Rodrigo Pinheiro Barbosa, sócio do Nankran e Mourão Sociedade de Advogados – Mestre em Direito Empresarial – MBA em Direito Civil e Processo Civil
Embora esteja em vigor desde 18 de setembro de 2020, a Lei Geral de Proteção de Dados Pessoais é uma legislação ainda desconhecida por muitas empresas.
Isto significa que boa parte dessas empresas não estão adequadas a tal legislação, em que pese a lei ser aplicável a elas conforme determina o artigo 3º da Lei.
Por essa razão, o presente artigo busca em um breve resumo explicar como deve ser feita a adequação da companhia em relação a LGPD.
O primeiro passo, considerando o aspecto multidisciplinar da Lei, é escolher preferencialmente profissionais da área do Direito e de Tecnologia da Informação para realizar a implementação.
Com a ajuda desses profissionais, a empresa deverá eleger um encarregado para ser o responsável entre fiscalizar a proteção de dados na empresa, bem como intermediar a comunicação da companhia com o mercado e com a Autoridade Nacional de Proteção de Dados Pessoais.
A escolha pelos profissionais mencionados para auxiliar na escolha do encarregado e para realizar a implementação, se dá pelo fato de que o profissional de TI é o profissional capacitado para examinar e diagnosticar o status atual do banco de dados da empresa, bem como o fluxo das informações pessoais constantes nos tratamentos.
O profissional de Direito, por sua vez, é quem saberá quais adequações precisarão ser feitas de acordo com a Lei.
Assim, a partir do diagnóstico feito pelo profissional de TI, materializado por meio de um mapa de dados, o profissional de Direito com auxílio do TI poderá julgar por meio de uma classificação de riscos a conformidade da empresa em relação a Lei Geral de Proteção de Dados em vários aspectos.
Neste momento, o TI também classificará o risco de eventual tratamento inadequado de dados, de modo a alertar a exposição e fragilidade dos mecanismos de segurança encontrados no sistema.
Concomitantemente à etapa de diagnostico e classificação de risco, é recomendado que o advogado analise toda a parte documental da empresa.
Esse processo envolve analisar e revisar os tipos de contrato (de trabalho, fornecedores, representantes, sócios, consumidores, etc), bem como elaborar documentos direcionados para a política de dados.
Neste último ponto, deve ser elaborado um temo de política de privacidade, um termo de governança de dados e termos de consentimento, além de vários outros documentos como, por exemplo, um relatório de impacto para auxiliar no controle dos tratamentos.
A partir desse cenário, são propostas soluções técnicas e procedimentais para a mitigação dos riscos. Nesse ponto, é essencial que o profissional de Direito tenha a sensibilidade de mensurar qual é o impacto da solução proposta na atividade desempenhada pela empresa.
Em outras palavras, não se pode esquecer, à vista do conceito econômico de empresa, que soluções muito caras ou que inviabilizam as rotinas de trabalho podem regularizar o tratamento de dados, mas, por outro lado, podem comprometer a operação cotidiana da atividade empresarial ou mesmo impactar no fluxo de caixa da companhia.
Por isso, é sempre recomendado que o profissional entenda e mensure os riscos que estão dispostos a serem assumidos pelo controlador, devendo este último estar ciente do impacto que gera um mau tratamento, não somente do ponto de vista de uma sanção, mas sobretudo no que tange à valoração da sua empresa no mercado.
Por fim, executada as soluções de forma coordenada com a execução da parte documental, recomenda-se que tanto o profissional de TI quanto o profissional de direito realizam treinamentos com os colaboradores da empresa de modo a demonstrar que, mais do que exigir salvaguardas, a LGPD veio para reclamar uma mudança de cultura no tratamento de dados, de modo a incutir nos profissionais que tratar dados passou a ser tema de absoluta relevância no mundo contemporâneo, bem como no ordenamento.
1 A parte relacionada às sanções administrativas entrará em vigor em agosto de 2021, o que não anula a possibilidade de o judiciário ou Ministério Público aplicarem multas ou exigirem indenizações por danos causados aos titulares dos dados.
2 Outros profissionais também poderão ser designados a depender do porte da empresa. A constituição de um comitê interno com uma liderança designada para acompanhamento do projeto também é recomendável, devendo ser essa liderança alguém que tenha bastante conhecimento sobre as rotinas internas da companhia, bem como acesso a todos os setores.
3 Assim como ocorre no Direito, por exemplo, em que se encontra profissionais especializados em várias áreas diferentes, na área de tecnologia existem diversos profissionais que podem ou não ser especializados no tema “proteção de dados”. É recomendável que se escolha um atuante exclusivamente nessa área. Por outro lado, não se pode deixar de ressaltar que é comum, sobretudo no Estados Unidos, por exemplo, que advogados tenham especializações voltadas para atuação nessa área, não somente do ponto de vista normativo, mas também do ponto de vista prática de acesso a sistemas e bancos de dados.
