Por Milena Cardoso, advogada no escritório Rücker Curi Advocacia e Consultoria Jurídica
A Lei n. 13.709/18, conhecida como Lei Geral de Proteção de Dados Pessoais, ou simplesmente LGPD, tem dado o que falar. Não só no meio jurídico e da tecnologia da informação, mas, principalmente, entre os empresários, que precisam ajustar o modo de tratar os dados pessoais nas suas empresas de acordo com a nova lei, sob pena de sofrerem punições severas.
Em se tratando de empresa, a lei engloba tanto a pública quanto a privada, desde que tenha tratamento de dados pessoais em alguma das atividades. O objetivo é regulamentar e proteger os dados pessoais, tendo em vista que são enquadrados como parte dos direitos fundamentais de liberdade e privacidade e livre desenvolvimento da personalidade inerentes à pessoa.
Ocorre que atender todos requisitos trazidos pela LGPD não é uma tarefa fácil, visto que requer a observância de uma série de princípios, bem como, um modelo de gestão técnica a ser seguido. Exige-se, portanto, comprometimento, engajamento e, é claro, a disponibilidade de recursos financeiros da empresa para que haja a restruturação necessária e a mitigação dos riscos relacionados aos dados pessoais alcançada.
Sendo assim, o passo inicial, portanto, é conscientizar todo o pessoal, desde o chão de fábrica até a diretoria da empresa, sobre a necessidade de obediência à lei. Isso porque, para que haja uma mudança de cultural, no que tange a privacidade dos dados pessoais, como a lei requer, é necessário que todos adotem uma nova postura, que só ocorrerá a partir do momento que cada um entender a importância de atender os requisitos impostos pela lei e de como podem contribuir para este alcance.
Concomitantemente, refletir e entender sobre o negócio também se faz necessário, até mesmo para que se verifique qual o modelo de governança, legislações e demais regulamentações voltadas à privacidade e que provavelmente serão alvo de mudanças.
Com isso, faz-se um levantamento dos dados pessoais tratados. Ou seja, verifica-se quais dados são coletados, o que é feito deles e onde estão armazenados, tendo ao final desta tarefa uma métrica ou indicadores que apontem o nível de maturidade da empresa em relação aos controles ansiados pela lei.
Para isto, novamente, é importante que haja o envolvimento de todos os setores da empresa, tratando-se, portanto, de um trabalho multidisciplinar. Afinal, esta é a única maneira de se ter uma visão assertiva dos pontos mais vulneráveis dentro da empresa que, portanto, demandam maior atenção e necessitam serem solucionados com prioridade.
Em muitos casos, a regularização no tratamento de diversos dados pessoais pode ser ocorrer caso se encontre uma finalidade plausível para tanto e que seja justificada ao titular. Neste tocante, a lei prevê 10 hipóteses autorizadoras de tratamento, sendo necessário que cada dado tratado esteja amparado por uma dessas possiblidades.
Ressalta-se a importância dessa verificação, já que uma das maiores gafes cometidas pelas instituições, no que tange a proteção de dados pessoais, se dá exatamente neste aspecto, porquanto as empresas tendem a coletar dados em excesso, sem dar uma finalidade ou, ainda, em dar finalidade diversa do proposto, práticas estas rechaçadas e plenamente puníveis pela LGPD.
A partir de então, desenvolve-se o mapeamento de riscos e se elabora um plano de ação, os quais encerram o processo de implementação. Como os próprios nomes sugerem, neste momento mapeiam-se os pontos em desconformidade com a lei, fixam-se as prioridades e monta-se um cronograma de investimento, para que cada nível da empresa seja alcançado pelas mudanças e adequações impostas pela lei.
Veja-se que, muito embora a quantidade de exigências seja elevada, a intenção da lei não é impedir que as empresas tratem dados pessoais, mas evitar a coleta e o uso indiscriminado dessas informações, de modo a proteger a privacidade e liberdade dos titulares e, ao mesmo tempo, estimular o aperfeiçoamento do tratamento de dados.
Por outro lado, verifica-se que a implementação da LGPD será um diferencial competitivo para as empresas e até mesmo um requisito de negócio, como já se observa nos casos de transações com empresas da União Europeia, que atuam sob o Regulamento Geral sobre a Proteção de Dados (GDPR), motivo pelo qual a lei deve ser atendida e respeitada.