Artigo
Desapegue-se do passado e olhe para a LGPD
É essencial que o empresariado se abra de fato à LGPD, para evoluir no presente e no futuro. É o que frisa Cristiano Pimenta, especialista em TI e gestão
27/2/2020
Em ritmo acelerado, caminham as implicações de conformidade que instituíram em definitivo, no Brasil, o tema proteção de dados pessoais, causando transformações no âmbito organizacional e provocando, em muitos, da euforia à desolação, do ceticismo à devoção, e muitas dúvidas. Ao certo, o que não pode é ficar apenas contemplativo, ou sem fazer nada, uma vez que o tempo, já traçado, sinaliza que você pode estar muito atrasado para atingir os requisitos da lei, e dificilmente afastará penalidades nos resultados do seu negócio.
A jornada começou em agosto de 2018, quando foi sancionada a lei nº 13.709, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Com uma cultura do “melhor guardar, pois um dia posso precisar”, as empresas ao longo do tempo construíram um enorme arsenal de dados, um bem “intangível” de alto valor para o negócio, uma fonte inesgotável de consumo e consulta, sem travas, sem dogmas, inclusive sem pudor quanto ao seu uso e destino. Agora, o que vemos, é que o mesmo arsenal de dados, sem o rigor da lei, volta-se como uma “bomba” prestes a explodir, com efeito direto na alta administração.
As orientações básicas sobre o dado pessoal (a informação relacionada à pessoa natural, identificada ou identificável) ou sobre o dado pessoal sensível (tipificado na lei como os ligados à origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, genética ou biométrica, filiação a sindicato ou organização de caráter religioso, filosófico ou político) são insumos para organizar os dados, porém não são suficientes para ajudar o empresário a descobrir onde estão tais dados.
"Esteja atento ao termo finalidade: não é à toa que ele aparece pelo menos trinta vezes na lei, e esse termo poderá apoiá-lo na prática do desapego e a rapidamente reduzir os riscos"
Nos deparamos com empresas que possuem acima de 2.800 bases de dados e, naturalmente, tendem a não ter um inventário efetivo sobre o que, onde e como esees dados estão sendo utilizados, armazenados e acessados. Como as aplicações interagem com tais dados, seus relacionamentos com entidades externas, a exemplo de parceiros de negócios. Ou seja, no minuto seguinte à entrada em vigor da lei, você estará preparado para responder a simples pergunta abaixo do titular?
“Prezada empresa,
Em atendimento à lei nº 13.709/2018, que me confere o direito de proteger meus dados pessoais, solicito com base nos requisitos dos artigos 17, 18 e 19, sem prejuízo dos demais: confirmação da existência de tratamento dos meus dados pessoais e, em caso positivo, o acesso aos dados. Estando atento ao prazo legal de resposta, aguardo manifestação.”
Nada simples. Imagine então 300 pedidos em menos de uma hora, na qual a escala de demanda não está diretamente proporcional ao seu número de clientes, pois também poderá receber pedido de consulta de pessoas que sequer um dia fizeram negócio com sua empresa. E, no tempo da lei, precisará emitir um informe sobre a condição do requerente. Sabendo que outras demandas podem também ser solicitadas, como a eliminação dos dados, correção, entre outras.
Seja diligente
Sem dúvida, ser diligente é a melhor atitude, então execute com a maior brevidade possível o reconhecimento do ambiente, procurando identificar numa amostragem segura quais os dados relevantes para a lei, onde estão distribuídos e que nível de controle tem sob sua dinâmica de uso. Analise os resultados com uma visão de riscos, compreenda quais os gaps identificados e sua complexidade, organize um roadmap com ações estruturadas, e implemente um programa que envolva as principais lideranças.
Mantenha uma monitoração constante e atribua o conceito de privacy by design para evitar retrabalho. Não aceite “enxugar gelo”, cada aplicação ou banco de dados que entra em produção sem o devido atendimento aos requisitos legais, vai lhe custar mais dinheiro, seja para corrigir os erros, ou para cobrir os recursos jurídicos frente a multas ou indenizações.
Vale lembrar que desde a lei nº 12.965 de 23 de abril de 2014 foram estabelecidos os princípios, garantias, direitos e deveres para o uso da internet no Brasil, em específico nos seus artigos 10, 14 e 21, que abordam questões relevantes quanto à proteção aos registros, aos dados pessoais e às comunicações privadas. Enquanto o próprio Código do Consumidor, em algum momento, sinalizou que os dados pessoais do consumidor deveriam ser preservados, mantidos em sigilo e utilizados exclusivamente para os fins do atendimento.
Por fim, esteja atento ao termo finalidade: não é à toa que ele aparece pelo menos trinta vezes na lei, e esse termo poderá apoiá-lo na prática do desapego e a rapidamente reduzir os riscos. Se não tem finalidade, suportada pela lei, esqueça!
Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.
