LGPD entra em vigor trazendo desafios às empresas
Como tratar os dados e alcança a conformidade com a Lei Geral de Proteção de Dados?
Após diversos percalços legislativos em 2020 decorrentes de tentativas de adiamento da sua aplicação, finalmente a LGPD entrou em vigor neste último mês de setembro. Mas sobre o que trata essa lei? Há riscos para os negócios? As pessoas precisarão sempre dar seu consentimento para que as empresas tratem dados pessoais?
A LGPD pode parecer um “monstrengo” à primeira vista, mas está longe de ser uma lei que inviabilizará negócios ou que exige sempre o consentimento das pessoas físicas, como muito se ouviu dizer por aí. Com inspiração no Regulamento Geral de Proteção de Dados da União Europeia, trata-se de uma lei principiológica que visa proteger a privacidade das pessoas físicas por meio da proteção de seus dados pessoais. Os dados pessoais são quaisquer informações que possam identificar alguém, portanto algo mais amplo que “dados cadastrais”. E, tratamento, é qualquer operação que se faça com os dados, desde sua coleta, armazenamento, transmissão, compartilhamento e até mesmo o apagamento. Eis, assim, uma combinação de fundamental entendimento: os conceitos de dado pessoal e de tratamento deixam claro que toda e qualquer empresa trata dados pessoais.
Mas, então, se todos fazem o tratamento de dados, como alcançar a conformidade e fugir das severas punições que a lei impõe, tais como advertências, multas, publicização da infração e até mesmo a proibição de utilizar as bases de dados, por exemplo? Bem, a LGPD impõe que as empresas tenham programas de compliance em proteção de dados, isto é, precisam ter governança corporativa focada para a proteção dos dados. Em outras palavras, é preciso criar ou atualizar as políticas (como as de privacidade de privacidade de cada website ou aplicativos, as de cookies, os termos de uso, etc), formalizar e atualizar contratos com todos os parceiros comerciais, incluindo-se aí a previsão de cláusulas específicas para as figuras do controlador e operador (quem determina o que é feito com os dados e quem faz o processamento em nome daquele), nomeação de um encarregado de proteção de dados e estar preparado para atender as requisições dos titulares (deve haver um canal para que os titulares de dados peçam ao controlador informações e correções sobre os dados pessoais lá tratados). E essas são apenas algumas das atividades necessárias.
Para que as empresas possam alcançar a conformidade é preciso que façam, antes de tudo, um mapeamento dos fluxos dos dados pessoais, porque com isso haverá a sua indexação a fundamentos legais exigidos pela lei, como o consentimento, a execução de um contrato, o cumprimento de uma obrigação, entre outros. E, para cada indexação mencionada, haverá uma consequência, como a necessidade de se rever um determinado fluxo ou revisar contratos.
Importante salientar que a LGPD não inviabilizará negócios aqui no país, a exemplo do Regulamento Europeu, vigente há mais de dois anos e que não impôs o fechamento de negócios. Até mesmo atividades como o monitoramento por reconhecimento facial, por exemplo, podem ser regularizadas em face da LGPD. É chegado o momento, portanto, de encarar os desafios e proteger dados pessoais. Seu negócio está preparado?
*Marcelo Crespo é sócio no PG Advogados e especialista em proteção de dados pessoais.
A opinião do autor do artigo não reflete, necessariamente, a opinião da Abrasce