Inspirada em legislação europeia, a Lei Geral de Proteção dos Dados (LGPD) deve ser encarada não como mera obrigação, mas como oportunidade para fortalecer a credibilidade e a reputação das marcas.
O levantamento mais recente feito no Brasil, realizado em agosto de 2019 pela Serasa Experian, constatou que 85% das empresas brasileiras ainda não se preparam para as regras previstas pela Lei nº 13.079/18, conhecida como LGPD. “A LGPD resgata o valor da privacidade do cidadão, estabelecendo novos direitos e obrigações às empresas e a todos aqueles que tratem dados pessoais”, explica o representante do Senado Federal no Conselho Nacional de Proteção de Dados e Privacidade, Fabrício da Mota Alves.
Organizações que não cumprirem as regras poderão ser penalizadas com sanções que abrangem desde advertências a multas de até 2% do faturamento empresarial (valor limitado a R$ 50 milhões por infração). As normas, no entanto, têm efeito prático que vai muito além das punições, pois podem ter reflexos positivos sobre a credibilidade das marcas.
Um estudo realizado pela consultoria Capgemini sobre os efeitos da General Data Protection Regulation (GDPR, legislação semelhante em vigor na União Europeia desde 2018), constatou que apenas 28% das organizações europeias adequaram-se à lei. Dessas, 81% observaram impacto positivo em reputação e imagem de suas marcas e 92% relataram ganho de vantagem competitiva.
“A LGPD vem como um reflexo da GDPR”, contextualiza o secretário-geral da Comissão de Direito Digital, Tecnologias Disruptivas e Startups da Ordem dos Advogados do Brasil do Distrito Federal (OAB/DF), Alisson Possa. “Os direitos criados geram obrigações legais para as empresas, que devem estar preparadas para assegurar que os titulares de dados possam exercer seus direitos, além de garantir um padrão mínimo de segurança para evitar acessos não autorizados”, acrescenta.
Identificando dados sensíveis
A LGPD protege todos os dados pessoais, que são definidos como sendo informações relacionadas à “pessoa natural identificada ou identificável”. Isto é, “não só dados que identificam diretamente um indivíduo, como nome e CPF, são abarcados pela lei, mas também dados que possam identificar em um determinado contexto”, ressalta Possa.
Outro conceito fundamental trazido pela legislação é o de dados sensíveis, descritos como informações sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Para que a companhia consiga se adequar às regras, é essencial que faça um mapeamento de todos os dados pessoais capturados e utilizados nos processos, incluindo as informações dos funcionários. “Importante destacar que não só os dados pessoais armazenados digitalmente são protegidos pela LGPD, mas, também, os dados pessoais armazenados fisicamente”, diz Possa.
“Existem ferramentas tecnológicas disponíveis no mercado para o mapeamento dos dados, mas, a depender da complexidade da organização, uma simples planilha pode ser útil”, observa Alves, recomendando que as informações sejam mapeadas e categorizadas com o objetivo de identificar quais são os dados sensíveis e de que jeito precisam ser preservados.
Alves reforça que os mesmos cuidados devem ser exigidos na contratação de terceiros que possam ter acesso a dados sensíveis, como prestadores de serviços de recursos humanos, tecnologia da informação, contabilidade, marketing, etc.
O secretário-geral da Comissão de Direito Digital, Tecnologias Disruptivas e Startups da OAB/DF lista cinco medidas que empresas de qualquer porte podem adotar para se ajustar à LGPD.
1. Mapeamento de processos: analise os dados pessoais que a empresa captura dos funcionários, clientes e parceiros, verificando como essas informações são armazenadas e utilizadas.
2. Análise de adequação: entenda os requisitos da lei, identificando questões como finalidade do processo, base legal, riscos do tratamento e medidas de mitigação.
3. Análise jurídica-contratual: delimite contratualmente as responsabilidades da empresa e as dos parceiros, determinando o papel de cada um nos processos.
4. Treinamentos: invista em treinamentos periódicos para conscientizar seus funcionários.
5. Segurança tecnológica: adote mecanismos de proteção contra malwares, spywares e ataques através de phishing.