Proteção de Dados como Direito Fundamental
Muito embora a LGPD (Lei Geral de Proteção de Dados Pessoais) tenha entrado em vigor ainda 2020, o fato é que o Brasil assiste de camarote ao descumprimento da Lei por mais de 50% das empresas. Entretanto, mais grave do que não estar em conformidade com a LGPD é a falta de conhecimento da esmagadora maioria sobre esse tema de tamanha relevância.
Não obstante, há ainda um outro ponto de atenção: desta vez é sobre os quase 50% que se julgam estar em compliance com a Lei. Ou seja, por estarem de posse de algumas políticas e até mesmo do termo de consentimento, acreditam que isso seja o suficiente. Fato é que estar em conformidade com a LGPD está muito distante desses simples termos que possuem.
Se antes essa situação já era um “abacaxi” que as empresas precisariam descascar, agora há um agravante: a Proteção de Dados se tornou um direito fundamental. Isto é, com a aprovação dessa PEC, esse direito se torna absoluto e inalienável.
O fato é que a Proteção de dados como direito fundamental, proposta pela PEC proteção de dados, não é algo esperado e almejado tão somente: Essa, agora, Emenda Constitucional representa todo um avanço para o Brasil.
Se o impacto já era grande, agora é maior.
Aos acomodados de plantão aconselha-se atenção e velocidade na adequação à Lei, pois duras sanções estão sendo aplicadas, incluindo a suspensão das atividades de uso de dados pessoais.
Todavia, a maior sanção que vem sendo imposta às empresas é aquela que não está diretamente contemplada na Lei. Trata-se da perda de oportunidades por aqueles que ainda nada fizeram.
Fato é que grandes contratos estão sendo cancelados e novas oportunidades tampouco estão surgindo a essas empresas, que ainda não se movimentaram no tocante à adequação à LGPD.
Contudo, fica aqui uma alerta. No afã de correrem contra o tempo e evitarem maiores desgastes, algumas empresas estão se curvando a propostas milagrosas oferecidas na internet. Cuidado! Estar em conformidade com a LGPD não é algo tão simples como possam imaginar.
Portanto, o melhor que se pode fazer, neste momento, é buscar uma consultoria especializada no tema LGPD e, assim, evitar maiores complicações e dissabores.
Outro ponto de bastante relevância, na contramão do que vem sendo alardeado, a Lei nº 13.709/2018 não regulamenta apenas as situações relacionadas a vazamento de dados pessoais, muito embora este seja o incidente de segurança mais comum. Importante destacar que o vazamento afeta apenas um dentre os quatro pilares da segurança da informação, que são, respectivamente:
* Confidencialidade, que garante que os dados estão protegidos de terceiros;
* Integridade, que garante que os dados estão íntegros e que não sofreram e tampouco sofrerão quaisquer espécies de alterações, se não as autorizadas;
* Disponibilidade, que garante que as informações do titular estarão sempre disponíveis;
* Autenticidade, que garante que as informações poderão ser entregues a uma outra pessoa ou sistema, tão somente se autorizados.
Portanto, para que as empresas estejam em real conformidade com a lei, é preciso realizar algumas etapas, que são:
1) Elaborar um mapeamento de todos os dados utilizados, incluindo os que estão em documentos físicos, como papéis. Este documento deverá discriminar:
- a) por quanto tempo cada dado será mantido na empresa;
- b) qual a hipótese de tratamento, elencada nos artigos 7º, 11 ou 14, permite que haja o tratamento desse dado;
- c) por quanto tempo será mantido na empresa essas informações; e
- d) que tipo de controle e medida são adotados para mitigar riscos de segurança da informação. É importante ressaltar que todos os dados que forem utilizados pelas organizações, deverão preencher os 10 princípios elencados no art. 6º da LGPD.
2) Ajustar todos os contratos com fornecedores, clientes e com todos os colaboradores, discriminando quais são as responsabilidades de cada um, segundo o que preceitua a Lei.
3) Elaborar todas as políticas e implementá-las para que haja eficácia prática. As principais políticas são: Política de Segurança da Informação, Política de Privacidade e Proteção de Dados, Política de Cookies, Política de Antivírus, Política de Firewall, Política de Senhas, Política de Backup, Política de Criptografia, Política de Logs, Política de Mesa Limpa e Política de Acesso às Instalações Físicas da Empresa.
4) Implementar todas as Medidas Técnicas e Administrativas de Segurança, elencadas no artigo 46 da LGPD.
5) Contratar um Canal de Titular apropriado para atender aos direitos do titular, elencados nos artigos 18 e 19. Embora a Lei não faça qualquer objeção para que o atendimento dessas demandas possa ser realizado por e-mail ou por telefone, o fato é que estes não são meios seguros, uma vez que há uma inversão do ônus da prova para o agente de tratamento. Desta maneira, considerando que a empresa deverá comprovar que atende às solicitações dos seus clientes, logo o telefone e o e-mail não são meios seguros para o exercício deste direito.
6) Elaborar um Relatório de Impacto (RIPD). Conforme a própria Lei discrimina, trata-se de uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Enfim, de uma maneira mais clara, a LGPD, ao contrário do que alguns dizem e ousam acreditar, é um processo bem mais delicado, ou seja, estar em conformidade com a Lei é mais complexo do que o senso comum deixa transparecer.
Contudo, com a aprovação da PEC proteção de dados, inserindo a proteção de dados como direito fundamental, as empresas deverão se movimentar mais rapidamente no sentido de estarem em conformidade com a Lei. Uma vez mais: a falta de atenção à LGPD poderá levar muitas empresas à falência.