Desde setembro de 2020, está vigente a Lei Federal nº 13.709/2018, denominada Lei Geral de Proteção de Dados – LGPD, que, de certa forma, inaugurou, ou tornou mais concreta, verdadeira mudança de paradigma normativo no Brasil a respeito do tratamento de dados pessoais e a proteção à privacidade.
E, a primeira grande mudança é a concretização, em lei, da proteção da privacidade como direito fundamental e da visão de que os dados pessoais constituem direitos dos seus titulares.
Ora, é notório que os dados já se transformaram em verdadeira e fundamental ferramenta para a realização de negócios, não só no Brasil como no mundo. A atual velocidade de circulação das informações, bem como a cada vez maior necessidade da disponibilização de produtos cada vez mais personalizados aos clientes e consumidores, torna absolutamente necessário que, em todos os nichos de mercado, se saiba atuar com dados cada vez mais atuais e realísticos.
Contudo, essa necessidade conflita com a também necessária, agora obrigatória por lei, observação dos direitos dos titulares dos dados pessoais. Os dados pessoais, antes vistos como verdadeiros ativos empresariais, são e devem ser vistos como pertencentes aos seus titulares, a quem caberá com exclusividade a definição e autorização de seus usos e tratamentos, com raríssimas exceções.
Acresça-se o fato de que, no próximo mês de agosto deste ano (2021) entrarão em vigor as sanções previstas na LGPD, temos uma verdadeiro cenário de corrida para adequação a ser cumprido pelas empresas. E tal corrida se justifica, já que as sanções pode ser financeiramente pesadas, bem como atingir a reputação ou mesmo a atividade empresarial.
Pilares emergenciais para estruturar LGPD
Pode-se, então, definir quatro pilares emergenciais que devem ser objeto de atenção das empresas:
- Realização de avaliação preliminar acerca dos fluxos de tratamento internos de dados pessoais e os riscos associados, para que se possa estabelecer uma noção das medidas emergenciais e prioritárias. Parte-se do mapeamento preliminar e definição de bases legais, identificando-se as lacunas ou falhas e os riscos associados que demandam imediata solução ou mitigação.
- Adequação da estrutura organizacional para que seja possível estabelecer o planejamento de adequação à LGPD, definição do comitê de privacidade e indicação do encarregado de dados. Dentro de adequação estrutural também se incluem as atividades de capacitação interna das diversas áreas ou setores da empresa, em especial aqueles com maior atividade ou relacionamento com dados pessoais.
- Estratégia de comunicação interna e externa;
- Adaptação da estrutura de serviços digitais e estruturas físicas para comportar os requisitos de segurança da informação.
Percebe-se que, mesmo em caráter emergencial, as medidas acima demandam grande esforço empresarial, não só da alta gestão, mas também dos principais stakeholders ou interessados envolvidos na operação empresarial que realizem o tratamento de dados pessoais. Some-se a atual crise econômica decorrente da pandemia de coronavírus, e tem-se um cenário que praticamente obriga os empresários a aguardarem o início da efetiva aplicação da LGPD pelas autoridades encarregadas (ANPD, Procon, Poder Judiciário, entre outras).
Estruturar LGPD com uma equipe interna ou contratar consultoria especializada?
Surge então, outra questão, vale a pena investir na contratação externa de consultoria especializada, ou apenas a condução do projeto de adequação por uma equipe interna seria suficiente?
Aqui não se pretende esgotar o assunto, pois cada empresa dispõe de realidade técnica e financeira absolutamente diversa das demais. É impossível se indicar receitas prontas, diante das várias nuances em cada ambiente organizacional.
Todavia, fica desde já o alerta de que um dos pilares do programa de conformidade com a LGPD é a efetiva participação da alta gestão da empresa ou organização, comprometimento que fica ainda mais demonstrado quando a alta gestão define orçamento adequado à importância que um projeto de adequação à LGPD deve ter. Assim, parte-se da recomendação de que, ainda que a alta gestão entenda possível a definição de equipe interna para conduzir o projeto de adequação à LGPD, a contratação de uma consultoria, uma espécie de verificador externo, é absolutamente essencial. Assim, para efeitos de demonstração dos esforços de adequação à LGPD, demonstra-se que foram empreendidos todos os esforços dentro da capacidade financeira da empresa, com a contratação externa de especialistas que validaram as medidas adotadas. Ainda mais, demonstra-se que eventuais dúvidas sobre a interpretação da lei e da adequação das medidas planejadas foram sanadas através de especialista externo, que não teria conflitos de interesse por, a título de exemplo, recomendar medidas que seriam menos onerosas à empresa.
Em acréscimo, outro pilar de extrema importância, inclusive na demonstração de conformidade, é a constante capacitação e treinamento das equipes responsáveis. A proteção de dados têm grande interface, senão relação de conexão e dependência, com a segurança da informação. E, a segurança da informação é tema que possui evolução em progressão geométrica.
Assim, é essencial que as equipes estejam capacitadas e atualizadas. Ao fazer a avaliação sobre a adoção da solução interna de adequação, liderados por equipe interna, o gestor deverá ter em conta os custos desta capacitação, em especial contrapondo à possibilidade de já trazer equipe externa já capacitada, seja para a liderança do projeto, seja para, pelo menos, a realização de amplo treinamento interno.
O escritório Barreto Dolabella Advogados possui equipe completa e especializada em todas as pontas da LGPD para entender as necessidades de cada negócio, saiba mais clicando aqui.
