Panorama de Negócios
ARTIGO DA ADVOGADA ALINE MELSONE MARCONDES TRIVINO
Quando falamos em Proteção de Dados, muitos ainda não conseguem compreender as medidas que devem adotar ou as mudanças que precisam iniciar. Estamos a pouco menos de 200 dias da vigência da lei e sabemos que muito trabalho ainda precisa ser feito.
A Lei Geral de proteção de dados (Lei n.º 13.709, de 14 de agosto de 2018) entra em vigor em agosto de 2020 e traz para as empresas a missão de proteger os dados pessoais de seus clientes, fornecedores, funcionários, dentre outros. Sendo assim, será necessário total adequação a lei, que traz responsabilidade quanto a guarda, coleta, descarte, ou seja, tratamento de dados pessoais.
Diante dessas colocações, muitas empresas têm questionado, mas o que é tratar dados e o que é dado pessoal? Tratar dados nada mais é do que qualquer operação realizada como manuseio de dados pessoais. Esclarecendo: se você mantém a guarda de dados pessoais de seus funcionários, por exemplo, você trata dados; se você tem uma lista de clientes, fornecedores, parceiros, você trata dados!
Nos termos da lei, dados pessoais são toda e qualquer informação relacionada a uma pessoa identificada ou identificável, ou seja, qualquer informação relativa à pessoa natural viva. Podem ser características que somadas façam com que uma pessoa seja identificada, ou dados como nome, endereço, documentos, salários, renda, por exemplo. Uma portaria que registra pessoas que adentram à sua empresa, armazena dados e precisa se adequar à lei, ou, uma empresa que tem uma lista de clientes, fornecedores, funcionários com qualquer informação que a torne identificada ou identificável, também trata dados e precisará se adequar à lei. Não importa o tamanho da sua empresa!
Além disso, todos devem se preocupar com o que pode ser feito caso as informações de seus clientes, funcionários e/ou fornecedores sejam “roubados” de sua empresa. Afora as multas, essas informações podem ser utilizadas com diversas outras finalidades ilícitas. Seja para espionagem industrial, seja para roubo de identidade, seja para cometimento de fraudes.
A nova lei obriga que as empresas estejam preparadas para tais situações. Se dados de seus funcionários, fornecedores, clientes forem “roubados” de seus sistemas, sua empresa sabe como se portar? Quais áreas devem ser acionadas, qual o plano de contingência? Como reportar as autoridades? A quem reportar e o que reportar?
Importante lembrar que a Lei de Proteção de Dados não traz só responsabilidades oriundas do vazamento de informações. Sua empresa precisa estar preparada para elaborar um plano de ação que compreenda regras de retificação e compartilhamento de dados, além disso, regras de portabilidade, eliminação e não consentimento de utilização de dados, quando o caso. As empresas devem estar atentas para quais atividades fazem parte de sua rotina e quais as adequações que devem ser feitas.
Para elaboração e manutenção contínua de diretrizes e ações relativas à proteção de dados, a lei impõe a contratação de um encarregado ou DPO (Data Protection Officer). Esse responsável poderá ser um funcionário da empresa ou uma empresa terceirizada, através de um consultor com expertise e preparo.O importante é que este encarregado, terceirizado ou não, esteja preparado e treinado para lidar, desde questões relacionadas ao dia a dia da empresa, até casos extremos de incidentes envolvendo dados pessoais sob sua responsabilidade.
Em geral são necessárias 4 etapas para elaboração de um plano de proteção de dados: avaliação, diagnóstico, implementação e monitoramento.
O primeiro passo é a avaliação, ou seja, entender o seu negócio e sua estrutura organizacional, as informações que você trata, definir uma equipe de projeto e alinhar um plano de conformidade. Identificar políticas que precisam ser criadas ou as já existentes e, se carecem de revisão e atualização.
De posse dessas informações, teremos capacidade de elaborar um diagnóstico, ou seja, analisarmos “gaps” de cada área para que elaborar um plano de ação que compreenda regras de retificação de dados e compartilhamento de dados, além disso, regras de portabilidade de dados, eliminação e não consentimento de utilização, quando o caso.
Ainda, será necessário a implementação daquilo que ficar definido tanto na avaliação, quanto no diagnóstico. Para isso será necessário nomear um DPO com as seguintes atribuições: 1. Coordenar esforços para a proteção de dados em todos os departamentos envolvidos; 2. Conduzir e monitorar o DPIA, ou seja, relatório exigido por lei que deverá ser enviado para a autoridade nacional; 3. Promover a conscientização das boas práticas de proteção de dados; 4. Inserir o tema “proteção de dados” na agenda da organização até que o assunto faça parte da cultura; 5. Ser o ponto de contato com as autoridades reguladoras.
Por fim, como em todos os programas de adequação, será necessário o monitoramento de todas essas atividades para que elas sejam continuamente revisadas, através do treinamento das equipes e da certificação de todas as políticas implantadas.
Importante ressaltar que as penalidades previstas em lei para aqueles que não se adequarem não são poucas, nem tampouco brandas. As multas podem chegar à R$ 50 milhões por infração, podendo ser aplicadas diariamente até cessar o problema, além da impossibilidade de utilização dos dados, podendo chegar até a exclusão.
Diante de tudo que foi dito, importante lembrar que falta pouco para a lei entrar em vigor. As empresas precisam estar atentas as mudanças, já que a tarefa não será simples, pois a adequação exige tempo, dedicação, comprometimento, conhecimento, além da experiência. Procurar um profissional capacitado pode ajudar na elaboração desse plano de ação e nas diretrizes que deverão ser seguidas.
Esteja preparado!
Aline Melsone Marcondes Trivino é consultora externa em Proteção de Dados e Compliance na FCQ Advogados, Data Protection Office/ DPO certificada, Professora na pós-graduação em Proteção de Dados e Compliance Digital no Mackenzie. Advogada com mais de 10 anos de atuação em direito penal, direito digital (vazamento de dados) e Compliance.
