LGPD. O QUE É IMPORTANTE SABER SOBRE A LEI GERAL DE PROTEÇÃO DE DADOS

LGPD é a sigla que representa Lei Geral de Proteção de Dados, mais especificamente, a Lei 13.709/2018, que por diversos motivos, teve a sua implementação protelada, acontecendo parcialmente em 1 de Agosto de 2020, ainda sem as penalidades, que foram adiadas por um ano, e em 1 de Agosto de 2021, finalmente, começaram a vigorar.

Na prática, agora a LGPD está completa, e os julgadores, quando entenderem adequado, poderão aplicar sanções que vão de advertência, até 2% do faturamento anual do infrator, ou 50 milhões de reais, o que for maior.

Se assustou?

Deveria!

A LGPD trata do direito das pessoas em terem seus dados preservados e protegidos por quem é de responsabilidade.

Quando você realiza uma operação qualquer, normalmente comercial, a empresa solicita suas informações pessoais, dados como nome, endereço, números de documentos, como CPF, RG, informações socioeconômicas, como renda, profissão, além de hábitos de comportamento e consumo.

Tudo isto chama muito a atenção de outros empreendimentos interessados em direcionar campanhas publicitárias e de marketing.

O que ocorria até agora é que pessoas de dentro das empresas acabavam fornecendo bases de dados para estas ações de marketing e outros fins, e para isto a LGPD surgiu.

Vamos mostrar o que é efetivamente importante na LGPD, sua amplitude, formas de aplicação e o que as empresas precisam fazer, minimamente, para estarem adequadas ao que ela determina.

LGPD. Proteção e tratamento profissional de dados

LGPD trata de informações sensíveis das pessoas, esta é a denominação técnica e legal para classificar um grupo de dados que possuem potencial críticos se forem descuidados ou tratados com indiferença.

Considere que as campanhas de marketing já são massivas e não fazemos ideia de como aquele telemarketing ou aqueles anúncios magnéticos vieram parar na nossa frente.

Agora imagine que estas campanhas não sejam o problema principal, e que os seus dados sensíveis, vão parar na mão de golpistas, que de posse deles, passem a aplicar golpes diversos em seu nome, com suas informações, gerando problemas e prejuízos de todos os tipos.

A tecnologia fez a comunicação avançar, numa velocidade exponencial, mas os hábitos, costumes e leis não acompanharam este progresso e suas consequências começaram a ganhar cada vez mais corpo.

Correndo atrás de tudo isto, primeiro foi a Europa, que saiu na frente, e já esparrama multas expressivas em todo o continente desde 2018, com a GDPR (General Data Protection Regulation), a inspiração básica para a nossa LGPD.

Existem diferenças, é claro, afinal, não somos a Europa (infelizmente), e uma destas diferenças está nas punições, que podem chegar facilmente aos 20 milhões de Euros ou 4% do faturamento anual do infrator, o que for maior.

Não pense que a LGPD foi promulgada e entrou em vigor porque nossos representantes políticos são visionários, bonzinhos e estão preocupados com a integridade dos dados dos nossos cidadãos.

A verdade é que, se o Brasil não criasse mecanismos aceitáveis para lidar com a proteção de dados, seria alijado de muitos e importantes acordos comerciais, de transferência de tecnologia, acertos econômicos, vantagens que só quem possui a adequação continuará usufruindo.

De qualquer maneira, a LGPD está aí e veio para ficar, independente da qualidade de nossos políticos, até porque a participação do Brasil na sociedade mundial não depende apenas da criação da LGPD, mas da forma como ela será aplicada, algo que será avaliado pelos órgãos internacionais competentes, que determinarão a qualidade de nossas políticas de proteção de dados.

A LGPD foi promulgada em 14 de Agosto de 2018, com o princípio de proteger os dados das pessoas, sensíveis ou não, com finalidades bem específicas, previstas na lei:

• Respeito à privacidade;
• Autodeterminação informativa;
• Liberdade de expressão, informação, comunicação e opinião;
• Inviolabilidade da intimidade, honra e imagem;
• Desenvolvimento econômico, tecnológico e de inovação;
• Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais.

A inspiração, já sabemos, é a GDPR europeia e de lá foram copiados os seguintes aspectos essenciais:

• Princípios de responsabilização;
• Prestação contínua de contas sobre os dados;
• Apresentação clara de finalidade legítima;
• Adequação aos parâmetros de segurança;
• Clareza na demonstração de necessidade daqueles dados;
• Capacidade de prevenção contra vazamentos;
• Total eliminação de qualquer espécie de discriminação;
• Garantia assegurada ao proprietário dos dados, de livre acesso ao gerenciamento ou eliminação de suas informações, a qualquer tempo.

Estas determinações nascem diretamente do ventre das conhecidas Key Issues, que estão descritas da GDPR, e de forma objetiva, se referem a Privacy Impact Assesment, Processing, Record of Processing Activities, Right of Access e Right to be Forgotten and Informed.

No que se refere ao controle e tratamento dos dados das pessoas, a LGPD é bastante restritiva.

Se esta captura e tratamento se dá exclusivamente em operações nacionais, então a LGPD é o parâmetro legal de controle.

Se a operação se dá com alguma relação internacional, especialmente a Europa, então a empresa também precisa se retratar ao que determina a GDPR.

De qualquer forma, o que se consegue perceber claramente é que parece se construir uma verdadeira malha internacional que ajusta a necessidade de cuidado cada vez maior com o tratamento dos dados que circulam nas empresas.

O elevado grau de conectividade explica toda esta conjunção, pois de nada adianta uma determinada nação prezar pelo cuidado extremo com os dados das pessoas, se em suas relações com outras nações existem pontas soltas que permitam o vazamento.

O positivo disto tudo é que resta cada vez menos espaço para situações como o tal “jeitinho brasileiro”.

LGPD e ANPD. O que significa

ANPD é Autoridade Nacional de Proteção de Dados, criada por Medida Provisória número 869, que foi convertida na Lei 13.853/2019, originalmente nascida em 27 de Dezembro de 2018, coladinha na Lei 13.709/2018 (LGPD).

A ANPD só existe para cuidar de tudo o que se refere à LGPD.

Sua atribuição principal é fazer a lei ser cumprida, mantendo o Brasil em compliance com o Regulamento Geral sobre a Proteção de Dados, algo que se não ocorrer, inviabiliza a maioria das operações brasileiras com a União Europeia.

A estrutura da ANPD é composta por seu diretor, que gerencia um grupo técnico, formando o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.

A ANPD também conta com ouvidoria e corregedoria.

Do conselho diretor da ANPD o Presidente da República é responsável pela nomeação de 5 membros., que assumirão o posto depois de sabatina e aprovação pelo Senado Federal, com suas ações preservadas em lei, incluindo no que se refere à sua destituição eventual, para que estejam livres de interferência política.

O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é formado por 20 membros, com 5 provenientes do governo, 3 da sociedade civil, 3 da comunidade científica, 3 da produção, 1 do Senado Federal, 1 da Câmara dos Deputados, 1 do CNJ, 1 do CNMP e 1 do Comitê Gestor da Internet, além de 1 representante dos empresários e mais 1 dos trabalhadores, com mandato padrão de 2 anos, para todos.

As atribuições da ANPD estão bem claras e definidas no Artigo 55 da Lei nº 13.853/2019 e são as seguintes:

• Zelar pela proteção dos dados pessoais, nos termos da legislação;
• Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei;
• Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
• Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
• Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
• Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança
• Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
• Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
• Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
• Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
• Solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento da LGPD;
• Elaborar relatórios de gestão anuais acerca de suas atividades;
• Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
• Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
• Arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
• Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
• Celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
• Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
• Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos da LGPD e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
• Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
• Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
• Comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
• Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
• Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

A mesma lei que define as atribuições, também define as sanções envolvidas no processo de controle e proteção de dados:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Multa diária, observado o limite total a que se refere o inciso acima;
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;

Agravantes ou atenuantes considerados pelo conjunto de sanções da lei:

• A gravidade e a natureza das infrações e dos direitos pessoais afetados;
• A boa-fé do infrator;
• A vantagem auferida ou pretendida pelo infrator;
• A condição econômica do infrator;
• A reincidência;
• O grau do dano;
• A cooperação do infrator;
• A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
• A adoção de política de boas práticas e governança;
• A pronta adoção de medidas corretivas;
• A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

O que significa legítimo interesse…

A LGPD carrega em si o conceito de legítimo interesse, que significa que qualquer tipo de dado pessoal é de interesse prioritário e exclusivo de seu proprietário, ao menos na visão europeia.

Enquanto a Europa considera legítimo interesse o que está conectado ao marketing direto, no Brasil a visão é muito mais ampla.

Qualquer ação que gere tráfego, armazenamento ou controle de dados pessoais é considerada legítimo interesse, sendo, portanto, mais completa que a versão europeia.

Aqui podemos incluir os principais, como marketing direto, marketing digital, marketing de relacionamento, marketing de influência e qualquer outro tipo de ação de mercado que envolva captação e tratamento de dados.

Não pense, no entanto, que o legítimo interesse está associado apenas ao marketing, o que seria um erro.

Se alguém compra um produto e passa seus dados para fins de preenchimento de uma nota fiscal, por exemplo, ou emissão de coordenadas de entrega, estas informações também são consideradas de legítimo interesse, embora não sejam propriamente conectadas com o marketing.

O que significa dados sensíveis…

O mais comum em termos de dados, são os pessoais, aqueles mais cotidianos, como nome, data de nascimento, endereço, profissão, documentos e por aí vai.

Para a LGPD esta abrangência é muito mais profunda e ela trabalha com o que considera dados pessoais sensíveis.

O Artigo 5º da Constituição define que dados sensíveis são os que definem o indivíduo como ente social e seus posicionamentos.

Mais objetivamente, dados sensíveis se referem a…

1. Origem racial ou étnica;
2. Convicção religiosa;
3. Opinião política;
4. Filiação sindical ou religiosa;
5. Filosofia e política;
6. Saúde e sexualidade;
7. Genética e biometria.

A relevância deste grupo de informações é tão ou mais importante que os dados pessoais simples, pois se relaciona com outros aspectos legais relevantes, como a discriminação, por exemplo.

É neste tópico que especialistas apontam que deverão recair as penalidades mais pesadas da LGPD quando de sua aplicação prática.

Independente destas percepções, a verdade é que a delicadeza destes dados é tanta, que a LGPD trata com especial cuidado destes aspectos, já em seu Artigo 11º onde refere que estes dados podem ser tratados “livremente” (Só que Não… pois isto significa tudo, menos que é livre, já que o monitoramento é rigoroso demais).

São tão cerceados que só existem duas hipóteses em que estes dados estão liberados para tratamento…

1. Com o consentimento do titular dos dados: A empresa ou marca pode tratar os dados do titular sempre que conte com a autorização expressa para isto, sem dispensar que todas as determinações da lei sejam rigorosamente cumpridas;
2. Sem o consentimento do titular dos dados: A LGPD determina 7 possibilidades expressas para o tratamento dos dados sensíveis sem a autorização por parte do titular:
   1. Cumprimento de ação legal ou regulatória: Existe esta possibilidade de tratamento dos dados sensíveis, sempre que o objetivo seja o cumprimento de lei ou regulamento, o que autoriza o ente público ou privado a realizar o processamento destas informações, obviamente cumprindo todo o restante das determinações gerais da lei;
   1. Compartilhamento de informações geosociais para aplicação de políticas públicas legais e regulamentares: Quando órgãos governamentais precisam conhecer o perfil social da população para trabalhar com as políticas públicas definidas nas leis, que estejam associadas a aspectos como sexualidade, raça, gênero e outras classificações sociais;
   1. Pesquisas e estudos geosociais: Realização de estudos estatísticos do perfil social e geográfico de regiões;
   1. Exercício legal de direitos: Cumprimento de aspectos legais, relacionados com a Lei nº 9.307/1996, Lei de Arbitragem, que determina o cumprimento e execução de contratos;
   1. Proteção da vida e integridade física do titular: Respeitando o princípio do ônus da prova da necessidade de tratar os dados sensíveis, casos em que o titular esteja com sua integridade em risco, liberam os processamentos, mesmo que o titular não conheça ou perceba estes riscos;
   1. Tutela de saúde: Direito de acesso e tratamento dos dados sensíveis apenas para profissionais da saúde ou da área sanitária, para execução de políticas globais de saúde, o que deixa evidente que não basta contratar um enfermeiro para poder lidar com os dados, já que a autorização sem consentimento se refere especificamente à aplicação de estratégias gerais de saúde;
   1. Segurança e prevenção à fraude: Para aspectos de autenticação das informações de acesso à sistemas bancários, financeiros, cadastros eletrônicos que permitam acesso a operações críticas, que podem resultar em danos objetivos ao titular em caso de falha desta autenticação.

Lembre sempre que, mesmo que sua manipulação de dados se enquadre em alguma das alternativas destes 7 itens, todos os outros aspectos previstos na LGPD precisam ser rigorosamente seguidos, ou seja, a tal liberdade não é tão livre assim.

E o que é tratamento de dados…

Já sabemos que os dados, em essência, podem ser definidos como dados pessoais e dados pessoais sensíveis, onde os pessoais são os informativos de identificação, localização, cidadania, enquanto os sensíveis definem posicionamentos sociais e políticos.

O tratamento de dados pode ser explicado de forma simples, pois se refere às operações que lidam com os dados das pessoas, de forma direta ou indireta.

Tudo o que envolva captura, tráfego, armazenamento ou controle de dados das pessoas é entendido legalmente como tratamento de dados.

E o que significa a tal de anonimização…

De um modo geral a anonimização é o processo tecnológico que dissocia os dados de seus titulares, de forma que algum acesso irregular a um cadastro não consiga identificar a quem pertence determinado dado.

Entenda como desvincular os dados de seus titulares.

Uma das ferramentas de anonimização é a criptografia.

Com a criptografia é possível manter os dados pessoais e sensíveis associados ao titular, sem que outros canais consigam estabelecer estas ligações, o que mantém a informação segura e protegida, o princípio original da LGPD.

Estar em compliance com a LGPD significa, dentre outros aspectos, promover e manter a anonimização dos dados com os quais a empresa atua.

Qual o impacto da lei na sua empresa

Primeiro é preciso considerar que a LGPD já é uma realidade, já está em vigor e já possui vários exemplos de aplicação de penalidades em diversos cases espalhados pelo Brasil.

Quando as penalidades objetivas da LGPD ainda não estavam em vigor, muitos juízes utilizavam o que está previsto no Código de Defesa do Consumidor (CDC) e no Código de Processo Civil (CPC), além do Marco Civil da Internet.

Agora, no entanto, as penalidades próprias já estão vigorando e em breve os casos de condenações tendem a ser noticiados em cascata, pois esta é, inclusive, uma estratégia do judiciário para difundir a compreensão da LGPD.

No Brasil nos acostumamos a entender a lei, seja qual for, como algo quase opcional.

Chegamos ao absurdo de sugerir que esta ou aquela lei, simplesmente “não vai pegar”…

A LGPD já pegou!

Até mesmo o Congresso Nacional, o berço do “jeitinho” está impossibilitado, engessado, para realizar alterações que amenizem os rigores da LGPD, pois ela faz parte de um padrão legal internacional, que se não for respeitado, tem o potencial de excluir o Brasil de importantes acordos internacionais, o que traria sérios problemas de todas as ordens para quem pensasse em burlar ou dar algum “jeitinho” no que ali está determinado.

Que caminho adotar para a adaptação

O mais importante é que a LGPD vai causar uma verdadeira revolução cultural no país inteiro, incluindo sua empresa e você não tem opção, já que não depende de você.

O mais certo é tentar assimilar e aprender pelo menor sofrimento, se antecipando ao que a LGPD recomenda.

O outro caminho é esperar as sanções, pois acredite, não se trate de uma ação passiva, lembre que estamos no Brasil, e assim como existem os “mocinhos”, também existem os “bandidos” (que são muitos), onde cidadãos comuns e alguns advogados já estão se preparando com verdadeiras estratégias visando denunciar falhas das empresas no tratamento de dados, buscando ações de todos os tipos, tentando lucrar com os descuidos ou desleixos dos empresários.

Saiba, portanto, que não deve demorar muito até alguma notificação judicial sobre algo que você ainda nem entende direito, chegar às suas mãos.

O melhor, é se preparar antes.

A adequação da empresa está mais associada ao seu grau de maturidade do que qualquer outro fator.

É uma questão de inteligência.

Já são muitos profissionais especializados em LGPD que desenvolvem projetos de compliance para as empresas que saíram na frente e já trabalham na sua preparação, buscando evitar prejuízos que podem até inviabilizar o próprio negócio.

Algumas experiências demonstram que a adequação pode levar entre 4 e 12 meses a partir do primeiro atendimento.

Normalmente a maturidade da empresa já facilita tudo, pois este tipo de empreendimento costuma ter profissionalismo já estabelecido nos seus sistemas de controle da informação e seus processos internos mais organizados.

Tudo isto encurta caminhos.

Accountability…

O conceito de accontability nasceu na GDPR, que basicamente determina o grau de compliance da empresa em relação à lei.

A análise do perfil crítico no tratamento de dados aponta potenciais pontos de vazamento e o grau de vulnerabilidade é avaliado através de um gabarito, que gera uma nota de qualidade quanto à adequação legal.

Os gabaritos da LGPD estão sendo lançados pela ANPD.

Com a velocidade como a informação viaja e trafega atualmente, nem se trata de uma adequação legal, mas uma necessidade estratégica, já que proteger e preservar os dados das pessoas é cuidar do maior patrimônio ativo que uma empresa possui.

Em outras palavras, fazer o certo é preciso porque é certo, e não apenas porque é legal.

Definir prioridades…

O ideal é que os processos e departamentos já existam, mesmo antes da LGPD, pois como dissemos, não apenas por ser legal, mas por ser certo.

Por isto chamamos de consolidação.

Claro que aquilo que não existe precisa ser criado, até porque, independente da lei, é necessário para a própria gestão profissional do seu negócio.

Podemos citar alguns exemplos de processos que devem existir para uma adequação à LGPD:

• Registro dos dados: Controladores, operadores e responsáveis, devem ser subalternos a processos de controle e registro dos dados que a empresa ou marca costuma tratar, além de manter ativos os registros destas operações, de forma que a auditoria dos processos seja automática, instantânea e em tempo real;
• Gerenciamento proativo de riscos: Certamente a conformidade com a LGPD exigirá, em algum momento em curto prazo, que além da auditoria permanente, a empresa ou marca disponibilize relatórios de impacto, completos e atualizados, capazes de espelhar o cerne das operações críticas;
• Segurança: Um amplo espectro de atuação, em todos os departamentos, avaliando especificamente a segurança dos processos, em seus mínimos detalhes, com abordagem preventiva e com consistência que transmita credibilidade e confiança;
• Responsabilidade: Todo o processo de tratamento de dados possui uma responsabilidade direta bem definida, partindo do comando geral da empresa e se espalhando para todas as vertentes gestoras que atuam na manipulação, tráfego, armazenamento e controle dos dados das pessoas;

LGPD deve ser uma cultura básica da empresa…

Entenda a LGPD como algo crônico, definitivo e imutável, a partir do momento que se instala na empresa.

LGPD é tão definitiva quanto os prédios, instalações e estruturas.

Não há como fugir disto.

É provável que você consiga se esconder por um tempo, quem sabe até a primeira denúncia de vazamento, e quando o pessoal da ANPD desembarcar em sua empresa para a auditoria legal, o castelo costuma ruir e o arrependimento bate.

É meio como observar a blitz ali na frente e lembrar que está com o IPVA atrasado, só que muito mais grave.

O que deve vir a seguir, com a primeira evolução da LGPD, será a exigência de alguma espécie de certificação de compliance com a LGPD, já que as corporações vão exigir de seus parceiros a adequação, pois nada adiantará elas estarem com tudo em conformidade e seu fornecedor ou parceiro de negócios possuir um vazamento que comprometa a integridade dos dados de todo mundo.

Isto deve, portanto, se expandir como a cultura da ISO, onde uma empresa certificada tem, por padrão, se relacionar apenas com fornecedores igualmente certificados.

Isto é o que assegura que a LGPD será uma cultura empresarial e não haverá como fugir disto.

As pessoas da empresa precisarão entrar na mentalidade da LGPD, com treinamento e orientação contínuos, pois cada pessoa é um potencial ponto de vulnerabilidade.

O caminho não tem retorno, pois 2% do faturamento bruto anual, para qualquer empresa, com os números ajustados da economia moderna, representa algo como 40 ou 60 dias de capital de giro para uma empresa mediana, sem falar das grandes.

Um desfalque de caixa como este, decorrente de uma multa, tem potencial de inviabilizar diretamente a existência da empresa.

Podemos piorar o cenário, acompanhe…

Que tal, se além da multa cavalar, você tiver que deletar, apagar, com supervisão, todos os dados de seus clientes e suas bases de dados por ser considerado inapto a tratar os dados das pessoas?

Tem noção do tamanho do problema?

É para este lado que você já deveria ter voltado seu foco, nem se trata de assustar, já que simplesmente é assim e pronto.

É importante também dizer que nem tudo está desgraçado, pois boa parte das empresas já possui algum grau de organização com seus bancos de dados e processos de tratamento de dados, o que requer apenas a adequação final ao que a LGPD determina e isto pode ser feito sem maiores atribulações.

Analisar, produzir um projeto de adequação, implementar, treinar e controlar, é parte do contexto e disto não há como fugir e quanto antes iniciar, mais cedo encontrará resultados.

A LGPD está entranhada em toda a empresa…

LGPD envolve toda a empresa e não um departamento específico.

A menina do atendimento pode anotar num papel os dados da cliente para chamar depois, entregar estes dados para alguém e este outro alguém passar adiante, mesmo sem maldade e, por algum motivo, em alguma ponta, alguém pode usar indevidamente estes dados, ou apenas fazer algo que o dono dos dados não goste e pronto, está aí a denúncia que vai fazer o povo da ANPD desembarcar na sua empresa.

Claro que o responsável legal por tudo que aconteça ali será você.

Inapelavelmente!

É importante, portanto, que você seja o primeiro a perceber a amplitude da situação e o conjunto de responsabilidades envolvidas em todos os pontos e pessoas de sua empresa, embora o responsável maior e final, seja você.

O gestor qualificado saberá encontrar o ponto vulnerável e estas pessoas também serão punidas de alguma maneira, mas o papel deve ser preventivo e não punitivo, até porque a punição somente ocorrerá onde não houve a prevenção e isto é sua responsabilidade, de ninguém mais.

Por isto, cabe aos gestores gerais das empresas e marcas, estabelecer a aplicação de processos de adaptação à esta nova realidade, envolvendo todos os personagens da empresa.

As ações básicas iniciais devem ser as seguintes:

• Engajamento: Envolver toda a equipe no projeto, desde o início, garantindo que todos entendam a amplitude do processo, os impactos da LGPD na corporação e a responsabilidade de cada um;
• Liderança: Estabelecer um departamento e nominar lideranças gerais e departamentais pelo avanço do processo de adequação, sob orientação, controle e responsabilidade de um profissional ou equipe específica de DPO, interna ou externa;
• Governança: Criar, desenvolver, aplicar, manter e controlar um programa completo de governança e gestão dos processos que envolvam o tratamento de dados dentro da empresa;
• Auditoria jurídica: Avaliar toda a documentação legal e jurídica utilizada nos processos internos e externos da empresa ou marca, assegurando que documentos, formulários e sistemas, estejam em compliance com o que determina a LGPD;
• Acesso aos titulares: Garantir que os titulares dos dados tenham acesso e conhecimento sobre todo o tratamento proporcionado aos seus dados pessoais, bem como opção para gerenciamento direto destes dados ou sua exclusão, a qualquer momento;
• Anonimização: Garantir que a empresa ou marca implante processos e tecnologias seguras de anonimização (criptografia) dos dados, assegurando sua total inviolabilidade, mesmo diante de eventuais acessos indevidos ou vazamentos;
• Treinamento: Sistemas de treinamento permanente, melhoria contínua nos níveis de conhecimento por parte da equipe e capacidade de acompanhamento dos processos evolutivos que certamente acompanharão o desenvolvimento da LGPD após sua implantação definitiva.

LGPD. Estar em adequação é requisito para sua empresa continuar existindo

LGPD já é tão realidade que tem um portfólio de casos de punições exemplares que já podem ser elencadas,

Certamente a LGPD é um dos fatores históricos de transformação da nossa sociedade, não porque sejamos bonzinhos, mas porque sem ela não nos relacionaremos com este mercado globalizado.

A multinacional que vende para a Europa terá que se adequar, e parte de sua adequação é fazer com que seus fornecedores e parceiros também estejam adequados, e isto se propagará indeterminadamente, e acredite, chegará em você, ou pelo ciclo de evolução deste exemplo, ou pior, pela mão pesada da ANPD em casos de denúncias que certamente chegarão à sua porta.

A conectividade e a tecnologia que não param de evoluir criaram uma realidade onde a adequação é fundamental.

Antes uma nota fiscal em papel tinha que cair numa mesa de uma repartição pública, encontrando um fiscal motivado, que cruzasse fisicamente dados com livros e mais livros de informações, a fim de gerar uma fiscalização que resultasse numa punição.

E mesmo neste cenário os caras faziam chover.

Hoje, sinais de alerta automáticos disparam assim que uma mínima diferença surja em meio a complexas interligações de informações provenientes de múltiplos setores de quase tudo que existe.

Imagine quanto tempo vai demorar para alguém denunciar alguém e isto resultar em punição.

Dados são o novo petróleo.

Tudo o que se busca são informações sobre o perfil das pessoas, o mais específico possível, seus hábitos, potencial de consumo, capacidade socioeconômica, disponibilidade comercial e de consumo.

O grau de especificação das personalidades que as empresas usam vai passando por uma sintonia cada vez mais fina.

Falamos em big data, people analytics, machine learning e isto não para de evoluir.

São assombrosas as variações de análises que vieram com o marketing moderno.

Tudo isto lida com dados, exatamente estes que a LGPD surgiu para cuidar.

A segurança destas informações vem evoluindo de acordo com toda esta malha relacional e a LGPD, assim como a GDPR, são parte desta nova realidade, pois não é possível imaginar tanto valor na informação e permitir que ela fique desprotegida.

É sobre este patamar de modernidade que estamos falando e buscando mostrar como isto é relevante e decisivo para a saúde das empresas.

Você passará por sérias turbulências se não cuidar devidamente do que a LGPD determina e, acredite, não há saída fora da adequação.

O caminho é buscar ajuda, preferencialmente com especialistas que já dominam a LGPD, não são muitos, mas existem os ótimos, e faça isto o mais rapidamente possível, para realizar seu diagnóstico e, a partir disto, compreender o que é necessário para colocar sua empresa em compliance com o que a LGPD exige.

LGPD é o futuro que já chegou.