Paula Figueiredo*
Muito se tem falado sobre a LGPD (Lei Geral de Proteção de Dados) e, diferentemente do que muitos têm alegado, a Lei 13.709 valerá para todas as empresas, sem exceção, sejam elas de grande, médio ou pequeno porte. A LGPD entrará em vigor em agosto de 2020, e as empresas que não se adequarem até lá poderão sofrer severas punições.
Estamos a menos de um ano da entrada em vigor da legislação, ou seja, as organizações precisam realizar em um curto período um mapeamento de dados, a adequação para com a legislação e um compliance dos dados. Aos leigos, os dados pessoais são definidos como quaisquer dados que identifiquem ou possam identificar uma pessoa, como o RG pego na portaria de um prédio, por exemplo. Portanto, a transformação deve ser realizada de forma transversal em todas as atividades de colheita, tratamento, uso e descarte de dados pessoais. Não serão apenas as áreas jurídica e de compliance envolvidas, mas também TI, RH, comunicação e outras.
É primordial realizar a conscientização da lei em todas as áreas das empresas, bem como o estudo feito pelos C-levels e representantes das áreas envolvidas em relação aos principais pontos da legislação. Neste caso, uma das recomendações é que seja realizada a leitura da parte inicial do GDPR (sigla em inglês para Regulamento Geral de Proteção de Dados) - regulamento europeu que entrou em vigor em 2018 após décadas de maturação da matéria - que foi adaptado para a realidade brasileira, originando a LGPD. Com ele, não só compreendemos a lei brasileira de uma forma mais abrangente, como também entendemos os motivos de cada artigo e para que servem, conseguindo assim criar medidas mais eficazes de proteção e antecipação.
Após este estudo de experiência internacional com a lei e conscientização de todos os funcionários, é necessária a criação de times internos responsáveis para tratar deste assunto, além da contratação de consultorias externas de advocacia e segurança da informação com conhecimentos técnicos sobre a lei, que juntos irão mapear as áreas envolvidas com os dados e desenhar, consolidar e executar os processos de manuseamento de dados.
Após a conclusão destes procedimentos, o compliance de dados terá papel essencial para identificar os pontos de melhoria, com a ajuda de todos os colaboradores. Nele, serão necessários os treinamentos e checagens de segurança, que impedirão que as companhias corram riscos de danos oriundos de vazamento de dados, que podem atingir milhões de reais para as empresas. Por isso, a conscientização e envolvimento de todos os funcionários e áreas das empresas é tão importante.
Este envolvimento de todas as funções das organizações é aplicável, inclusive, para os fornecedores. Os serviços dos fornecedores têm sim relação com a sua empresa e podem gerar impactos à sua operação. Em caso de não-conformidade, todos os envolvidos na cadeia serão notificados pelos órgãos regulamentadores. O que as organizações devem entender é que, sem a adequação à norma, elas não conseguirão realizar negócios, inclusive os internacionais, já que as companhias estrangeiras já são regulamentadas pela GDPR e outras legislações internacionais sobre o tema. Este tipo de procedimento dos fornecedores, então, também será mapeado pelas consultorias.
Com estas informações, fica cada vez mais claro que todas as empresas do país, sem exceção, serão impactadas. Nós, consultores advogados, que entendemos a lei tecnicamente, desconhecemos qualquer pessoa jurídica que não esteja relacionada aos dados. A regulamentação não se deve apenas as grandes organizações e seus fornecedores, bem como para as PMEs e MEI. Hoje em dia, tudo o que fazemos no mundo online tem relação com algum dado. Para que estas pessoas jurídicas se regularizem, é necessário a contratação de softwares que disponibilizem uma cybersecurity de qualidade, que muitas vezes não estão dentro do orçamento destas empresas. Nos encontramos então, com um mercado exponencial, em que podem surgir soluções sofisticadas e baratas para as PMEs e MEI.
Com o impacto em todos os milhares de CNPJs brasileiros, não apenas a ANPD (Autoridade Nacional de Proteção de Dados) fará a auditoria da lei, como também o Ministério Público, a Defesa do Consumidor, os PROCONs, as esferas trabalhistas, pessoais e outros, de forma, inclusive, mais rápida. Vale lembrar que a entrada em vigor da GDPR ocasionou inclusive a parada da prestação de serviços de várias empresas europeias e estrangeiras naquele território, o que não se exclui poder ocorrer aqui também, tendo em vista que houve derrubada do veto presidencial no Congresso ao artigo que prevê a punição de suspensão de atividades de agentes que infringirem a LGPD. Para que isso não ocorra, todas as empresas, independente do porte, precisam se adequar neste período de tempo. O resultado dessa adequação será, no futuro, todas as pessoas físicas voltarem a serem titulares de seus dados, sem invasões ou violações de direitos.
* É advogada especializada em direito empresarial, voltado para empresas tecnológicas, presidente e fundadora da Comissão de Direito para Startups da OAB/MG, sócia do Lex 4.0, iniciativa de educação para juristas na atuação do mercado 4.0 e estará no FestQuali, ministrando mais uma palestra para as empresas se informarem sobre quais ferramentas podem realizar um compliance de sistema de dados competente.
