O ano de 2018 foi marcado pela promulgação da lei 13709/2018, mais conhecida como Lei Geral de Proteção de Dados – LGPD.
Essa lei visa proteger a privacidade dos dados pessoais de toda a população e que entrará em vigor em Agosto de 2020.
A promulgação desta lei é um marco importantíssimo para o nosso país, pois hoje temos uma das leis mais completas e rígidas sobre tratamento de dados pessoais.
A necessidade desta lei surgiu devidos aos inúmeros escândalos de vazamentos de dados que atingiram milhares de usuários que se cadastram diariamente em sites e programas fornecendo dados pessoais sem saber qual uso será feito com as suas informações.
Sendo assim, não restam dúvidas de que a LGPD irá impactar diretamente a forma como as empresas captam e utilizam os dados de seus usuários, restringindo a coleta de dados pessoais apenas aos fins necessários à que se propõe, inclusive, especialistas dizem que LGPD terá o mesmo impacto do Código de Defesa do Consumidor – CDC.
Com mudanças tão drásticas, o mundo jurídico já se prepara para atuar na implantação e adequação da lei em empresas dos mais diversos setores, criando novos segmentos de atuação para Advogados especialistas em proteção de dados.
DPO – Data Protection Officer
Uma das grandes mudanças decorrentes da LGPD é a necessidade de criação de novos cargos e especialistas para o mercado; dentre eles, podemos destacar o DPO, que nada mais é do que o encarregado pelo tratamento dos dados pessoais. Que na redação original da lei permitia apenas pessoa física. No entanto, uma recente Medida Provisória ampliou a possibilidade de o DPO ser uma pessoa jurídica, devendo as empresas adotarem políticas de cumprimento integral às normas de proteção de dados.
Portanto, para que desenvolva bem o seu papel, é imprescindível que o DPO tenha ampla autonomia e liberdade para implementar todas as providências necessárias, sem ser penalizado no exercício de suas funções devendo reportar-se, apenas ao topo da hierarquia da empresa.
Inclusive, há de se ressaltar que tal cargo deve ser ocupado por alguém de extrema confiança, pois para que exerça bem as suas funções, será necessário ter acesso irrestrito a todos os dados da empresa, incluindo os dados sensíveis de funcionários e clientes.
Práticas de Compliance
Compliance é um conjunto de normas e regulamentos adaptados às especificidades do negócio. Essas regras são estabelecidas para a prevenção de crimes e desvios de condutas dentro das empresas e possui um papel fundamental nesta trajetória, pois para adequar corretamente todos os setores da empresa a LGPD, será necessário construir um bom plano de Governança Corporativa e de Governança de TI, realinhando completamente o método de trabalho e realizando treinamentos de toda a equipe para garantir a segurança e o correto tratamento de todas as informações.
Pilares do Compliance
Para que possamos entender melhor sobre as práticas de compliance, precisamos saber quais são os pilares que norteiam a sua construção, abaixo listamos os 5 mais essenciais, vejamos:
1 – Tone from the top: Significa “o exemplo vem de cima”. Portanto, a alta hierarquia da empresa deve ser o primeiro grupo a ter conhecimento das novas práticas para inspirar os demais.
2 – Due Diligence: A empresa deve conhecer os seus colaboradores, monitorando para garantir que a sua atuação está em conformidade com as regras e objetivos da empresa.
3 – Risk Access ou Avaliação dos Riscos: A fim de evitar problemas futuros, periodicamente a empresa deve realizar uma avaliação de riscos, no caso da LGPD, essa avaliação poderá garantir que os dados com que estão trabalhando são realmente necessários e que estão sendo corretamente tratados para evitar vazamentos ou uma utilização inadequada.
4 – Controles internos: Assim que forem identificados os riscos, serão necessários controles internos para monitorar e evitar os incidentes.
5 – Treinamento: De nada adianta um ótimo plano de compliance e governança se não houver um adequado treinamento de todos os colaboradores da empresa para garantir a efetividade do projeto.
Privacy by design – PbD
Privacy by design é uma metodologia onde deve-se considerar a proteção de dados e a privacidade em primeiro lugar na hora de estruturar um programa de compliance com foco em proteção de dados, devendo toda a arquitetura da empresa sem pensada de forma que garanta a inviolabilidade de qualquer informação que esteja sob a sua responsabilidade.
O PbD possui sete princípios básicos, que são:
1 – Ser proativo e não reativo: a empresa deve ser capaz de antecipar-se aos riscos, buscando soluções de prevenção antes que eles ocorram
2 – Privacidade como configuração padrão: também conhecido como Privacy by Default, significa que as configurações devem vir por padrão garantindo a máxima privacidade.
3 – Privacidade incorporada ao projeto: a proteção de dados deve estar incorporada ao projeto de TI, desde o momento do desenvolvimento.
4 – Funcionalidade total: Garantia de que a proteção de dados pessoais esteja alinhada com os interesses e objetivos legítimos de quem é responsável pelo tratamento dessas informações, sem abrir mão da segurança para obter mais dados.
5 – Visibilidade e transparência: Este é um princípio abrangente e bastante desafiador, pois visa conceder visibilidade ao titular do dado quanto à finalidade da coleta e deixar claro com quem estão sendo compartilhados esses dados e o porquê.
Além disso, deve estar disponível para realização de auditorias com o objetivo de assegurar que as informações pessoais estejam sendo protegidas de forma adequada.
6 – Segurança de ponta a ponta: A proteção aos dados pessoais deve ser contemplada ao longo de todo o ciclo de vida, ou seja, da coleta até o descarte das informações, passando pelo transporte, processamento e armazenamento.
7 – Respeito pela privacidade do usuário: O Privacy by Design exige que as empresas prezem ao máximo pelos interesses do usuário, implantando medidas apropriadas para fácil compreensão, autorização e revogação das suas informações.
União Europeia e a sua GDPR
Apesar de ser recente e de ainda estarem se adequando a nova legislação, a União Europeia tem muito a nos ensinar, afinal, a nossa LGPD nasceu da GDPR, sendo a nossa lei praticamente uma cópia da europeia, só que mais adequada a nossa realidade nacional (ou não).
E desde a sua promulgação, de tempos em tempos podemos ver notícias de grandes empresas de tecnologia sendo multadas por descumprirem a legislação. Um exemplo é o Google, que em 2019 recebeu uma multa no valor de 50 milhões de Euros por violar a GDPR por não dar transparência e consentimento explícito para uso de dados de seus usuários.
Assim, o Advogado brasileiro que desejar atuar nesta seara, poderá estudar os casos concretos que estão ocorrendo na Europa, para que possa ter maior conhecimento da LGPD/GDPR nas empresas. Inclusive, a GDPR é tão rígida que determina que Empresas Europeias somente poderão compartilhar dados com empresas de outros países que possuam uma legislação de dados tão rígida quanto a deles e o Brasil, após a criação no final de 2018 da AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS cumpre esse requisito.
Portanto, a LGPD é antes de mais nada, é uma lei de abrangência internacional, abrindo-se dessa forma, mais uma área de atuação jurídica que os advogados devidamente preparando podem atuar.
Proteção de dados na Advocacia
Mas as implicações da LGPD não se resumem apenas em novas áreas de atuação para os Advogados, pois estes também trabalham com dados pessoais de cliente e portanto, também estão sujeitos a todas as obrigações impostas por ela.
Os escritórios de advocacia devem criar meios e rotinas de proteção de dados pessoais contra vazamento e de forma que nunca possuam mais dados do que de fato precisam. Compliance, Privacy by design, Governança corporativa, Governança de Ti, Due Diligence, tudo isso também deverá fazer parte do dia a dia dos escritórios de advocacia.
E isto não é uma coisa ruim, seguindo o primeiro pilar do compliance que diz “Tone from the top”, ou seja, o “exemplo vem de cima”, nada mais justo que se o escritório deseja trabalhar adequando as empresas à LGPD, então que antes de mais nada, organizem a própria casa.