Por Keila Biazon – Fabrilo Rosa & Trovão

Sempre fui partidário do mecanismo “faça as perguntas certas antes de querer dar respostas incertas”. Se eu precisasse fazer uma análise sobre a pergunta que dá título a esse artigo, eu poderia utilizar um sistema de pontuação, seria assim, para cada pergunta abaixo, uma resposta “não sei” ou “sim” representa 1 ponto e qualquer resultado diferente de zero significa que a sua empresa deveria estar realmente preocupada com o assunto.  Se o resultado for superior a 3, pare e pense imediatamente sobre qual impacto essa legislação terá na sua empresa a partir de agosto de 2020 (ano que vem).

Agora, responda francamente:

Sua empresa possui dados armazenados de pessoas?

Clientes? Funcionários? Quais informações de pessoas estão armazenadas nos seus computadores?

Esses dados são dados pessoais ou dados pessoais sensíveis?

Eu possuo um agente de tratamento de dados (ou alguém apto a desenvolver essa função na empresa)?

O tratamento de dados está sendo feito dentro dos parâmetros tratados no artigo 6º, da Lei 13.709/2018?Se a sua empresa já tem um bom programa de Compliance funcionando, certamente será mais fácil entender o objetivo dessa nova legislação. Se a sua empresa ainda não pensou no Compliance, bom, recomendo que pare de ler esse artigo, comece a entender o assunto Compliance, pense seriamente em como implementar essa ferramenta na sua empresa, depois volte aqui para retomarmos essa prosa.

O fato é que com o mundo digital onde nossas vidas foram expostas e com a velocidade com que uma informação, falsa ou não, se espalha, a necessidade de um conjunto de regras que viesse a garantir um mínimo de cuidado dos agentes que manuseiam informações pessoais era inevitável.

Assim como é inevitável o trânsito dessas informações. Atualmente, todas as esferas de relacionamento humano, da amizade à compra de um produto, exigem o compartilhamento de informações, muitas vezes sensíveis, por via digital.

Com relação a essas informações, são protegidas pela LGPD apenas aquelas que são compulsoriamente fornecidas pela pessoa natural em função de um relacionamento de caráter econômico, onde para a concretização da relação jurídica fez-se necessário que ela fornecesse informações de caráter confidencial ou pessoal a uma pessoa natural ou jurídica que lida com esses dados.

Em outras palavras, todos os dados dos seus clientes, fornecedores, funcionários e parceiros comerciais de qualquer natureza são, agora, protegidos por essa legislação.

Com relação a estes dados, a nova Lei os classifica em dados pessoais e dados pessoais sensíveis. O dado pessoal é uma informação relacionada a pessoa natural identificada ou identificável. O dado pessoal sensível são dados sobre a origem racial ou étnica dessa pessoa, convicção religiosa, política, filiação partidária ou sindical, filosófica, dados referentes à saúde ou à vida sexual, dado genético ou biométrico vinculados a essa pessoa natural.

A LGPD chama a rotina de recepção, armazenamento, utilização, transmissão, arquivamento, eliminação, avaliação ou controle, proteção, disponibilidade, etc., desses dados de “tratamento de dados” e de controlador a pessoa natural ou jurídica a quem competem as decisões referentes a estes dados recebidos por ela.

Evidentemente que a Lei prevê sanções para o caso de vazamento dessas informações. Elas são gradativas e admitem a majoração ou minoração da pena caso a empresa demonstrar que possuía mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro dos dados.

Vou simplificar. Você tem um consultório médico. Você possui armazenados dados sensíveis de seus pacientes (dados sensíveis são aqueles ligados, por exemplo à saúde do seu paciente), você tem seu arquivo invadido por hackers ou por algum motivo alguém de dentro do seu consultório compartilha uma informação sensível de um paciente seu na rede. Você sofrerá severas penalidades financeiras e administrativas que vão desde uma advertência ou publicização da infração (o que acarretaria um severo dano de imagem à sua clínica), até uma multa de até 2% do seu faturamento anual.

O exemplo serve para construtoras, loteadoras, empresas com crediário próprio, bancos, serviria até para videolocadoras se ainda existissem. O que eu quero dizer é que essa Lei irá afetar todo mundo.

A boa notícia é que a Lei também prevê que aquelas empresas que adotarem boas práticas de governança relacionadas ao tratamento de dados terão minoradas as penas no caso de vazamento de informações. Essas boas práticas estão intrinsicamente ligadas a um bom programa de Compliance.

A outra boa notícia é que essas ferramentas de gestão agregam, e muito, a qualquer organização. Se é verdade que a Lei foi editada por aqui seguindo o modelo europeu (e temos que reconhecer que a gestão das empresas europeias é mais evoluída que a nossa), também é verdade que os controles e ferramentas disponíveis para faze-la cumprir-se também se traduzem em um importante salto evolutivo para as empresas nacionais neste particular. Mais uma vez é um convite a fazer parte do jogo dos grandes atores mundiais. Cabe ao empresário decidir se irá jogar ou apenas torcer de fora pelo sucesso daqueles que encararam o desafio, já que nesse jogo ele não conseguirá entrar mais.

Por que a sua empresa deveria se preocupar com a LGPD (Lei Geral de Proteção de Dados Pessoais – 13.709/18)?