+55 21 3550-4400 contato@mottaefaria.com.br

Lei Geral de Proteção de Dados – Agora é para valer!

Marcada por incertezas, em um vai e vem de quase dois anos, a Lei nº 13.709 de 14/08/2018 – Lei Geral de Proteção de Dados – teve sua data de vigência alterada várias vezes, até mesmo por Medida Provisória. Finalmente, aprovada e sancionada, entrou em vigor em 18 de setembro deste 2020 tão turbulento.

Com o objetivo precípuo de garantir o respeito à privacidade e o sigilo, proteger os titulares de dados pessoais, a LGPD veio impor mudanças extensas no ambiente de tratamento da informação; mudanças que começam pela atualização de sistemas e itens de segurança tecnológica e se estendem pela cultura corporativa, alcançando as várias atividades e setores da economia, sociedade e administração pública.

Dados pessoais são, no dizer da própria lei, toda informação relacionada a pessoa natural “identificada” ou que a torne “identificável”. Podem ainda, classificados dentro de uma categoria especial, serem dados pessoais sensíveis, quando se referirem a raça, crença, posições políticas, saúde e doenças, características genéticas e biométricas.

O ambiente necessário ao desenvolvimento das novas rotinas e novos hábitos para que dados pessoais sejam coletados, armazenados e tratados com mais segurança e menores riscos demanda meios tecnológicos – sistemas – adequados para a proteção contra o acesso e a ação de terceiros não autorizados e, concomitantemente, o treinamento de todos os usuários desses sistemas.

A evolução tecnológica, o uso da inteligência artificial, a avalanche de transações remotas que fazem a circulação de dados se multiplicar a intervalos de tempo cada dia menores, expõem os usuários dos meios remotos a inúmeras fragilidades.

Dentre as muitas hipóteses de má utilização e crimes cibernéticos encontram-se vendas fictícias de bens, comercialização de cadastros, invasões de hackers, sequestro de dados, chantagem. Os meios para minimizar os riscos são acessíveis e conhecidos, ainda que algumas vezes bastante onerosos. Eles vão desde ferramentas tecnológicas de proteção – firewalls e outras, treinamento e medidas concretas de protocolo de uso de sistemas e requisitos para acesso a informações, até a contração de seguros cibernéticos.

A Lei Geral de Proteção de Dados veio ordenar, impor um ambiente mais seguro para o trânsito dos dados pessoais, e mais especificamente ainda, no que diz respeito aos dados sensíveis.

Mais do que em qualquer tempo, um vazamento de dados pode ter impactos desastrosos na vida de indivíduos, usuários ou clientes das empresas e, por sua vez, também elas poderão ser seriamente afetadas na sua credibilidade e imagem com impactos na sua sustentabilidade.

Onerosa e complexa, porém possível e necessária, a busca da capacitação de um ambiente adequado e seguro para a coleta, armazenamento e tratamento de dados nas empresas, pede a atualização dos sistemas, o desenvolvimento de mecanismos de adaptação, um profissional ou equipe qualificada para detectar e avaliar os riscos inerentes à atividade e o treinamento de todos envolvidos.

Sem reducionismos, a busca da conformidade com a LGPD, passa necessariamente por um projeto de adaptação de que deve fazer parte um programa de compliance, juntamente com um conjunto de normas de segurança da informação. Ambos só se tornarão eficazes se apoiados e adotados, sem exceção, por todos, começando pelo ocupante mais alto da hierarquia. O engajamento dos dirigentes, aconselhável em qualquer tamanho de negócio, é fundamental para a eficácia das mudanças. A criação ou atualização de um programa de compliance adequado e corretamente dimensionado às especificidades do negócio e seus riscos, como já dito é essencial.

Ainda que todas as mudanças necessárias só possam se concretizar com o correspondente investimento em TI, que será maior ou menor dependendo do nível de tecnologia e estrutura de segurança já existentes, este, por si só, não é suficiente. A estrutura de controle a ser moldada compõe-se de vários itens e, dentre eles, a adesão dos colaboradores à (intangível) nova cultura laboral tem lugar destacado.

Repete-se, o “discurso” da mudança do comportamento e busca da segurança da informação, o atendimento ao programa de compliance, não podem ficar apenas na teoria, no “dever ser” frio dos manuais. A mudança tem que ser abraçada, acolhida por todos. A valorização da segurança no tratamento de dados pessoais é também a valorização do colaborador, da sua função e do seu trabalho. A proteção dirigida no primeiro momento aos titulares dos dados, recai indiretamente sobre todos e até mesmo as pessoas jurídicas em cujos sistemas se encontram armazenados. A LGPD veio regulamentar o tratamento, sem o objetivo de impedir a transmissão e o compartilhamento, desde que observadas as boas práticas.

A escolha de desenvolver o modelo internamente ou adotar consultoria externa para o projeto de adaptação não é de maior importância e trata-se disso, escolha, conveniência da empresa. O importante é o elenco de exigências da Lei Geral de Proteção de Dados e ser bem compreendido e observado.

Todas as atualizações, desenvolvimento de novos processos e rotinas deverão ser plenamente vivenciados, literalmente, internalizados. Só assim estarão consolidadas as bases de uma nova estrutura de controle eficaz para minimização de riscos e vulnerabilidades. Sistemas atualizados, mais eficientes e pessoal treinado para lidar com o novo ambiente de tratamento da informação completam o quadro da mudança complet(x)a que os novos tempos cobram e a nova lei exige.

Quem ainda estivesse esperando o último minuto da vacatio para colocar seu “time em campo”, pode se apressar. Não se iludam com o fato das sanções administrativas, das pesadas multas previstas na lei, terem data ainda futura para entrar em vigor.

Postergada para 21 de agosto de 2021 o início de aplicação das sanções, e com a estrutura regimental e o quadro de cargos da ANPD[1] recém aprovados, sem data para a instalação e funcionamento, ainda assim os danos e prejuízos advindos da não observação da LGPD não deverão restar impunes.

Deixando de lado as incertezas temporais, vale ressaltar que é possível o questionamento individual ou coletivo junto ao judiciário por órgãos como os PROCONs ou o Ministério Público contra violações à LGPD e os danos ou prejuízos delas decorrentes.

A espera terminou. Agora é para valer!


[1] Autoridade Nacional de Proteção de Dados – ANPD, órgão competente para fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação,