Em agosto de 2020, todas as empresas, independente de seu porte e segmento, deverão estar adequadas aos termos da lei 13.709/18, conhecida como a Lei Geral de Proteção de Dados Pessoais (“LGPD”), sob pena de pesadas multas e sanções, que podem, inclusive, chegar a 2% do faturamento bruto, por infração.
A data de vigência, marcada para o próximo ano, parece distante, mas, em matéria de LGPD, as palavras de ordem são efetividade, engajamento, conscientização, treinamento e monitoramento contínuo, que representam um processo de mudança de cultura no tratamento de dados, que não ocorre da noite para o dia.
Para fins de adequação, algumas empresas recorrem à aquisição de softwares; limitam o projeto ao seu departamento de TI, esquecendo que dados circulam em arquivos físicos, como o armário com chave de departamentos; arquivo morto; imagens de câmeras de segurança; livro registro de visitantes etc.; ou tem a falsa percepção que cláusulas e acordos de confidencialidade endereçam as obrigações impostas pela lei.
No processo de adequação à LGPD, não existe fórmula e a análise é caso a caso, mediante engajamento de todas as áreas, em iniciativas que funcionem, e sejam pensadas para a realidade e situações vividas no curso dos negócios.
Basta imaginar um sistema, adquirido por uma empresa, que permita a eliminação remota de dados contidos em celulares corporativos, em caso de extravio. Contudo, nessa empresa, o colaborador também pode usar seu celular pessoal nas suas atividades profissionais, que não é alcançado por esse sistema, relegando-o à total ineficácia para o risco que deveria endereçar.
Mais ainda, o colaborador, além de não entender a gravidade da perda do celular corporativo, seja por qualquer meio – e mais preocupado com o valor do equipamento que pode ser descontado de seu salário - não sabe nem a quem recorrer quando uma situação dessa natureza acontece ou não tem o senso de urgência de agir, o mais rápido possível, para dar a oportunidade e chances reais de remediação e mitigação dos riscos associados. Falta-lhe treinamento e compreensão que dados e incidentes de segurança são assuntos sérios.
Na atual conjuntura, não existe uma cultura de proteção de dados. Os contratos de trabalho, fornecedores, clientes e parceiros se limitam, de maneira geral, a regularem compromissos de confidencialidade e não concorrência. Contudo, confidencialidade e proteção de dados não se confundem e cláusulas que versam sobre o assunto endereçam riscos distintos.
A confidencialidade vale entre as partes que a pactuaram e implica, essencialmente, em uma obrigação de não fazer, de não divulgar informações que teve conhecimento, por iniciativa própria. Já a obrigação de proteção de dados, implica em esforços ativos, zelo, cuidado através de meios razoáveis, para que um dado não venha a ser acessado, conhecido e tratado por quem não deva.
Por exemplo, uma reunião, protegida por acordo de confidencialidade ratificado por todos os participantes. Ao longo da reunião, um dos participantes tira fotos de slides e anota o conteúdo apresentado em seu computador. Esse participante, ao voltar da reunião, deixa seu computador aberto; não atualiza seu antivírus; e deixa as notas em cima da sua mesa, em ambiente open space. O participante não violou sua obrigação de confidencialidade, pois não contou para ninguém o que houve na reunião, mas foi negligente em relação à proteção dos dados a que teve acesso, fazendo com que o conteúdo da reunião possa ser vazado.
No escopo da LGPD, fórmulas prontas, contratos padrão e “programinhas” não resolvem.
Planejar o orçamento de 2020, considerando investimentos voltados à LGPD, além de prezar pelo seu cumprimento, prevenirá gastos desnecessários incorridos na correria e direcionará a empresa para o compliance com a legislação, prevenindo, assim, as impactantes contingências.
________________
*Livia Cunha Fabor é advogada da área de compliance do escritório Martinelli Advogados.