Quantas informações temos sobre nossos clientes em nossas mesas, pastas físicas, computadores, backups, aplicativos de mensagens e em outros meios? Nossos clientes sabem por que demandamos tudo isso? Será que não temos mais do que necessitamos? Essas informações estão em local seguro? Com quem compartilho essas informações e por quê? Em quantos locais temos armazenado o mesmo dado? O que acontecerá se minha rede for invadida ou um laptop furtado com registros de clientes, fornecedores, parceiros e/ou empregados?
Essas são apenas algumas das perguntas que, mais do que nunca, exigem resposta. Não se trata apenas de preservar a relação de confiança com clientes ou de mantermos sigilo. A efetiva implementação de boas práticas de governança de dados pessoais é, agora, uma obrigação legal, com data marcada para entrar em vigência: agosto de 2020.
Inspirada diretamente em legislação da União Europeia (European General Data Privacy Regulation), foi promulgada, no Brasil, a Lei nº 13.709/2018, alterada, recentemente, pela Lei nº 13.853. A chamada Lei Geral de Proteção de Dados Pessoais (LGPD) já requer atenção de todos, atingindo-nos como cidadãos e, em muitos casos, como profissionais.
No campo empresarial, será preciso dedicar-se, prioritariamente, a questões de segurança de dados, mesmo que nossa área não seja de tecnologia e segurança da informação. Processos, práticas e políticas organizacionais, técnicas, jurídicas, contábeis, de marketing, RH, entre outros, deverão ser revistos. E isso valerá para o setor privado e para o público, estejam os dados pessoais em meios digitais ou físicos.
O que fazer, no entanto, em um cenário em que tratamento de dados é um conceito legal tão abrangente? Como em qualquer jornada, o primeiro e mais seguro passo é a instrução, seguido por outros que garantam a adequação e a conformidade com a LGPD Esse trajeto não terá um fim específico, pois mudará a cultura e o comportamento organizacional.
Para avançarmos nessa caminhada, caberá compreendermos o que são dados pessoais, quais as atividades em que usamos esses dados, quais processos adotamos, onde os guardamos e a que riscos estamos expostos.
Traçar um plano de ação não é tarefa simples, vez que exige métodos, planejamento, equipe engajada, investimento em assessoria técnica, em treinamento de colaboradores e, certamente, em mecanismos técnicos de segurança. Em suma, serão as seguintes as etapas de trabalho, cuja ordem de adoção será adaptada caso a caso:
- Nomeação da equipe de trabalho e, eventualmente, do encarregado (Data Protection Officer);
- Mapeamento de dados e levantamento de riscos;
- Avaliação das legislações aplicáveis (a empresa pode estar sujeita à GDPR, além da LGPD, por exemplo);
- Desenvolvimento ou ajuste das políticas internas de segurança de dados;
- Realização de treinamentos internos;
- Elaboração de políticas de privacidade e de cookies, revisão de contratos, de propostas, das operações de marketing e comunicações externas etc.;
- Implementação de procedimentos e manuais para prevenção de riscos, gestão de eventuais vazamentos de dados, bem como para atendimento aos titulares dos dados;
- Manutenção de evidências do programa de proteção à privacidade (Autoridade Nacional de Proteção de Dados – ANPD – poderá requerer informações que atestem o cumprimento de boas práticas).
O descumprimento da nova Lei poderá prejudicar a reputação da empresa, acarretar o deve de indenizar e outras sanções. A ANPD penalizará infratores com medidas que vão desde uma advertência a multas de R$ 50 milhões por infração.
Como visto, mesmo antes de entrar em vigor, a LGPD exige trabalho imediato. A execução das etapas mencionadas pode levar um ano ou mais, o que nos permite pensar que já estamos em cima da hora ou até atrasados para nos adequar. Por isso, mãos à obra! Comecemos imediatamente!
Flávia Lubieska N. Kischelewski é advogada do setor de direito digital e da área societária de Prolik Advogados