Daisy Lucchesi (*)
Após muitas especulações e incertezas, a Lei Geral de Proteção de Dados a LGPD – foi sancionada. O Brasil se coloca assim na lista dos 120 países com legislação preparada para a era em que dados são cada vez mais estratégicos para o funcionamento de negócios.
O intuito principal da LGPD é padronizar e ditar regras mais eficazes de tratamento de dados visando principalmente a proteção e segurança jurídica para os titulares desses dados, ou seja, cada um de nós, todas as vezes que fornecemos informações pessoais por razões comerciais, profissionais ou em nossas relações com os governos.
A chegada dessa lei exige grandes transformações para diversos setores e mercados, incluindo o de logística, pois diz respeito a toda e qualquer empresa que colete, recepcione, armazene, arquive, avalie e transfira dados. Ela se aplica a qualquer tipo de coleta e uso de dados pessoais que de forma direta ou a partir da análise de um conjunto de dados identifique uma pessoa (pelo nome, RG, CPF, endereço, título de eleitor, etc.).
Também exige cuidado redobrado com os dados pessoais sensíveis, relacionados à origem racial, étnica, convicção religiosa, opinião política e referentes à saúde ou à vida sexual dos indivíduos. Informações pessoais só podem ser tratadas para as finalidades específicas comunicadas ao titular dos dados e desde que sejam efetivamente necessárias para a execução de uma determinada atividade, como a execução de contrato e o cumprimento de uma obrigação legal, entre outras.
Para estabelecer regras, orientar o mercado, fiscalizar o cumprimento e punir as infrações, a lei criou a ANPD (Autoridade Nacional de Proteção de Dados). Como o órgão ainda não está formado, os artigos da LGPD que estabelecem as sanções administrativas somente irão vigorar a partir de 1º de agosto de 2021.
Esse prazo extra das sanções administrativas não deve postergar o trabalho necessário dentro das empresas e seus parceiros para entrar em conformidade com as exigências, inclusive com a educação dos seus times para quais regras do jogo mudaram, pois a LGPD já está em vigor e, ao que tudo indica, “já pegou”, tendo em vista que hoje alguns outros órgãos administrativos e até mesmo o poder judiciário estão aplicando medidas e condenando algumas empresas que não têm cumprido a lei.
. O setor de transportes e logística – Por movimentar um grande número de dados pessoais, este é um setor diretamente impactado pela LGPD e, por isso, precisa equacionar como passará a tratar esses dados daqui em diante. Dados pessoais são coletados em diversos momentos, como no cadastro de clientes e motoristas de caminhão, ou na emissão de notas fiscais, que contêm informações relacionadas aos pagamentos, como nome, CPF, endereço.
Algum incidente de vazamento de dados pode gerar danos de grandes proporções para as empresas envolvidas na coleta e processamento das informações e para os próprios titulares de dados. No ponto de vista da empresa, são prejuízos que vão desde multas que poderão chegar a R? 50 milhões (quando as sanções previstas na LGPD passarem a viger), indenizações e até um arranhão na imagem capaz de aprofundar as perdas financeiras.
Para esclarecer, há duas figuras, definidas no escopo da LGPD, que podem tratar os dados pessoais: os controladores e os processadores. Considerando essas duas figuras, há dois cenários possíveis no setor de logística. No primeiro, a empresa é a controladora dos dados e responsável por todos os processos, possuindo áreas próprias de logística. Nesse caso, não há o compartilhamento de dados com terceiros.
É importante que as empresas que não atuem com terceiros tenham a preocupação de utilizar os dados somente para a finalidade específica, de forma segura, descartando os dados após sua utilização ou tornando-o anônimo, a depender do caso. No segundo cenário, certas empresas, no entanto, não possuem um setor de logística próprio e, para viabilizar seus serviços, contratam um parceiro que será o operador dos dados coletados. É o caso, por exemplo, de um e-commerce que contrata uma transportadora terceirizada.
Nesse caso, é importante celebrar um contrato que antecipe todas as responsabilidades do parceiro e exija a conformidade dele com a LGPD. Além do contrato, seria desejável que o controlador fizesse auditorias no operador para verificar o efetivo cumprimento da lei. Vale destacar que a contratação de parceiros não exime a empresa controladora no caso de vazamento de dados pelo operador. A responsabilidade, de acordo com o que está previsto na LGPD, será sempre solidária.
. Como se adequar – É importante ficar atento aos passos necessários nesse processo de adequação e não perder tempo em implementá-los.
1) Envolver a empresa toda – Além do indispensável apoio jurídico, a jornada de adequação deve envolver o mais cedo possível a área de compliance, dados e tecnologia para garantir que a empresa esteja protegida em todos os níveis. No entanto, o compromisso com a LGPD deve ser abraçado por todos os funcionários com programas de conscientização a respeito do uso de dados.
2) Data Mapping – Mapear em quais áreas da operação e em que locais físicos há dados armazenados e para quais fins com objetivo de estabelecer as alterações e controles necessários para completar a adequação à LGPD, inclusive para poder mais adequadamente descrever a política de privacidade da empresa.
3) Governança – Implementar uma política de governança dentro da organização, nomeando um encarregado de dados, batizado pela lei de DPO. É esse profissional que irá responder aos titulares dos dados e à ANPD, além de coordenar treinamentos de conscientização dos funcionários a respeito do uso de dados e nomear pessoas-chave para cuidarem da implementação das diretrizes da LGPD.
4) Os sistemas – A parte mais complexa é a que envolve a atualização ou alteração de sistemas e softwares visando a proteção dos dados processados por eles, restringindo ainda o acesso aos colaboradores que efetivamente necessitem acessá-los para exercer suas atividades.
Dependendo da estrutura da operação, os dados podem estar espalhados por sistemas legados e menos seguros, as versões mais antigas de ERPs (programas de gestão empresarial). Especialistas calculam os gastos para adaptação entre R? 50 mil e R? 800 mil. Mas em função principalmente dos benefícios gerados pela adequação à LGPD e, em um segundo plano, os valores altos das multas e o risco de imagem, é um investimento que compensa.
Estar em conformidade com a LGPD não deve ser visto apenas como obrigação. Aqui na Cargo X entendemos que, além de uma atitude responsável, estar em compliance com a LGPD é também uma oportunidade. A mudança cultural é inerente a essas adequações e trazem benefícios para empresa e clientes. A transformação digital foi acelerada em toda a cadeia de logística devido à pandemia e o produto desse esforço deve aperfeiçoar processos e garantir entregas com mais agilidade e segurança para todos os lados envolvidos.
E então? Vai começar a acelerar?
(*) – É advogada e responsável pelo Legal, Compliance e Controles Internos na Cargo X (www.cargox.com.br).