LGPD: Mais que uma obrigação legal, uma mudança de cultura empresarial

A importância de adequação a LGPD

A lei 13.709/18, mais conhecida como Lei Geral de Proteção de Dados, famosa pela sigla LGPD, é o marco regulatório brasileiro sobre proteção de dados pessoais e que traz grandes impactos para instituições privadas e públicas.

Pautada em fundamentos que trazem princípios, direitos e obrigações relativos a um dos, senão, o mais, valioso ativo do mercado, os dados pessoais. Tem como objetivo aumentar a autodeterminação informativa dos titulares, protegendo-os de eventuais ataques, exposições e vazamentos.

Assim, ela estabelece uma série de regras que as organizações atuantes no Brasil terão de seguir para permitir que o cidadão tenha mais controle sobre o tratamento que é dado às suas informações pessoais, bem como, concede um novo poder às entidades reguladoras, que agora devem fiscalizar como empresas públicas e privadas tratam essas informações.

O não cumprimento dessas obrigações pode acarretar, por exemplo, em multas que chegam até mesmo a R$ 50 milhões por infração, sem contar nas condenações judiciais, hipótese em que, inclusive, não há limitação de valores.

Atualmente, praticamente todas as funções e áreas de uma empresa tratam dados, assim como todos os modelos de mercado e nichos, enfim, tudo o que fazemos no nosso dia a dia envolve dados pessoais e, é isso o que torna a devida adequação à LGPD tão importante.

A adequação à LGPD, por sua vez, envolve uma transformação cultural que deve alcançar os níveis estratégico, tático e o operacional das instituições.

Essa transformação envolve: considerar a privacidade dos dados pessoais do cidadão desde a fase de concepção do serviço ou produto até sua execução e promover ações de conscientização de todo corpo funcional no sentido de incorporar o respeito à privacidade dos dados pessoais nas atividades institucionais cotidianas.

Sendo assim, para as empresas que ainda não iniciaram seus projetos de adequação, é de extrema importância que algumas prioridades sejam traçadas, a fim de minimizar riscos, conforme listamos abaixo:

• Indicação de encarregado de proteção de dados (DPO): O profissional que tem ganhado espaço dentro das organizações: o DPO - Data Protection Officer, é o responsável por gerenciar todo o fluxo de informações dentro das empresas, desde a etapa inicial até seu tratamento. Assim, indicar quem será responsável por exercer essa função é primordial para o bom andamento das atividades de tratamento de dados nas empresas.
• Canal de comunicação com os titulares: Considerando que a partir do momento em que a lei entrou em vigor os titulares de dados já podem fazer solicitações aos controladores, é importante indicar um canal de comunicação com esses titulares e estabelecer um procedimento para o atendimento aos pedidos que serão formulados.
• Políticas de privacidade: Elaborar ou revisar as políticas de privacidade também é uma medida prioritária, já que é nesse documento que a empresa estipulará as "regras do jogo" com o titular dos dados, explicando de forma detalhada como funciona o tratamento de dados pessoais dentro da companhia (formas de coleta, bases legais, finalidades, tempo de armazenamento, forma de descarte, etc.).
• Adequações contratuais: Também é importante que as empresas definam as regras contratuais que digam respeito ao tratamento de dados pessoais com parceiros, funcionários e prestadores de serviços, etc. (ex.: compartilhamento de dados, forma de descarte após o final do contrato e limitações de responsabilidade).
• Conscientização de colaboradores: Implementar medidas técnicas, operacionais e que tenham a ver com adequações de documentos é, sem dúvida, bastante importante. Contudo, de nada adianta realizar todas essas ações sem que os colaboradores estejam conscientizados sobre a importância da proteção de dados pessoais e do tratamento ético das informações que circulam dentro da empresa. Assim, deve-se conduzir treinamentos que conscientizem os colaboradores quanto à matéria.

As medidas apresentadas, apesar de suprir as necessidades mais urgentes, não substituem a necessidade de condução posterior de um projeto de adequação robusto e completo.

Para a necessária adequação, o essencial é contar com uma equipe pronta de advogados que entendam de Direito Digital e crimes cibernéticos pode prevenir substancialmente eventuais crises de vazamento, além de facilitar - e muito - todo o processo de adequação.