Temos acompanhado no mercado um certo alarde em relação a nova Legislação de privacidade e proteção de dados pessoais, a lei 13.709, também conhecida como LGPD. Muitos empresários e profissionais com os quais temos conversado, estão preocupados pois ouviram de certa forma dizer que a legislação poderá inviabilizar o negócio de sua empresa, ou até mesmo, o mercado.
Será isso verdade? Será mesmo a LGPD este problema que estão falando?
A coisa não é bem assim!
Deve-se haver uma preocupação sim com a lei, pois ela traz consigo sanções pesadas que, caso as empresas não se adequem, poderão arcar com multas pesadas que não eram previstas; e isso pode causar dano a organização.
Porém, esta não é a intenção da legislação. Assim como existem outras leis no país (Constituição Federal, Código Penal, Código Civil, entre outras), já não era sem tempo do país investir em uma lei de proteção a privacidade mais efetivas. Digo mais efetiva pois já temos outras que já legislavam sobre o assunto como o próprio Código Civil, Constituição Federal, Código de defesa do consumidor, Marco Civil da Internet, dentre outras.
Então você pode se perguntar: “Então pra que uma nova lei?”
Em primeiro lugar o Brasil precisa alinhar-se a outros países do mundo que já o fizeram. A União Européia puxa a fila ao ter desenvolvido uma lei forte e exigir que, para se fazer negócio com dados pessoais de cidadãos europeus, a empresa se adequa a legislação europeia ou deverá ter em seu país uma legislação própria e aderente a deles. Além disso, o Brasil é hoje o único país pertencente ao Cone Sul que não possuía a sua própria legislação. Ou seja, já estávamos atrasados.
Outro fator de extrema importância é o fato de, ao se tratar de segurança de informação e proteção a privacidade, ouvia-se pouco sobre punições das empresas que infringiam regras, pois, na maioria dos casos, estávamos amparados em normas (ISO 27.001, ISO 27.002) e/ou melhores práticas (COBIT, ITIL). A partir de agora, é lei, ou seja, caso não se cumpra, haverá uma punição ao infrator já previamente definida pela legislação, além é claro de possíveis sanções civis ou penais, pois uma lei não anula as outras.
Mas é importante lembrar que as leis não estão aí para punir. Elas existem para educar e mostrar àqueles que querem agir sem ética e preocupação ao próximo, que ele deverá pagar pelo que fez. Segurança não é punição. Pensar em segurança na sua empresa é pensar que você poderá produzir o máximo dela, com controle. É como se fosse o freio de um carro. O freio não está ali para dizer que você não ande. Ele existe para você poder andar no máximo permitido (dentro da lei), com controle.
Destarte, é importante entender o que a lei nos traz em seus pontos principais, ou seja, em momento algum ela fala que sua empresa não poderá mais tratar dados pessoais. Pelo contrário, ela nos mostra princípios e o que fazer para processar dados e aumentar a produtividade de sua empresa.
Vamos ver isso na prática. Quais os princípios básicos da lei?
- Proteção à Privacidade dos titulares dos dados (Pessoas naturais);
- Transparência – qual a finalidade do tratamento? Por quanto tempo?
- Necessidade – São mesmo necessário todos os dados para prestação do serviço?
- Segurança – Quem acessa? Onde são armazenados? Como são armazenados?
- Prestação de contas: Em caso de violação de dados, o que aconteceu? O que foi feito em relação a isso?
Note, o que é exigido pela lei não passaria de uma obrigação ética ao tratar dados de terceiros. Todas as empresas já deveriam fazer isso como natural. Não existe nada além de um simples pensar ético.
E, seja sincero, quantas vezes somos abordados por empresas que possuem nossos dados vindos sem sabermos de onde? Ou quantas vezes acessamos uma pesquisa e “de repente” começamos a receber ofertas, do produto que procurávamos, por onde navegamos? Estava mais que na hora de surgirem regras de conduta que permitam monitorar e gerenciar isso tudo.
Outro aspecto importante de se abordar é: Quando então poderei tratar (processar) dados pessoais?
Basicamente são 10 as possibilidades:
- Com o consentimento do Titular: “deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular”. Bom dizer que em alguns casos, ele por si só, não resolverá o problema. Deve ser muito bem estudado caso a caso.
- Obrigação legal: Para poder cumprir com alguma obrigação, como por exemplo, consolidação das leis trabalhistas (CLT). É importante lembrar que os funcionários também são titulares de dados e devem ter a sua privacidade respeitada como os clientes, fornecedores, parceiros.
- Políticas Públicas: para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
- Pesquisa: garantindo, sempre que possível, a anonimização dos dados pessoais.
- Contrato: para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.
- Processo Judicial: para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
- Vida: para a proteção da vida ou da incolumidade física do titular ou de terceiro.
- Saúde: para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
- Legítimo Interesse: quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. (Neste caso mais difícil de justificar)
- Proteção ao Crédito
Caso o seu negócio se encaixe em um das possibilidades acima, vá em frente!
Mas é sempre bom lembrar que a prevenção evitará dores de cabeça no futuro. Estar em compliance com a LGPD é estar também em compliance com as normas de segurança da informação. Afinal a própria lei, no seu capítulo 7 trata as melhores práticas de segurança.
É aconselhável elaborar um relatório de de risco de impacto a privacidade dos dados pessoais. Nele deverá conter “a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”. Sendo assim, uma das principais preocupações que deverá existir para respeitar a lei, nos quesitos transparência e prestação de contas em especial, é saber de forma exata quais foram as violações de dados existentes e as medidas serão tomadas no momento da ocorrência de violação de dados e incidentes de segurança da informação.
Em suma, a nova lei veio proteger a sua privacidade. Veio educar o mercado no sentido de mostrar que os dados pessoais estão intimamente ligados à privacidade do cidadão. Basta adequar-se a ela e ampliar cada vez mais o seu negócio.
Será que as empresas estão prontas para isso?
Mãos à obra!
Autor: Cláudio Pessoa