O que o empresário precisa saber sobre a LGPD

Confira 5 informações valiosas que sua empresa precisa ter sobre a LGPD

1) A tutela dos dados pessoais já era uma realidade no cenário internacional

A Lei Geral de Proteção dos Dados Pessoais (Lei nº 13.709/2018), que entra em vigor em 15.08.2020, foi inspirada na normativa europeia conhecida como GDPR (General Data Protection Regulation).

Diversos países da América Latina já haviam implementado legislações sobre o tema, o que reforça ainda mais a corrida pela regulamentação do tratamento de dados em todo o mundo.

Por força desse contexto internacional, diversas empresas no território brasileiro que mantêm atuação ou relação com empresas sediadas em países que possuíam regulamentação própria já buscavam soluções de conformidade à proteção de dados.

Isso reforça ainda mais a necessidade de adequação daquelas empresas que se deparam atualmente pela primeira vez com o tema, não apenas pelo estrito cumprimento da lei, mas para manter sua competitividade do negócio e minimizar os riscos na relação com empresas parceiras, clientes e colaboradores.

Deve estar claro que o impacto da LGPD sobre as empresas não se restringirá ao uso indevido de informações e dados ou seu vazamento. A necessidade de adequação vai do atendimento à lei até a forma de se fazer negócio. Empresas que estejam em conformidade com as práticas certamente terão ganhos de competitividade no mercado.

2) Como a LGPD pode atingir seu ramo de atividades

A LGPD regulamenta as empresas que (i) estão estabelecidas no Brasil ou que ofereçam serviços no país, e que (ii) coletam e tratam dados de pessoas físicas no Brasil.

Uma leitura distraída do tema poderia levar a crer que o âmbito de incidência da LGPD estaria limitado apenas às empresas de tecnologia ou que oferecem serviços por meio de plataformas digitais – o que não procede.

Nenhuma legislação sobre proteção de dados no mundo limitou sua abrangência a serviços digitais (e com a norma brasileira não foi diferente). Dados são utilizados na sua acepção mais ampla, passando do contrato esquecido na sua gaveta ao arquivo de clientes e de ex-funcionários no seu armário a até sua planilha com telefones de targets.

Diversos segmentos de atividades serão, portanto, atingidos pela regulamentação. Exatamente por isso é impossível falar em adequação à LGPD de forma genérica. É necessário um profundo mergulho sobre dois grandes aspectos: o core e a estrutura de cada negócio.

Alguns exemplos da necessidade do compliance digital personalizado:

• empresas que trabalham diretamente ligadas à exportação ou mantêm relação com empresas estabelecidas em outros países necessitam de uma intersecção de sua atividade tanto sobre a LGDP quanto na eventual legislação existente naquele país;
• empresas que trabalham com crédito em geral ou fintechs devem estar atentas às diretrizes próprias do Banco Central e atentas ao Open Banking;
• empresas que prestam assistência técnica devem verificar sobre a gestão dos cadastros e fichas de atendimento;
• instituições da área da saúde devem se adequar ao impacto do fornecimento e envio de informações de prontuários a seus colaboradores;
• gestão das informações de RH, possibilidade de manutenção das informações após a extinção do contrato de trabalho do colaborador; e
• a necessidade de adequação à LGPD dos contratos de fornecimento e de subcontratação.

         Ou seja, o impacto da norma é sobre o tratamento de dados na atividade empresária e não sobre o setor de tecnologias em específico. Sua empresa pode nunca ter tido sequer um website e mesmo assim deverá cumprir as diretrizes da legislação.

3) É necessário manter um bom gerenciamento interno de dados

A proteção de dados é uma reação à cultura de poluição de informações e dados que desenvolvida nos últimos anos. A regra geral sempre foi coletar e coletar mais ainda, para depois se lidar com aquilo que se tem.

Essa prática deixou um legado de informações que muitas vezes podem ser inúteis ao desenvolvimento do negócio e ainda ocasionar uma série de riscos ao titular da informação e à empresa que custodia tais dados.

O que se quer dizer é que, a partir da vigência da LGPD, os riscos relacionados aos dados pessoais coletados não se limitarão ao vazamento de dados ou seu uso indevido, e que são inúmeras as possibilidades de ocasionarem prejuízo à própria empresa ou a terceiros devido à má manutenção das informações.

Na corrida pela conformidade com a LGPD, a assessoria jurídica certamente desempenhará um papel principal na implementação das melhores práticas para atendimento das exigências legais de tratamento, gerenciamento e armazenamento de dados, auxiliando as empresas e empresários a entender que dados podem tratar e sob qual fundamento legal, por quanto tempo e quais as suas obrigações com relação a eles.

O exemplo clássico é o contrato de trabalho arquivado no setor de RH de uma empresa. É preciso definir as obrigações vigentes e a partir dessas definições saber sob qual aspecto legal a informação está regulada. Tal definição dos dados é feita por meio de layouts próprios e desenvolvidos conforme o core de cada negócio, da seguinte forma:

Nome	Posição	Contrato	Justificativa legal	Período	Solicitação de Exclusão
Luan	Empregado	Extinto	Resguardar direitos da Empresa – Eventual Reclamação Trabalhista	2 anos	Sim – não atendida por preservação de direitos
Luciana	Empregado	Ativo	Cumprimento de Contrato	S/prazo	Não se aplica
Leonardo	Empregado	Extinto	Obrigação Legal – Não houve Reclamação, manter apenas informações para Fazenda	5 Anos	Sim – atendida e mantida apenas informações previdenciárias

O quadro acima é uma das inúmeras formas de se realizar a gestão do input de sua empresa (e apenas exemplifica o cenário trabalhista, dentre tantos outros existentes).

Embora haja inúmeras ferramentas de segurança de dados que trazem simplicidade, escalabilidade e muita facilidade de gerenciamento, a análise da informação será feita de forma a harmonizar os riscos à necessidade da informação e à justificativa legal.

4) Alteração de políticas e procedimentos internos para criação de compliance digital

Talvez seja esse o maior ponto de dificuldade na implementação das diretrizes da LGPD: a assessoria jurídica auxiliará as empresas no embasamento legal da coleta e tratamento de dados, um bom profissional de TI lhe fornecerá ferramentas para escalonar os processos, mas apenas uma mudança efetiva de comportamento coorporativo poderá minimizar consideravelmente os riscos do uso e armazenagem da informação.

Alterar comportamentos sempre é um desafio. Conscientizar funcionários da importância de condutas simples como bloqueio do computador, armazenamento devido de uma planilha de dados, uso adequado de e-mails, dentre outras ações, pode ser desafiador.

Há muito já foi superado o conceito de que o colaborador apenas deve cumprir regras. Ele deve entender a razão de tais regras. Tal medida não apenas valoriza o profissional como o torna responsável moral e juridicamente pela conduta adequada.

Com os dados se tornando um dos ativos mais valiosos do mundo atual, e com riscos de segurança cada vez maiores, a proteção de dados precisa ser explicada e discutida na sua empresa, o que é chamado de processo de conscientização.

Esse processo pode vir por meio de materiais didáticos ou treinamentos especialmente desenvolvidos para cada negócio. Qualquer alteração interna, quando desenvolvida lado a lado com o profissional executor, minimiza em muito o risco de não aderência a novas diretrizes do negócio.

Claro que ao se falar de compliance digital, não se está sendo simplista de relacionar a conformidade ao simples dia-a-dia do colaborador, pois gestores, diretores e responsáveis por tomadas de decisão devem tomar o rumo dos negócios conscientes dos riscos que estão assumindo diante da LGPD, não apenas para cumprimento legal, mas também para simples contingenciamento da análise de risco do negócio.

O processo de conscientização corporativa será uma ferramenta fundamental para a implementação do compliance digital no ambiente empresarial.

5) Ferramentas jurídicas para adequação à LGDP

Não há soluções mágicas que resolvem toda a LGPD. Há mudança de comportamento e de paradigmas de como se desenvolve o negócio. A LGPD impacta o dia-a-dia do negócio, a revisão contratual, a gestão do RH, os canais de atendimento, a telefonista da empresa e muitos outros setores.

São inúmeras as ferramentas para auxiliar a empresa que podem ser desenvolvidas pela assessoria jurídica, tais como:

• O processo de conscientização indicado acima, com criação de cartilhas e cursos de capacitação;
• A reforma e adequação dos contratos de fornecimento para torná-los conformes à LGPD;
• A criação de layouts de inputs e análise (jurídica) das informações;
• A análise do negócio e a avaliação de riscos legais;
• Criação de políticas de conformidade em conjunto com as áreas de TI;
• Reforma dos contratos de trabalho, e muito mais.

Ou seja, quase tudo que o assessor jurídico está acostumado a fazer no dia-a-dia de uma empresa, mas somado às obrigações legais trazidas pela LGPD.

A adequação, vista como um todo, é um processo complexo que exige muito mais do que uma ferramenta ou software de solução: exige profissionais capacitados a enxergar o impacto da legislação sob todas as perspectivas do seu negócio.

A tarefa é desafiadora, e agosto de 2020 (quando a LGPD entra em vigor), embora pareça distante, está “logo ali”.