Talvez você ainda não saiba, mas a LGPD, nossa Lei Geral de Proteção de Dados, está em vigor desde setembro de 2020 e é importante ficar alerta, pois não é uma lei aplicável apenas para empresas de tecnologia ou grandes companhias. A LGPD vale para todas as empresas que têm em sua custódia dados pessoais, o que na prática são todas as empresas constituídas, pois ao menos dados de empregados todas as empresas possuem, sem contar particulares e entidades governamentais que também estão sujeitos a essa lei, embora este não seja o assunto que será tratado aqui.
Cada mercado e segmento de produtos e serviços possui as suas peculiaridades, demandando cuidados especiais nos projetos de adequação à LGPD. Quando falamos de editoras, gravadoras e associações de música, nos referimos a um dos maiores mercados em que há troca de dados pessoais.
Porém, ainda por desconhecimento da legislação e das definições trazidas pela LGPD, muitas pessoas acreditam que não esse segmento não requer maiores cuidados, pois não lida diretamente com o mercado B2C. Tal fato se deve as proteções concedidas por essas empresas estarem relacionadas aos direitos autorais das obras musicais e literomusicais, bem como fonogramas e videofonogramas, trazendo certa confusão de que as únicas informações geridas se referem a estes produtos.
No entanto, por trás de todos esses produtos, existem autores, artistas e compositores, ou seja, uma extensa variedade de titulares de dados pessoais que possuem suas informações transacionadas entre diversas entidades. De fato, a LGPD denomina como sendo dado pessoal o mero nome¹, assim, o nome e pseudônimo desses titulares já merece proteção segundo a lei.
Dentro da mais variada gama de atividades desenvolvidas por essas empresas, como: elaboração de contrato de obra; autorizações diversas; campanhas de divulgação; execução pública e elaboração de relatórios, é essencial que tais companhias estejam aptas a proteger os dados obtidos de terceiros em razão desses serviços, através de locais físicos ou digitais controlados e seguros para armazenamento de documentações, com um programa de governança e privacidade estruturado, gerido por uma equipe de colaboradores treinados e dispondo de um encarregado capaz de atender as requisições dos titulares destes dados.
Em nossa experiência realizando projetos de implementação da LGPD em algumas editoras, gravadoras e associações de música, identificamos alguns pontos críticos e comuns em relação ao tema da privacidade e as possíveis medidas para mitigação de riscos que podem ser adotadas por tais companhias desde já:
- Contratos e transferências de dados: Normalmente essas empresas possuem uma tradição no mercado de possuírem diversos contratos regulando as relações entre elas, mas normalmente contratos em padrões anteriores a atual era da privacidade e proteção de dados. Portanto, grande parte dos contratos dessas empresas não regulamentam o uso e compartilhamento de dados pessoais entre os players do setor. Algumas delas passaram por processos de adaptação decorrentes da GDPR, mas dadas as diferenças com a LGPD, não passaram pelo mesmo processo de adaptação aqui no Brasil. Sendo que em alguns casos, inclusive, estamos falando de transferências internacionais de dados. Assim, será extremamente importante identificar as situações de transferências amparadas por contratos, inclusive as internacionais e até mesmo com as suas matrizes, quando for o caso, e revisitar esses contratos para adaptar às necessidades recentes da LGPD.
- Local para armazenamento dos documentos e respectivos dados: Muitas dessas empresas, por estarem constituídas há anos no mercado, possuem seus bancos de dados quase que completamente de forma física. Como a LGPD não diz respeito apenas a proteção das informações digitais, todos os documentos guardados em armários ou data center, devem ter minimamente algum tipo de segurança, como por exemplo: através de controle de acesso, podendo ser restrito à alta gerência da empresa ou aos colaboradores que necessitam efetivamente utilizar tais dados ou documentos para executar as tarefas do dia a dia, bem como o uso de algum mecanismo de bloqueio, como uso de cadeados e senhas.
- Compartilhamento externo: Grande parte das operações realizadas requerem o compartilhamento de dados com terceiros, como por exemplo outras editoras de música em caso de duplicidade; ou com associações musicais; ou com o próprio ECAD para cumprimento de alguma obrigação legal. Sugere-se que as empresas apostem em ferramentas seguras de compartilhamento através de pastas com senha, como, por exemplo, por nuvem ou drive, quando envolverem dados críticos e em grande volume.
- Compartilhamento interno: É usual colocar em cópia de e-mails diversas outras áreas da própria empresa, os quais podem conter informações pessoais de autores, compositores e artistas. Diversas pesquisas já identificaram que atualmente a principal causa de incidentes decorrem de falha humana, por essa razão, deve-se redobrar o cuidado com a inserção de destinatários errados e tentativas de phishing. Recomenda-se treinar os colaboradores e incentivar práticas de restrição aos números de pessoas em cópias dos e-mails, que devem ser enviados apenas para aquelas que tenham necessidade efetiva de acesso.
- Uso de sistemas de controles de autores: Algumas dessas empresas utilizam sistemas internacionais para o armazenamento dos dados de seus autores, com alta segurança, mas muitas vezes sem as devidas homologações para compatibilizar com os requisitos de transferências internacionais da LGPD. Além disso, algumas empresas do setor utilizam ferramentas próprias ou mesmo de mercado, mas antigas, desenvolvidas em uma época em que a questão da privacidade não era um cuidado tão relevante. É claro que a questão da segurança da informação sempre foi estratégica para essas empresas e tratada com atenção, no entanto a implantação de programas de governança em privacidade é muito mais ampla que isso, demandando a possibilidade de cumprir diversos direitos dos titulares de dados, além da necessidade da incorporação de conceitos como o privacy by default e privacy by design nesses sistemas. Assim, torna-se muito importante avaliar junto aos fornecedores dessas plataformas as eventuais necessidades de adaptação a nova realidade exigida pela LGPD.
- Uso de WhatsApp pessoal para recebimento de informações: Muitas companhias utilizam o WhatsApp como principal meio de contato com terceiros. Recomenda-se que a empresa assegure que o WhatsApp é a ferramenta mais adequada para o recebimento de dados pessoais, a homologue oficialmente na empresa e que se torne uma questão de compliance a sua utilização para esse fim. Do contrário, sugere-se que a área técnica assegure que haja outra ferramenta adequada ou ao menos o uso do WhatsApp corporativo. Caso seja inviável migrar para outro meio de comunicação, a recomendação é ao menos criar uma política que obrigue os colaboradores a enviar os dados recebidos pelo WhatsApp para os e-mails corporativos e façam a devida exclusão dos respectivos documentos da galeria de fotos do aparelho celular.
A Lei Geral de Proteção de Dados não surge para inviabilizar ou engessar o trabalho exercido por tais companhias, mas é claro que traz uma nova realidade em que os dados pessoais requerem um maior cuidado, não sendo possível manter velhas práticas sem mudar a sua cultura de proteção à privacidade.
O Programa de Governança em Privacidade deve conversar diretamente com as práticas que são realizadas no cotidiano corporativo, de forma a viabilizar a melhor forma para aplicação da lei, protegendo os direitos dos colaboradores, terceiros e parceiros contra os riscos de violações de dados pessoais. Além disso, ele também deve ser transparente com relação aos procedimentos da companhia no momento do tratamento dos dados pessoais recebidos; garantindo a aplicação das medidas de segurança a fim de zelar pela integridade, disponibilidade e confidencialidade das informações e promovendo a conscientização dos parceiros e colaboradores sobre a relevância do tema.
1- "Art. 5º Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável" – texto extraído da Lei Geral de Proteção de Dados Pessoais ("LGPD"). Disponível aqui. Acesso em: 30 jun. 2021.