Entenda o passo a passo do processo de adequação

A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709, de 14/8/2018), que entrou em vigor em 18 de setembro de 2020, trata da sistematização da utilização de dados pessoais no âmbito nacional, seja física ou eletronicamente, e trouxe significativos impactos para o dia a dia das empresas e órgãos governamentais. 

Esse tema, no entanto, não é novo, na medida em que decorre da própria Constituição Federal, quando esta cuida em tutelar os direitos fundamentais à intimidade e privacidade (art. 5º, inciso X da Constituição Federal), além de já ter sido abordado de forma indireta em legislações diversas, como a Lei de Acesso à Informação e Código de Defesa do Consumidor, por exemplo. 

O advento da LGPD insere o Brasil no seleto grupo de nações que, diante do vertiginoso processo de globalização mundial, põe em destaque a preocupação com os dados das pessoas físicas, dispondo, em um único regramento, sobre diretrizes gerais para a coleta, processamento e armazenamento de dados pessoais.

A importância da LGPD não restringe seu espectro de relevância à proteção dos dados pessoais e da privacidade. Ela também é importante para as próprias empresas que, de algum modo, no desenvolvimento de suas atividades e no exercício do direito constitucional da Livre Iniciativa (art. 170 da CF/88), realizam coleta, tratamento ou armazenamento de dados pessoais. Em outras palavras, a LGPD representa para as empresas a segurança jurídica para exercício de suas atividades, a partir do estabelecimento de diretrizes claras, específicas e definição de direitos e obrigações, além da criação de uma autoridade dedicada ao assunto (Autoridade Nacional de Proteção de Dados – ANPD).

Portanto, a primeira conclusão a que se pode chegar é a de que a LGPD se propõe a equalizar direitos e obrigações entre pessoas naturais detentoras de dados pessoais e as empresas e/ou governos que destes se utilizam de alguma forma no exercício de suas atividades equilibrando proteções constitucionais conferidas a ambos os lados.

Nesse contexto geral de mudança de comportamento empresarial para adequação à Lei, é certo dizer que há impactos significativos para as empresas, sobretudo para empresas de médio e pequeno porte. Além dos custos envolvidos, uma vez que, na maioria das vezes, se faz necessária a contratação de consultorias especializadas no assunto, a própria adaptação, mudança de processos internos, adoção de medidas de segurança física e cibernética e a carência de conscientização sobre o tema, tornam o processo de adequação ainda mais difícil.

De fato, a entrada em vigor da LGPD trouxe preocupações e dúvidas que o próprio tema concentra em torno da privacidade, já que não existe no Brasil até então uma cultura de proteção de dados pessoais.

É comum ouvir de empresários, sobretudo pequenos e médios, e de gestores em geral, questionamentos sobre os próprios aspectos globais da Lei. São bastante corriqueiras questões como: o que é a LGPD? O que são dados pessoais? Por que os proteger? Como devo começar? Quais os impactos se eu não me adaptar?

A meu ver, felizmente, esse não é todo o cenário. Embora com um enorme desafio pela frente para sociedade, empresas e governos promoverem a propagação da cultura da proteção de dados e a conscientização das pessoas para o valor e importância deles, a Lei veio para impulsionar negócios, promovendo racionalidade e transparência no trato de dados pessoais, e trazendo, sim, oportunidades e vantagens competitivas para aquelas empresas que se adequarem.

Além disso, a proteção dos dados pessoais tende a se consolidar como importante ativo empresarial intangível. Na era da informação, estar em conformidade com a proteção de dados pessoais, mantendo relações transparentes, informadas e livres (art. 6º da LGPD), será cada vez mais valorizado pela sociedade e, principalmente, pelo mercado em todos os seus níveis. 

Diante de tudo isso, é natural o empresário se perguntar: E agora? Quais os passos a seguir para adequar minha empresa? Por onde começar?

A princípio, é importante não perder tempo. Em que pesem, as sanções punitivas previstas na LGPD só começam a valer a partir de 1º de agosto de 2021 – e são multas pesadas, diga-se, podendo chegar a cinquenta milhões de reais, ou a 2% do faturamento anual das organizações – o processo de adequação requer tempo e dedicação. Ainda que não corra o risco de penalidades administrativas por enquanto, as empresas podem ser demandadas por clientes, colaboradores, fornecedores e órgãos fiscalizadores em geral pelo atendimento à LGPD, sendo possível, inclusive, a judicialização de pedidos não atendidos ou atendidos inadequadamente, bem como a responsabilização por vazamentos e uso indevido de dados.

Seguindo as melhores práticas aplicáveis, é possível estabelecer como principais etapas do processo de adequação à Lei, resumidamente:

I. Diagnóstico

O ponto de partida de um exitoso processo de adequação é, sem dúvida, o “autoconhecimento” da organização através do mergulho nas operações da empresa para:

(a) Identificar situações de tratamento de dados pessoais, sendo relevante mapear: processos que envolvam o tratamento de dados pessoais, quais e que tipos de dados são tratados, qual é o ciclo de vida dessas informações, onde e como estão armazenados os dados, para quais finalidades são tratados, quais os fluxos destes dados e quem são as pessoas envolvidas no processamento de dados pessoais;

(b) Elaborar o Inventário de Dados, o Fluxo de Dados da empresa e o Registro das Operações de Tratamento de Dados Pessoais por ela conduzidas;

(c) Identificar as obrigações de privacidade aplicáveis à empresa, previstas nas regulações e legislações de privacidade aplicáveis à atividade empresarial que desenvolve, e verificar seu nível de adequação diante das informações obtidas no diagnóstico;

(d) Identificar as bases legais aplicáveis, com base no mapeamento das atividades de tratamento de dados pessoais realizadas. A empresa deve definir qual é a base legal, dentre as dez previstas para dados pessoais (art. 7° da LGPD), e as oito para dados pessoais sensíveis (art. 11), que autoriza a condução que cada uma das operações de tratamento performadas pela empresa;

(e) Avaliar os Controles e analisar o Risco de Privacidade e Segurança. As empresas devem identificar os riscos de privacidade aos quais estão sujeitas, e quais os controles necessários para mitigá-los;

(f) Avaliar os principais instrumentos contratuais da empresa e identificar possíveis necessidades de alteração para fins de adequação à LGPD.

II. Implementação

Superada a fase de diagnóstico e, diante de uma visão clara e suficientemente fiel de toda a organização, há de se detectar quais são as ações que necessitam ser tomadas para sua adequação às obrigações presentes na LGPD, traçar um cronograma para a condução destas ações, e definir prazos e responsáveis por cada uma delas:

(a) iniciar a implementação das ações pertinentes;

(b) Designar um “encarregado pelo tratamento de dados pessoais” (DPO), conforme seja o caso (este pode ser interno ou externo);

(c) Elaborar as políticas e procedimentos pertinentes como:

• Procedimentos de resposta a incidentes de segurança;
• Procedimento de resposta à requisição de titular ou da ANPD;
• Políticas de Privacidade e Segurança da Informação;
• Implementação de soluções de segurança da informação;
• Revisão de cláusulas contratuais;
• Condução de treinamentos e atividades de comunicação com as partes pertinentes etc.

III. Monitoramento

Uma vez concluída a implementação das mudanças necessárias ao processo de adequação, é preciso que a empresa concentre esforços no monitoramento das ações, de sorte a garantir o aperfeiçoamento dos processos, promovendo a melhoria contínua. 

Diante de todo exposto, nota-se que a adequação à LGPD é, mais que uma necessidade legal, uma oportunidade e diferencial competitivo de mercado, que pode capitalizar o valor do negócio frente ao seu público e a todos os parceiros comerciais. 

Além disso, vê-se também, que a adequação é um processo desafiador e demanda comprometimento conjunto da organização, desde os mais altos níveis de gestão a todos os seus colaboradores, indistintamente. O nível de engajamento da alta gestão no projeto de adequação, aliás, é um dos principais fatores de sucesso, juntamente com a promoção do conhecimento a todos os colaboradores, por meio de campanhas de comunicação e treinamentos. 

Portanto, esse esforço de mudança cultural acerca da importância da proteção à privacidade, aos dados pessoais e segurança da informação, deve ser propagado desde a mais alta direção da empresa, atingindo todos os seus níveis organizacionais. 

No caso do Grupo Aço Cearense, a título de contextualização, o projeto de adequação à LGPD, iniciado em outubro de 2020, segue, atualmente, para a conclusão da fase de diagnóstico e início da fase de implementação. É capitaneado pela Diretoria Jurídica, com patrocínio da Presidência e das Vice-Presidências do Grupo, e envolve equipe multidisciplinar composta, além do Jurídico, pelas áreas de Tecnologia da Informação e Recursos Humanos, com apoio técnico da consultoria especializada Daryus.

Por Maju Ferreira (Diretora Jurídica do Grupo Aço Cearense, graduada em Direito, pela Universidade de Fortaleza (UNIFOR), com pós-graduação em Direito Processual do Trabalho, Penal, Civil e Tributário, pela Faculdade Christus. Possui 26 anos de experiência profissional, exercendo atividades de advocacia e assessoria jurídica).