A Lei Geral de Proteção de Dados, Lei nº 13.709/18, conhecida como LGPD, entrará em vigor em agosto de 2020, trazendo um conjunto de princípios, regras, direitos e sanções a respeito do tratamento de dados pessoais.
Para entender melhor como a LGPD pode impactar sua organização, é preciso compreender alguns conceitos trazidos pela lei.
O primeiro ponto importante é esclarecer que a lei se aplica às pessoas naturais ou jurídicas de direito público ou privado que realizarem qualquer operação de tratamento de dados pessoais. A exceção fica por conta das pessoas naturais que tratarem dados sem qualquer finalidade econômica ou comercial, como o uso de uma agenda telefônica, por exemplo. Nesses casos não há a incidência da norma.
Nos termos da lei, considera-se dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável. Tratamento de dados, por sua vez, é definido como qualquer operação realizada com dados, como coleta, classificação, utilização, acesso, reprodução, transmissão, processamento, arquivamento, armazenamento, eliminação, transferência ou extração. Assim, se a atividade envolver dados pessoais, será considerada tratamento.
A edição de uma norma tratando do tema era medida necessária para que o Brasil fosse reconhecido na comunidade internacional como nação preocupada com a proteção de dados pessoais e privacidade.
Com efeito, em um mundo cada vez mais digitalizado e globalizado, a ausência de um ordenamento regulando o setor poderia funcionar como verdadeira barreira comercial a tratamentos transnacionais, o que poderia representar prejuízos importantes às empresas brasileiras.
O valor que o dado pessoal representa no mercado mundial é tão significativo, que é comum ouvirmos a expressão “dado é o novo petróleo” (data is the new oil). Essa expressão é baseada nos inúmeros proveitos econômicos que podem ser extraídos do uso dos dados pessoais. Assim, muito mais interessante do que ser excluído da comunidade nacional como parceiro de negócios, é adequar-se aos ditames da LGPD, que é bastante alinhada ao regulamento europeu (Regulamento Geral de Proteção de Dados, GDPR).
No entanto, os dados pessoais possuem também outro aspecto econômico a ser considerado, relacionado ao prejuízo financeiro que o seu mau uso pode ocasionar.
De fato, um estudo realizado pela empresa IBM[1] com profissionais de TI, proteção de dados e compliance de empresas que teriam sofrido violações de dados ao longo de 12 meses (2018), trouxe informações bastante impactantes:
- US$ 3,86 milhões é o custo médio de uma violação de dados.
- US$ 148 é o custo médio por dado perdido ou roubado.
- US$ 14 por registro é a economia média de custos com uma equipe de resposta a incidentes.
Ainda nesse sentido, um caso bastante notório e emblemático é o envolvendo a aquisição da Yahoo pela Verizon, em 2016. Um mês após o fechamento do acordo, foi noticiado um grande vazamento de dados da Yahoo, ocasionando redução no valor da empresa adquirida na ordem de U$ 350 milhões[2].
E se todos esses fatores ainda não fossem suficientes para nos convencer de que o cuidado com o tratamento de dados pessoais é medida que se impõe, a LGPD ainda traz punições bastante gravosas para o tratamento realizado em desconformidade com os seus ditames, trazendo multas severas para as infrações consideradas mais graves.
Por essas razões, é que as empresas devem procurar desde já sua adequação, que começa com estabelecimento de uma estrutura de governança em proteção de dados em que todos os colaboradores de uma organização estejam engajados.
Nesse sentido, é preciso que a instituição crie uma política de proteção de dados, contendo todos os fundamentos da governança a ser instituída. Assim, devem estar presentes as diretrizes, procedimentos internos, padrões de resposta a incidentes, avaliações de riscos de novos projetos, classificação dos dados pessoais, procedimentos de exclusão de dados e outros pontos que a instituição considerar relevantes.
Criada a política de proteção de dados, é importante definir e distribuir responsabilidades e incumbências internas para que haja controle sobre a real aplicabilidade do programa, evitando programas robustos mas sem nenhuma efetividade.
A Lei Geral de Proteção de Dados determina que o controlador e o operador mantenham registros das operações dos tratamentos de dados pessoais que realizarem. A atividade é uma excelente forma para a empresa ter a consciência de todos os tratamentos que realiza, sendo atividade essencial para a adequação.
Para a conformidade, a empresa deve fazer o mapeamento dos tratamentos de dados realizados, considerando os dados em todo o seu ciclo de vida: desde a coleta, usos, transferências, até sua eliminação (data mapping).
Com o data mapping é possível identificar se existem abusos nos tratamentos, ou se somente os dados necessários são coletados para a finalidade proposta. Da mesma forma, consegue-se saber se as bases legais usadas são adequadas para determinadas finalidades, ou se na verdade não há base que justifique o tratamento do dado coletado. O mapeamento permite, ainda, identificar as áreas de maiores riscos no tratamento de dados de cada organização e as que demandam mais cuidados e ações.
A LGPD também traz a necessidade de o controlador indicar um encarregado pela proteção de dados pessoais (Data Protection Officer ou DPO), que poderá ser pessoa natural ou jurídica. O DPO funcionará como ponto de conexão entre a empresa, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD). Apesar de a lei não exigir, o encarregado deve ter bons conhecimentos jurídicos e de governança, devendo também transitar bem em todas as áreas da empresa.
Por fim, a organização deve estar em conformidade com a LGPD de forma ampla, o que significa que todos os setores que tratarem dados pessoais deverão se adequar aos termos da lei, como por exemplo, marketing, RH, jurídico, compliance, vendas, relacionamento com cliente e SAC. É um erro comum no processo de adequação focar todos os esforços em apenas uma área que a direção da empresa acredita ser o mais problemático. A conformidade deve ser ampla e irrestrita.
É bem verdade que nenhuma empresa está completamente blindada em relação a incidentes de segurança. Com efeito, por mais cuidadosa e efetiva que tenha sido a implementação da política de proteção de dados e privacidade, sempre haverá vulnerabilidades envolvendo dados pessoais. Contudo, tomando as devidas precauções, essa vulnerabilidade pode ser sensivelmente minimizada. Além disso, uma empresa preparada saberá até mesmo como minimizar os efeitos desses incidentes ocorridos, agindo inclusive para atenuar eventuais sanções.
[1] https://www.ibm.com/downloads/cas/861MNWN2
[2] https://www.bankinfosecurity.com/yahoo-takes-350-million-hit-in-verizon-deal-a-9736