Autora: Luciane Dutra Oliveira

A Lei Geral de Proteção de Dados (LGPD) ajuda ou atrapalha as ações da empresa?

O que podemos fazer para convergir interesses de negócios e não infringir uma legislação federal?

O que muda no meu negócio? O que muda na minha operação? Como me adequar?

Essas devem ser algumas perguntas que surgem na gestão de qualquer empresa, não é mesmo? Sinceramente não sei.

Nem todos provavelmente estão levando a sério uma legislação tão nova, uma vez que foi promulgada em 2018 e em setembro de 2020 entrou em vigor, porém as sanções só entraram em vigor em agosto de 2021 e o monitoramento iniciará em janeiro de 2022. Isso pode ter induzido as empresas a não se adequarem para o uso correto dos dados pessoais dos titulares de dados ou não estão adequadas e nem sabem que precisam se adequar. Em agosto de 2021 a Exame publicou uma pesquisa que após quase um ano de publicação da lei, somente 3 em cada 10 PMEs estavam adequadas à LGPD, a pesquisa da empresa de software Capterra mostra que apenas 37% das empresas estão totalmente adequadas à lei.

1. O que é a LGPD?

A Lei Geral de Proteção de Dados Pessoais é uma lei federal que entrou em vigor em agosto de 2020. Todos os CNPJs precisam se adequar a LGPD, assim ela se aplica a empresas de qualquer porte e seguimento, sem distinção. Ainda foi aprovada pelo Senado Federal em outubro de 2021 a PEC 17/2019, na qual a LGPD foi elevada ao artigo 5º da Constituição Federal como um Direito e Garantia Fundamental de todo cidadão, sendo que retroativa. O titular do dado pessoal é o dono do dado, toda pessoa física ou natural tem o direito de saber o porquê os seus dados estão sendo coletados e para qual finalidade será utilizado.

A lei não é sinônimo de consentimento, ou seja, há diversas hipóteses de tratamento de dados pessoais, comuns e sensíveis, estabelecidas na legislação que são norteados pelos princípios da finalidade e necessidade da coleta, guarda e retenção dos dados pessoais do titular. A adequação da empresa não é uma necessidade e sim uma obrigação.

A empresa deve nomear um Encarregado de Tratamento de Dados para coordenar o processo de adequação e constituir um comitê de privacidade e proteção de dados multidisciplinar para priorizar as ações de adequação à LGPD. No processo de adequação há seis passos fundamentais a serem seguidos que evidenciarão o comprometimento da empresa: conscientização, mapeamento, diagnóstico, planejamento (plano de ação), implementação e monitoramento.

Todo o incidente de violação de privacidade deve ser comunicado a Autoridade Nacional de Proteção de Dados (ANPD) que avaliará a gravidade e boa-fé do infrator para aplicar as sanções administrativas prevista na lei. As sanções podem ir de uma advertência e a empresa terá um prazo para fazer a adequação solicitada pela ANPD, multa simples 2% do faturamento bruto anual, limitada a R$ 50 milhões e chagar à proibição total e parcial das atividades relacionadas ao tratamento do banco de dados. Assim, utilizar os dados pessoais para a finalidade específica e adequar a empresa, denota uma boa alternativa para transparência dos negócios.

• Como utilizar a LGPD a favor dos negócios

A lei não veio para atrapalhar as empresas, na verdade ela foi aprovada para regular o direito do titular do dado pessoal, comum e sensível, de pessoa física ou natural. A empresa não é dona do dado das pessoas e não pode utilizar sem ter uma finalidade específica e uma necessidade explicita para sua coleta, retenção e descarte dos dados dos titulares dos dados. Assim, ela não dificulta as ações de vendas e marketing, ela regula a operação e uso desses dados e tem o objetivo de dar maior segurança da informação dentro das empresas.

Recentemente tivemos o caso de sequestro dos dados das Lojas Renner, segmento do vestuário de departamento, noticiado em todo o mundo e que repercutiu negativamente para os acionistas, clientes e mercado sinalizando uma empresa com baixa segurança da informação. Isso causa um dano a reputação da empresa e prejuízo na operação. Assim, investimento em privacidade e proteção de dados pessoais é uma forma de demonstrar para stakeholders e shareholders, além de sociedade e mercado.

Adequar a empresa aos preceitos da legislação pode evitar perdas financeiras e comprometimento da reputação e imagem. Outro exemplo de dano a reputação e consequente perda financeira, foi o caso da empresa CVC, companhia de viagem, ficou fora de operação por mais de 10 dias por ter perdido os dados de todos os clientes, sofreu um ataque cibernético, falhou o backup de sistema e ainda ficou suscetível a uma invasão por crakers.

• Benefícios da implantação da LGPD

Alguns benefícios são percebidos pelas empresas que se adequaram a nova legislação e estão em processo de monitoramento. Um dos principais ganhos é uma transparência junto às partes interessadas da imagem e reputação da empresa. Ser reconhecido no mercado como uma empresa segura e confiável, torna o negócio mais atrativo.

Assim, a empresa demonstra o comprometimento com a segurança dos dados e tende a refletir em todos os processos da empresa, passando ao titular uma sensação de proteção. Estabelece a confiança do titular com a empresa com a publicação de política de proteção e boas práticas que envolva o titular dos dados pessoais. Métricas de processos e pessoas e protocolos de respostas a incidentes atualizado continuamente. É obrigação da empresa facilitar os acessos dos titulares dos dados aos seus dados na empresa.

Além de tornar a empresa mais transparente no tratamento de dados pessoais, a adequação à legislação fortalece a governança corporativa com revisão ou criação de processos, implantação ou revisão de controles e estabelecimento de métricas de avaliação, pois demonstra a efetividade da governança de dados vinculada a governança corporativa.

Conclusão

Nesse artigo não se pretendeu esgotar as discussões e visões acerca da adequação das empresas de qualquer porte e seguimento à LGPD, pois não é com a legislação que todos os problemas de privacidade e proteção de dados pessoais serão resolvidos, uma vez que a própria lei necessidade de regulamentação complementar em diversos dos seus dispositivos.

Entretanto podemos refletir sobre a baixa adequação das empresas até o mês de agosto de 2021 e incidentes de violação de privacidade continuam ocorrendo e são obrigatórios de divulgação. Não obstante, as melhorias de processos nas empresas é um dos benefícios mais evidente com o advento da lei, uma vez que torna a governança corporativa mais necessária, pois precisa haver uma governança de dados para que se tenha uma segurança da informação mais adequada e transparente.

Portanto não podemos esquecer que novas profissões serão alavancadas com essa lei, uma vez que todas as empresas terão de ter profissionais como DPO (Data Protection Officer), na LGPD significa Encarregado de Proteção de Dados, consultores, auditores, compliance de LGPD e outras tantas que serão valorizadas para uma adequação aderente à legislação. Será que os profissionais de diversas áreas do conhecimento estão percebendo a oportunidade no mercado de trabalho que a lei está proporcionando, pois não há necessidade de formação específica para ser DPO no Brasil.