráveis aos cofres das instituições e, pior, ao bom nome da empresa conquistado, ao longo dos anos, no mercado acirrado.
Outro processo que precisa ser criado e mantido em boa execução é aquele para o exercício dos direitos dos titulares dos dados. As pessoas cujos dados são tratados pelas empresas têm a prerrogativa legal de exercitarem seus direitos considerados, nesse âmbito, como fundamentais e, portanto, constitucionalmente protegidos. Então, as empresas são obrigadas a desenvolverem meios para prover adequadamente esse acesso e provisão. Trata-se inclusive de situação em que os titulares dos dados, ao terem o exercício de seus direitos dificultados ou impedidos, poderem denunciar a empresa à ANPD que investigará a situação e poderá adotar medidas que vão desde a adoção de advertências, de multas ou até mesmo a determinação da suspensão ou do fechamento da atividade empresarial.
Além desses dois processos, há a necessidade de implementação de uma gestão de risco, ou seja, uma administração em torno de prevenir-se a ocorrência de incidentes de segurança. Um vazamento de dados pessoais pode conduzir a sérios prejuízos para os seus titulares, inclusive danos de ordem patrimonial. Além disso, a perda e o decréscimo de credibilidade da empresa diante do mercado podem acontecer em pouco tempo mesmo depois de anos de construção de um forte nome empresarial. A perda da confiança pelo mercado no nome empresarial é algo sério que as empresas não podem negociar.
Nesse contexto, outro processo necessário é o de gestão de crise, isto é, se mesmo após a adoção de todas as medidas protetivas na gestão de risco acontecer incidente de segurança, determinadas medidas precisam ser tomadas com urgência. Assim, a empresa precisa enviar formulários de comunicação de incidente para a ANPD e para o titular dos dados pessoais. Quanto mais rápido a empresa reagir nesse processo e quanto mais eficiente for nessa gestão de crise, maiores são as possibilidades de receber menores penalizações por parte da ANPD, bem como maiores chances são para se recompor diante do mercado competitivo.
Outro processo que deve ser implementado é o posicionamento da empresa como controladora ou como operadora nas suas relações com terceiros, caso a caso, em cada contrato. Ou seja, na elaboração e na atualização desses contratos, a empresa poderá atuar como controladora diante de um contratante ou como operadora ante outro contraente. A análise acurada de cada relação com os parceiros é de fundamental importância para se detectar bem o posicionamento da empresa em cada contrato. Isso, porque, sendo controladora, a empresa tem determinadas responsabilidades – inclusive diante da ANPD e dos titulares de dados pessoais – que não teria acaso se posicionasse como operadora. Por outro lado, sendo operadora, submete-se às determinações emanadas pela outra parte do contrato. E, independentemente do posicionamento no contrato, responsabiliza-se civilmente – de forma solidária e de maneira objetiva (mesmo sem culpa) – no tratamento de dados pessoais e nos incidentes de segurança. Essa é uma das razões por que se deve analisar estrategicamente, caso a caso, a formação ou o desfazimento de certos contratos com terceiros.
Finalmente e de fundamental importância, encontra-se o processo de elaboração de documentos. Os principais – mas nunca os únicos – são estes:
• Relatório do Projeto de Conformidade
• Código de Conduta em Proteção de Dados
• DPIA: Relatório de Impacto à Privacidade e Proteção de Dados
• Teste de Legítimo Interesse
• nventário dos Dados Pessoais (registros das atividades de tratamento)
• Código de Boas Práticas
• Data Processing Agreements
• Termos de Uso
• Política de Privacidade
• Cláusulas Contratuais
• Aditivo Contratual para Colaboradores
• Comunicação de Incidente de Segurança (para ANPD e para os titulares)
• Informativos LGPD
• Termo de Consentimento
Relativamente à elaboração de documentos, a ANPD pode requisitar a apresentação de quaisquer deles a qualquer momento. Além disso, em um momento de gestão de crise, ante um incidente de segurança, a apresentação desses documentos à ANPD revela que a empresa respeita a lei de proteção de dados e que se importa com a segurança dos dados pessoais dos titulares. Isso mostra uma conduta empresarial responsável e comprometida com a cultura de proteção de dados, o que certamente influenciará a ANPD na tomada de decisões de enfrentamento de um momento de crise, como um vazamento de dados, por exemplo. Isto é, a imposição de sanções administrativas em desfavor de uma empresa comprometida com a proteção de dados influenciará a ANPD a considerar penalidades mais brandas que no caso de estar-se diante de uma empresa descomprometida com a proteção de dados de seus clientes.
Portanto, constata-se que a elaboração de documentos não é a única determinação a ser cumprida em um processo de conformidade à LGPD. Além disso, a própria feitura dessa documentação deve estar condizente com a realidade da empresa. Ou seja, quando se menciona, por exemplo, o Código de Conduta em Proteção de Dados, este deve transmitir o conjunto de ações verdadeiramente tomadas pela empresa para protegerem-se os dados dos seus clientes e dos seus funcionários. O mesmo pensamento se estende para os demais documentos, tais como o Inventário dos Dados Pessoais (registros das atividades de tratamento), o Código de Boas Práticas, o Data Processing Agreements, Termos de Uso, a Política de Privacidade e o Termo de Consentimento, apenas para citar alguns exemplos.
Finalmente, no processo de adequação, inexiste uma receita de bolo a ser seguida. A lei não traz uma metodologia a ser considerada. Então, faz-se fundamental que a empresa responsável pela implementação do processo de conformidade mostre um método eficaz e eficiente nessa gestão. Ademais, muitos conceitos trazidos pela LGPD não estão ainda completamente esclarecidos, de forma que essas lacunas legais aguardam resoluções da ANPD que ainda não se pronunciou a respeito de tudo. Enquanto isso, diversas interpretações da GDPR são trazidas da Europa para integração dessas lacunas legislativas da LGPD. Ou seja, isso revela uma necessidade de atualização dos dispositivos europeus para proteção de dados pessoais, já que a lei brasileira se inspirou na norma da Europa.