O Brasil ainda não… Mas, precisamos nos preparar, senão nós seremos multados.
Se procurarmos sua origem, podemos dizer que tudo começou com a popularização da Internet em 1992, ou se quiser retroagir mais um pouco se pode dizer ter começado em 1890 com o artigo publicado sobre o direito de privacidade, ou de ser deixado em paz.
Avançando em 2014, ocorreu a Promulgação do Marco Civil da Internet e em 2018, a aprovação da Lei Geral de Proteção de Dados (LGPD) , que nesse ano já entrou em vigor nos países membros da Comunidade Europeia e na Califórnia.
De fato, teve início no Brasil em 2010 os debates sobre proteção de dados e em 2012 apresentaram o Projeto de Lei 4060, decorrente do V Congresso Brasileiro da Indústria de Comunicação. Posteriormente tivemos o PLS 181/2014 e finalmente a Secretaria Nacional do Consumidor do Ministério da Justiça pôs em debate público a elaboração de um anteprojeto de lei constando muitas contribuições nacionais e internacionais e seu texto final foi apresentado em outubro de 2015 culminando com a Lei 13.709/18.
Porém, é evidente que o Brasil não está preparado para a LGPD, o que pode gerar sansões às empresas que não cumprirem tal dever. Mas, o pior não é a multa, que atinge valores elevadíssimos, o pior de tudo é não garantir a privacidade de dados, podendo sofrer prejuízos maiores, como a perda da credibilidade no mercado, a confiança de seus clientes e a força de sua marca, como ocorrido recentemente com o vazamento de dados pessoais de 220 milhões de brasileiros, cuja investigação está sendo processada.
Pesquisa da RD Station mostrou que as empresas não estão conseguindo se adequar às novas exigências da Lei Geral de Proteção de Dados. Sua apuração demonstrou que das quase mil pesquisadas, das quais houve participação de 93% delas, o montante de 85% não estão adequadas.
Devemos estar em Compliance com a LGPD adequando sua empresa, tomando as seguintes medidas:
1 – Montar um comitê composto de pessoal especializado do TI, do Comercial, do Marketing, do Jurídico, do financeiro e outros que lide com dados online e off-line;
2 – Definir a chefia do “Data Protection Officer (DPO)”, pessoa física representando o encarregado entre os titulares do banco de dados, a empresa e a fiscalização, e que deve ter uma boa formação interdisciplinar, se entendendo que pode ser terceirizado;
3 – Estando com esse comitê formado e o encarregado do DPO, ambos devem se encarregar de analisar criticamente a empresa para iniciar sua jornada da LGPD.
4 – Adequar os procedimentos para estarem em Compliance com a LGPD, conforme dispões o artigo 7º:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – mediante o fornecimento de consentimento pelo titular; II – para o cumprimento de obrigação legal ou regulatória pelo controlador; III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (alterado pela Lei 13.853/19); IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. § 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. § 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei. § 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei. § 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular. § 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei. (incluído pela Lei 13.853/19) |
5 – Processar continuamente a manutenção da proteção de dados, tentando torná-los anonimizados.
Também e finalmente alertamos ser importante relatar que o Compliance não é uma obrigação de uma área da Pessoa Jurídica. É uma obrigação de toda ela completa.
Podemos sintetizar da seguinte forma tais procedimentos:
1 – Inventariar
2 – Classificar identificando sua aderência à LGPD
3 – Adequar os processos e os sistemas de segurança
4 – Conscientizar e responsabilizar os envolvidos
5 – Gerir e atender os direitos dos titulares.