Observamos atualmente um crescimento exponencial no uso da internet e da tecnologia no mundo dos negócios. Por outro lado, as empresas estão cada vez mais agressivas em suas ações de marketing e utilizando os dados pessoais para fins de promover as suas atividades. Ademais, verificamos, rotineiramente, a ocorrência de vazamentos de dados em todos os setores da sociedade, bem como hackers agindo na rede por motivos econômicos e outros tantos que nem podemos imaginar.
A sociedade civil e alguns políticos perceberam a dinâmica acima, o que gerou a criação de leis visando regular estas questões, de modo a proteger os direitos fundamentais da privacidade, liberdade e livre formação da personalidade de cada indivíduo.
O Brasil se inspirou na legislação europeia e, após ampla discussão no Congresso Nacional promulgou a LGPD que elenca como seus princípios norteadores: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
As principais mudanças referem-se à revisão dos procedimentos internos que tratam dados pessoais, cujo início se dá com o registro das operações (Record of Processing Activities, ROPA) o qual permitirá visualizar os fluxos de dados pessoais e dados pessoais sensíveis existentes nas diversas atividades realizadas pelos departamentos da empresa. Recomenda-se que em paralelo a organização atualize o seu inventário de ativos, catalogando os documentos que possuem dados pessoais de acordo com sua respectiva finalidade, titular, fundamento legal, prazo de retenção e classificação da informação.
Os documentos acima permitirão à organização visualizar as atividades mais sensíveis à incidência da LGPD e necessidade de adoção de medidas, salvaguardas e mecanismos operacionais, administrativos e técnicos para adequação e/ou mitigação de riscos de não conformidade ou de segurança da informação.
Cabe esclarecer que garantir a conformidade com a LGPD é assegurar a adequação das atividades aos princípios legais de finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; e responsabilização. Estes princípios são verdadeiras orientações práticas sobre como deve ser feito o tratamento legal de dados pessoais.
Ao final deste processo de registro e avaliação de impacto legal, será necessário formalizar o RIPD - Relatório de Impacto à Proteção de Dados Pessoais para aquelas atividades que podem causar riscos às liberdades civis e aos direitos fundamentais dos titulares. Este documento poderá ser exigido pela ANPD - Autoridade Nacional de Proteção de Dados durante qualquer fase do processo administrativo ou por agentes do Poder Público.
Por fim, as empresas devem estruturar e estabelecer planos de resposta às solicitações de titulares e de incidentes de privacidade nos prazos legais. Bem como, devem indicar um Encarregado (Data Protection Officer, DPO), salvo quando figurarem como “agentes de tratamento de pequeno porte” nos termos da Resolução CD/ANPD 2/22, ocasião em que esta nomeação será facultativa.
Cabe sempre lembrar que se entende por dados pessoais todas as informações suficientes para identificar uma pessoa natural, tais como os números de telefone e do CPF/MF - Cadastro de Pessoais Físicas do Ministério da Fazenda ou uma imagem obtida por meio de câmera instalada em uma loja. Ademais, a LGPD denomina como “titular” a pessoa natural a quem se referem os dados pessoais que são objetos de tratamento, bem como “controlador” qualquer pessoa jurídica ou física que usa informações para fins econômicos e a quem compete às decisões sobre o tratamento de dados, existindo, ainda, a figura do “operador” que é quem realiza o tratamento de dados pessoais em nome do controlador.
Nessa esteira, cumpre esclarecer que a LGPD dispõe sobre as regras acerca da responsabilidade dos agentes (controlador e operador) em cenários de incidentes (-o simples descumprimento de qualquer disposição legal é um incidente de privacidade) e prevê penalidades administrativas diversas, quais sejam, advertência, multas, bloqueio de dados e publicização da infração. Em resumo, responderá o controlador em primeiro lugar, podendo ser incluído solidariamente o operador quando, em razão do tratamento de dados pessoais, descumprir as obrigações da Lei ou não seguir as instruções lícitas do controlador, conforme os arts. 42 e seguintes.
Este ponto é sensível às redes de franquia, uma vez existindo compartilhamento de dados entre as empresas franqueadora e franqueada, prática esta corriqueira. Vale ressaltar que as penalidades previstas são pesadas, incluindo, conforme acima, a publicização do evento, o que pode representar severo prejuízo à imagem da marca e da rede como um todo.
Na relação franqueado – franqueador podemos verificar um cenário em que ambos são co-controladores para determinados dados e não para outros (por exemplo, quando há o tratamento em conjunto de dados pessoais dos clientes). Ou ainda uma situação em que o franqueador é operador dos dados controlados pelo franqueado (por exemplo, quando existe o compartilhamento dos dados dos colaboradores dos franqueados com os franqueadores).
Nessa linha, cabe a franqueadora adaptar os seus contratos de franquia e definir as políticas de privacidade da rede sobre a gestão e tratamento dos dados pessoais, além de promover as medidas de segurança da informação compatíveis. Dentro deste escopo, há a necessidade de a franqueadora exigir e viabilizar o respeito dos franqueados acerca de sua política de governança sobre o assunto. Do lado dos franqueados, estes também devem seguir o estipulado na legislação, igualmente considerando as suas características.
Por fim, importante destacar que a conformidade com a LGPD está intimamente relacionada ao processo de “transformação digital”, na medida em que, a partir do avanço tecnológico das organizações, cuidados com a privacidade devem ser intensificados para garantir que os processos internos ocorram de forma sustentável e dentro da legalidade.
Frisa-se que os riscos à privacidade dos indivíduos aumentam significativamente quando existe a prática de atividades que envolvam dados pessoais em larga escala; situações que podem ocasionar discriminação, violação à integridade física, ao direito de imagem, fraudes financeiras ou roubo de identidade; vigilância ou controle de zonas acessíveis ao público; e o uso de tecnologias emergentes ou inovadoras, tais como a computação em nuvem, IoT - internet das coisas, RA - realidade aumentada, big data e IA.