Ruy Rede (*)
A Lei Geral de Proteção de Dados já está vigente e com sanções previstas. A penalização estipulada é de 2% do faturamento da empresa, valor limitado a R$50 milhões de reais. Embora as sanções possam ser um fator motivador para os decisores nas empresas, o grande risco está na exposição gerada a partir de um vazamento ou utilização de dados pessoais.
Além de ser mercadologicamente negativa, essa divulgação pode gerar uma avalanche de processos jurídicos. A judicialização já está em curso e em um levantamento recente feito junto aos tribunais já se encontrou mais de 1.000 casos em curso. Alguns destes ainda estão vinculados ao Código de Defesa do Consumidor, mas já com termos vinculados à proteção de dados. Este volume tende a crescer à medida que mais empresas forem sendo notificadas.
Para mitigar este tipo de risco a empresa precisa estar preparada e com a respectiva documentação de seus processos e plano de ação para eliminar os gaps em relação à LGPD. Ela (a empresa) deve ficar atenta também à utilização de identificação de dados pessoais e sensíveis em suas bases. Os dados pessoais são aqueles que podem identificar a pessoa (o indivíduo) como número de documentos, nomes associados a endereços, data de nascimento, CPF, gostos e hábitos de consumo.
Já os dados sensíveis são aqueles que podem levar à discriminação de uma pessoa, como cor de pele, raça, convicção religiosa, dado genético ou biométrico, entre outros. Cabe observar que não há uma proibição em coletar e tratar estes dados, mas é indispensável ter a autorização do titular dos dados. Empresas do segmento financeiro utilizam regularmente estes dados no dia a dia, por ser uma necessidade do negócio.
Muitas repassam a informação a terceiros (empresas de cobrança), por exemplo. Estas informações são consideradas de Legítimo Interesse e só podem ser utilizadas com a expressa autorização. Vale o mesmo para as empresas que tratam dados sensíveis: Como uma marca poderia atuar no mercado uma empresa de Cosméticos? Ela precisa da informação sobre cor de pele, por exemplo, para poder oferecer o melhor produto ao seu cliente.
Do ponto de vista legal, os consumidores precisam estar atentos e podem buscar orientação no Guia do Núcleo de proteção de Dados do Conselho nacional de Defesa do Consumidor (em parceria com a ANPD- Autoridade Nacional de Proteção de Dados e Senacom- Secretaria Nacional do Consumidor). As empresas precisam estar monitorando seus processos de forma contínua, o que chamamos de Privacy by Design, garantindo assim total aderência a esses pontos.
Hoje ainda há uma fragilidade muito grande por parte das empresas. Em levantamentos apresentados na mídia, aparece um índice assustador de que 70% das empresas ainda não se adequaram à nova lei (não tão nova assim!). Estas empresas ainda possuem fragilidades como possibilidade de vazamento de dados através de seus sistemas de informações ou mesmo pelo envio de e-mails com dados pessoais por pessoas que não estariam autorizadas a realizar esta tarefa.
A responsabilidade solidária que prevê a compactuação de todos os agentes envolvidos na colocação de um produto ou serviço no mercado aumenta significativamente os riscos para a empresa. Em resumo, toda a cadeia de fornecimento deve estar consciente, treinada, com processos, políticas e documentos comprobatórios para que haja a plena adequação à LGPD. Infelizmente essa ainda não é uma realidade tão próxima.
A receita para a adequação é simples em termos conceituais e o tempo de implantação varia com a quantidade de áreas, processos, sistemas de cada empresa, mas sua implantação precisa iniciar imediatamente.
Os passos são os seguintes: Conscientização, Data Mapping (ou Mapeamento de Dados) para verificar os processos, políticas e contratos existentes; Gap Analysis para identificar as divergências em relação à LGPD; Planos de Ação para reduzir ou minimizar os riscos e acompanhamento rumo ao Privacy By Design: estágio onde as empresas acompanham continuamente suas adequações e já criam novos processos e políticas dentro de um conceito de privacidade.
Por fim, existem ferramentas no mercado que fazem este processo de ponta a ponta associado ao trabalho de um DPO-Data Protection Officer na determinação das diretrizes. Outras ferramentas podem ajudar na anonimização dos dados pessoais e sensíveis, mas este já é um tema para outro artigo.
O importante é evitar que a falta de ação seja justamente a responsável pela ação dos órgãos fiscalizadores, com danos muito sérios à organização.
(*) – Engenheiro Eletrônico, especialista em Compliance, Inovação e automação, é CEO da Beelegal Soluções Tecnológicas (www.beelegal.com.br).