Legislação que regula o tratamento dos dados pessoais foi publicado em 2018. Empresas tem mudado seu fluxo de informações para adaptação às novas regras
A partir de agosto deste ano, a Lei Geral de Proteção de Dados pode ser considerada com vigência plena. Ou seja, desde a sua publicação, em 2018, a Lei de número 13.709/18 foi implantada progressivamente. Agora, após este tempo para adaptação, as empresas devem seguir todas as novas regras de segurança quanto aos dados compartilhados dos clientes.
A LGPD é a legislação brasileira que dispõe as atividades de tratamento de dados pessoais, fornecidos em meio físico ou digital, feito por pessoa física ou jurídica, de direito público ou privado. Ela é aplicada a todas as empresas em todos os setores da economia, possuindo até mesmo abrangência extraterritorial, ou seja, toda empresa que tiver negócios no Brasil, mesmo com sede em outro país, deve se adequar à Lei.
Pelo texto, órgãos públicos e empresas privadas só podem coletar e utilizar dados com o consentimento da pessoa, que poderá pedir a interrupção da coleta de informações, a portabilidade e exclusão dos dados. A regra é valida mesmo que sejam apenas informações básicas sobre os clientes.
O que mudou para as empresas?
“Agora, com a Lei, os dados de pessoas físicas estão nitidamente protegidos, de modo que o tratamento de dados pessoais em bancos de dados seja realizado com transparência e segurança, sob pena de responsabilidade”, afirma Vinicius Cipriano, professor do curso de Direito da Estácio.
Para isto, informa o professor, as empresas precisaram compreender o fluxo de dados pessoais na sua respectiva atividade, mapeando qual o tipo de dado (financeiro, registral), a titularidade do dado pessoal e se se existe um tratamento. “Neste passo, observa-se que todo esse processo acarreta a necessidade de contratação de profissionais para revisão dos processos e capacitação interna”, observa.
Exemplo disto é a necessidade de definição de um Comitê de Segurança da Informação para analisar os procedimentos internos em alinhamento as regras da nova lei, o estabelecimento das funções de Agentes de Tratamento de dados pessoais — nas figuras do Controlador e do Operador —, além da definição do Encarregado de Proteção de Dados (DPO – Data Protection Officer), que tem como principal atividade o monitoramento e disseminação das boas práticas.
“As empresas de grande porte já possuem estruturas que podem se adaptar às regras da nova lei. No entanto, as pequenas e médias empresas tiveram mais dificuldade, devido aos novos investimentos em processos de trabalho, capacitação de pessoal e tecnologias”, pontua professor Emmanoel Monteiro, coordenador dos cursos de Gestão em TI da Estácio.
Emmanoel reforça que, apesar da LGPD ter sua origem em ocorrências provenientes da revolução digital e seus impactos no cidadão no mundo físico, o processo de adaptação não se restringe somente a investimento em tecnologias ou cibersegurança. “É fundamental construir técnicas e processos administrativos que evitem, combatam ou minimizem pontos de fragilidade relacionados a ativos de informação devido a ameaças que atuam sobre algumas vulnerabilidades, implementando sistemas de compliance para prevenir, detectar e contornar possíveis violações de dados pessoais”, explica o especialista.
LGPD e as penalidades jurídicas
Em relação às penalidades, o professor Vinicius Cipriano lembra que, além da LGPD, houve a instituição da Autoridade Nacional de Proteção de Dados com a finalidade de fiscalizar o tratamento dos dados pessoais efetuado por pessoas jurídicas, bem como a aplicação de sanções em caso de violação ou descumprimento de normas relacionadas à proteção de dados. “Atualmente, existe uma norma em edição na ANPD para determinar como será feita a aplicação dessas punições”, explica.
Além disso, as empresas ainda estão sujeitas a responsabilidade em ações judiciais por violação de dados pessoais. “Agora em agosto, as sanções já podem ser aplicadas. Algumas das sanções que podem ser destacadas são: advertência, multas incidentes no faturamento, a eliminação dos dados pessoais e a proibição de tratamento dos dados, como, processo de coleta, armazenamento, uso e descarte”, informa.
Adequações à LGPD: um processo contínuo
O advogado Sergio Marcolino relata que na empresa Rui Cadete Consultores o processo de adequação à LGPD contou com o envolvimento de todas as áreas. “A partir da realidade já existente, forma mapeados todos os fluxos de informações pessoais utilizadas pela Rui Cadete. A partir da reunião dessas informações, foi possível consolidá-las em um único documento que trata da política de proteção de uso de dados pessoais, e que serve de referência para o acompanhamento das ações relativas à LGPD na empresa”, explica.
Sob a ótica do comprometimento interno não houve nenhuma dificuldade e o processo caminhou muito bem, mas a adequação foi apenas o início, avalia o advogado. “O desafio maior certamente está no acompanhamento das medidas adotadas, bem como na ampliação das ações de conscientização junto aos clientes, de forma a aumentar a segurança no uso de dados pessoais por todos os participantes da cadeia de serviços”, considera.
