Sergio Maia (*)
A Lei Geral de Proteção de Dados (LGPD) entrou em vigor no último dia 27 de agosto
Ela altera significativamente as obrigações das empresas quanto ao manuseio e tratamento de dados pessoais de seus colaboradores, funcionários diretos e de empresas terceirizadas, clientes e fornecedores. E tem a finalidade de aumentar a proteção à privacidade dos indivíduos e o controle sobre seus próprios dados. Hoje as empresas utilizam big data e analytics para coletar dados de clientes e assim oferecer produtos e serviços de forma mais assertiva, de acordo com gostos e preferências dos consumidores.
Um dos principais dispositivos da lei refere-se à transparência e à obtenção do consentimento expresso do titular do dado pessoal nas situações em que ocorrer seu tratamento. A forma de obtenção deste consentimento pode variar em função das diferentes bases legais previstas na lei, mas deve ocorrer. Caberá à recém criada, Autoridade Nacional de Proteção de Dados (ANPD) a responsabilidade de acompanhar e fiscalizar se as empresas estão cumprindo com a nova lei.
Neste sentido, uma das ferramentas à disposição da Autoridade é um dispositivo que prevê a apresentação de um “Relatório de Impacto à Proteção de Dados Pessoais”, que poderá ser solicitado a qualquer momento pela ANPD e deverá conter, minimamente, a descrição dos processos de tratamento de informações pessoais, bem como medidas organizacionais e técnicas, bem como mecanismos de mitigação de risco. Essa é uma das formas da ANPD ter visibilidade de como as empresas utilizam dados pessoais para fins de “big data e analytics”.
Assim, a nova lei impactará diretamente em todos os setores produtivos da economia, que de alguma forma, fazem uso de dados pessoais, afetando-os em menor ou maior grau. Empresas de serviços ao consumidor, como a Hughes, possivelmente terão mais trabalho na adequação à lei, por conta do alto nível de interação com estes e com a vasta cadeia de parceiros comerciais e fornecedores associados para a prestação desses serviços.
Mas como as empresas podem se adaptar à nova lei? – O primeiro passo é sem dúvida um mapeamento criterioso das atividades de cada departamento interno da empresa no tocante à coleta e ao tratamento de dados pessoais. A partir daí a empresa terá uma lista de ações específicas para cada departamento de forma a atender aos requisitos da lei. Depois do mapeamento vem a implementação propriamente dita, que também traz suas complexidades e vai depender das características de cada departamento.
Em uma visão macro a promulgação da lei põe o Brasil no rol de mais de 100 países que poderiam ser considerados adequados para proteger a privacidade e o uso de dados. Essa é uma sinalização positiva e mostra a preocupação do País em lidar de forma responsável com questões como a prevenção e resposta à eventos de vazamento de dados pessoais. A LGPD terá entre seus principais desafios a missão de conscientizar a sociedade de que “dado pessoal” é um bem de valor que deve ser protegido, sob pena de trazer prejuízos ao indivíduo se for utilizado indevidamente e para fins diferentes do que foi consentido pelo titular, ou seja uma mudança de “mind set”.
Outro ponto é a complexidade das ações de adequação da LGPD nas empresas, considerando todos os ajustes que as mesmas terão de fazer em seus sistemas internos e procedimentos, o que enfatiza a necessidade de um plano consistente para a implementação das medidas. A lei oferece múltiplos benefícios, e o titular do dado é o ponto central da Lei. A LGPD traz especial relevância no que se refere à transparência para o uso de dados pessoais, à compatibilização do uso destes com as finalidades informadas e a respectiva responsabilização do agente que os coleta.
De forma resumida, significa limitar o uso de dados pessoais ao mínimo necessário para que se possa atingir a finalidade pretendida, além de garantir a eliminação ou a anonimização dos dados depois de atingida tal finalidade, ressalvadas algumas condições de retenção de dados previstas na lei, como por exemplo, para o cumprimento de obrigações regulatórias.
Caso a empresa descumpra a lei, ela poderá vir a sofrer penalidades que incluem: (i) advertência, (ii) publicitação da infração e (iii) multa que pode chegar até 2% do faturamento bruto da empresa, limitada no total de R$ 50 milhões, por infração.
(*) – É gerente de assuntos regulatórios da Hughes.