Por Juliano Morais
Auditoria
Em agosto de 2018, foi publicada no Diário Oficial da União (DOU) a Lei 13.709, a qual dispõe sobre a Lei Geral de Proteção de Dados Pessoais (LGPD), que entrará em vigor 24 meses após sua data de publicação.
Tal lei tem como objetivo regulamentar o tratamento de dados pessoais, podendo estes serem físicos ou digitais, de usuários e clientes de uma organização, seja ela pública ou privada. Busca-se, com esta lei, proteger as pessoas de terem suas informações manipuladas de forma não controlada e imoderada. Sua abrangência atinge todas as empresas que coletam, armazenam e tratam informações de clientes no Brasil, independentemente de seu segmento de atuação, porte ou faturamento.
O tratamento de dados pessoais pode ser entendido como qualquer procedimento que envolva utilização de dados pessoais, como a coleta, a classificação, a utilização, o processamento, o armazenamento, o compartilhamento, a transferência, a eliminação, dentre outros.
Nessa fase de avaliação e implementação, diversas são as dificuldades e desafios encontrados, como por exemplo, a mudança de cultura na organização, a identificação de riscos, a adequação e elaboração de novos processos para adequação da LGPD, a sintonia e trabalho conjunto entre os departamentos, a decisão e a atitude para implementação das mudanças necessárias.
O primeiro ponto a ser considerado para adequação é realizar um mapeamento detalhado dos dados pessoais tratados pela companhia e o seu ciclo de vida.
Saber onde e como estão armazenados os dados pessoais, quem tem acesso a eles e se os dados são compartilhados com terceiros são algumas das perguntas estratégicas cujas respostas todas as organizações devem buscar antes de estabelecer o seu programa de implementação.
Outro componente relevante a ser considerado para que as organizações possam se adequar à nova lei são as tecnologias disponíveis. Deverão as empresas procurar no mercado novas tecnologias que forneçam suporte no que diz respeito à gestão de dados, atendimento a seus usuários, segurança das informações coletadas, qualidade e governança de dados, dentre outros aspectos a serem considerados.
A fiscalização será de responsabilidade do órgão regulador que está sendo criado: Autoridade Nacional de Proteção de Dados (ANPD). Caberá ao órgão ser responsável por zelar e fiscalizar o cumprimento da LGPD, elaborar diretrizes para a lei e aplicar as sanções previstas para as empresas públicas ou privadas que infringirem a referida legislação.
A lei também prevê que o órgão regulador poderá solicitar relatórios de riscos de privacidade para certificar-se de que as organizações estão tratando o tema internamente. As multas previstas para o descumprimento variam de 2% do faturamento bruto até R$ 50 milhões, por infração.
Portanto, faltando menos de um ano para entrada em vigor da LGPD, é preciso que as organizações revejam ou iniciem seu cronograma de implementação e, caso seja necessário, se adequem, para que possam atender integralmente a referida Lei.
Diante de toda a complexidade que foi exposta acima, podemos concluir que trata-se de uma lei que trará maior confiança aos clientes e usuários, quando estes tiverem que fornecer seus dados pessoais para terceiros.
Por outro lado, convém observar que sua implementação está diretamente ligada à mudança de cultura dentro das organizações, adequações e mudanças de processos internos, implementação de novos controles, implementação de governança corporativa digital e investimentos elevados.
Não obstante, alinhado ao acima mencionado, a LGPD é genérica, e não distingue sua aplicabilidade entre pequenas ou médias empresas das grandes organizações. Neste cenário, a menos que haja uma flexibilização por parte dos legisladores e órgão fiscalizador, estamos próximos a um iminente descumprimento em massa desta lei, podendo colocar em cheque até mesmo a continuidade de suas operações, haja vista a vultuosa penalidade prevista.
Ressaltamos que o objetivo desse conteúdo é o de chamar a atenção para a importância do tema abordado. Recomenda-se, contudo, a leitura da legislação em questão em sua integralidade, dada à sua importância e impactos.