Nos últimos meses tem sido frequente o debate sobre a Lei 13.709/018 – Lei Geral de Proteção de Dados Pessoais (LGPD), além da complexidade da matéria e do impacto desta legislação nos setores público e privado, que dependerá de regulamentação posterior pela Administração Pública, prevalece importante dúvida sobre o início da vigência da lei. Muita confusão predomina, o que exige atenção e prevenção por parte do empresariado em tempos da expansão do comércio eletrônico e da pandemia de Covid-19.
A indefinição sobre a entrada em vigor da lei – as iniciativas do MP 959/2020 e da PL 179/2020 – gera muita confusão semelhante à crise social que estamos vivendo hoje em dia no Brasil. Ainda não sabemos se a lei entra em vigor agora em agosto de 2020 ou maio de 2021 (ou agosto de 2021 em relação às sanções administrativas), pois uma importante apreciação política vai definir esta questão nas próximas semanas já que tais medidas dependem de conversão em lei.
Desde a aprovação da LGPD, os principais motivos para adiar a entrada em vigor oscilaram entre as considerações da complexidade da lei – o que motivou a determinar um prazo longo para que as empresas conseguissem se adaptar-, até a questão da não operação da Agência prevista em lei – Autoridade Nacional de Proteção de Dados (ANPD), e consequentemente fiscais que consigam exercer o poder de polícia, aplicando sanções administrativas que vão desde advertências até multas pecuniárias elevadas.
Independentemente da entrada em vigor, o que está claro é que quanto antes as empresas consigam adequar-se a lei estarão mais preparadas para a mesma (inclusive evitando as surpresas de eventuais exigências durante a etapa de regulação). Relembrando que os objetivos da lei são organizar os dados pessoais que as empresas têm sob seu controle, permitir valorizar essa informação organizada, aprimorar processos internos, organizara-los de uma nova forma que permita cumprir a lei e até obter informações que permitam pensar em novos produtos e serviços. Isso pode ser feito com ajuda das novas tecnologias, como também as que já existem na sua empresa, tipo um CRM ou alguma outra plataforma adaptada a nova lei.
Todavia, na prática, quais serão os impactos da LGPD no dia a dia das pessoas e das empresas? Os desdobramentos imediatos são a obrigatoriedade de proteger os dados das pessoas físicas e definir os contornos dos tratamentos de dados no ambiente negocial, devolvendo-lhes o controle sobre os mesmos e ao mesmo tempo proteger o empresário, seu patrimônio e sua reputação comercial. É a afirmação do direito fundamental à privacidade (artigo 5º, X, da Constituição Federal de 1988) no âmbito dos tratamentos de dados pessoais, sobretudo desamparados no ambiente das relações digitais.
Importantes proteções conferidas pela lei são as normas que prestigiam princípios como transparência, legitimidade, finalidade, necessidade do consentimento para o tratamento de dados, salvo exceções que são diversas, e restrições em prol da segurança dos dados pessoais sensíveis. Se os pilares desta lei forem cumpridos, a empresa ganhará certificação (selo) que atesta a adequação de sua estrutura empresarial à lei. Isto se transforma em um elemento de confiança no mercado, um diferencial que vai abrir portas para transações internacionais durante a vigência da legislação. Como demostra a prática negocial fora do país, o respeito e cumprimento das normas sobre tratamentos de dados já são praxe nas relações comerciais, de diferentes setores – atribuindo um novo valor aos produtos e serviços ofertados nas redes.
Em relação à proteção das pessoas, a exigência de que a empresa cumpra a lei significa ter confiança que a mesma vai fazer um uso correto dos seus dados entregados, com solicitude de consentimento, e que vai respeitar os seus direitos e seus deveres. Mesmo parecendo algo simples, isso agrega valor para as empresas que cumprirem, porquê os usuários e consumidores cansaram do uso invasivo dos seus dados. Importante será deixar claro (por parte da empresa ao usuário) de onde obtiveram os seus dados (princípio legitimidade), o que vão fazer com eles (princípio finalidade), com quem vai compartilhar os mesmos, ou seja a cadeia de repasse de dados (consentimento informado). Todas essas obrigações cumpridas por parte da empresa são consideradas relevantes e já repercutem no âmbito do direito do consumidor.
A LGPD implica uma série de combinados prévios que a empresa precisar se preparar para cumprir, seja enviando informações por e-mail, avisando pelo telefone (WhatsApp), sítio na Web etc. esclarecendo tudo ao usuário. Lembrando que se o usuário não entrega o consentimento para tratar seus dados, não poderá acessar o serviço ou comprar o produto, ou seja, necessário deixar as regras do jogo bem claras.
Enquanto a segurança, a lei brasileira não traz detalhes técnicos como algumas outras legislações internacionais, mas prevê melhores práticas de mercado o que implica adaptar ferramentas de segurança de dados já testadas. Ainda, sobre a metodologia de adequação, a mesma deve incluir todas as bases de dados da empresa inclusive as off-line, de todas as áreas da empresa: RH, contabilidade, compras, entre outros, analisando que tipo de dados existem em cada uma das base de dados, possíveis “riscos” dos dados, a forma de coleta, cumprindo com o dever de informação previa, o que será feito com os dados anteriores a lei, como serão adequados, ou seja, fazer um antes e um depois da adequação a lei.
Além da análise das bases de dados, será necessário analisar os contratos, formulários, documentações de todo o tipo da empresa, incluso será importante entrevistar profissionais das diversas áreas que atendem a empresa, RH, TI, Segurança etc. Assim como, nomear o encarregado, quem será o responsável da empresa frente a ANPD e aos usuários. Uma vez identificados e analisados os riscos das diferentes áreas, precisa-se organizar o trabalho e implementar um plano de ação, com cronogramas, responsáveis de cada área, implementar as medidas jurídicas, técnicas, de segurança, elaborar documentos jurídicos, necessários para sua adequação, e constituir o grupo responsável pela privacidade dentro da empresa e que será a ponte de contato com os consultores/advogados.
Trata-se, aqui, de um efetivo compliance digital, que já se configura como regra para muitos setores da economia e um padrão das grandes empresas. No Brasil, a adequação à lei é condição necessária para o aumento da competitividade das empresas nacionais e interessadas em aumentar os seus negócios. Aliás esta adequação deve ocorrer de modo integral, pois implica num processo constante, que se vincula à expansão da empresa ao criar novos produtos, novos serviços, novas bases de dados, tendo um crescimento acima de 5% de colaboradores contratados (pelo menos isso foi estabelecido nas melhores práticas internacionais), novos fornecedores e novas práticas adotadas, tem que se readequar a lei.
Em resumo, caso uma empresa brasileira não se ajuste à legislação, esta ficará em situação de inferioridade e de risco (jurídico e econômico) frente as empresas estrangeiras que cumprem há tempo com as normas de proteção de dados, sobretudo com base no marco europeu da General Data Protection Regulation. Além disso, terão desvantagem na hora de concorrer com empresas locais para comercializar com outros países e regiões. A adequação já começou e não depende apenas da contrapartida dos órgãos públicos.
* Por Flavia Meleras Bekerman é advogada especialista em Direito Digital, Proteção de Dados e Privacidade do escritório BFAP Advogados.
*Por Marco Antonio Loschiavo Leme de Barros é consultor do escritório BFAP Advogados e professor da Faculdade de Direito da Universidade Presbiterana Mackenzie.