Adequação a LGPD: Uma demanda urgente e sem atalhos
Não há bala de prata quando o assunto é adequar uma empresa à LGPD, simplesmente porque as empresas, tanto em relação à sua organização interna quanto aos serviços/produtos fornecidos e a forma de fornecê-los, não são iguais.
sábado, 26 de março de 2022
Atualizado em 25 de março de 2022 10:32
Desde sua aprovação, a LGPD - Lei Geral de Proteção de Dados - tem causado muitas discussões, sejam de âmbito teórico, no que diz respeito aos fundamentos jurídicos e filosóficos da proteção trazida por esta lei; sejam em relação aos aspectos práticos, sobretudo acerca das medidas que devem ser implementadas, rotinas que precisam ser alteradas e processos a serem abandonados a fim de se atingir a adequação à norma. Embora as propostas de soluções rápidas e baratas para a adequação à LGPD sejam tentadoras, deve-se ter em mente que essa lei é extremamente complexa, pois demanda a atuação conjunta de diversas áreas e de maneira interdisciplinar.
Como dito pelo jornalista norte-americano Henry Louis Mencken "para todo problema complexo, existe sempre uma solução simples, elegante e completamente errada". Isso não é diferente quando o assunto é a adequação às normas de privacidade e proteção de dados pessoais, ainda mais porque a LGPD traz em seu bojo diversos direitos para os titulares, aos quais correspondem deveres para os ditos agentes de tratamento1 de dados. Além disso, o referido conjunto normativo também prevê várias sanções para o caso de as empresas não conseguirem demonstrar que estão de acordo com a legislação, dentre elas advertências, multas, bloqueio dos dados pessoais, judicialização de demandas, além de sérios prejuízos à marca da empresa o que, por conseguinte, poderá acarretar em perda de clientes, parceiros comerciais e uma consequente e significativa perda de receita.
Esses diversos prejuízos somados à complexidade que a norma apresenta, leva muitas empresas a, acreditando ser suficiente, disponibilizar uma simples política, ou aviso, de privacidade em seu site principal. É preciso deixar claro, desde já, que a mera disponibilização deste documento - muitas vezes genérico e feito a partir de um modelo pronto encontrado na internet - não é nem de longe suficiente para garantir o devido compliance à LGPD. Aliás, apresentar um aviso de privacidade no site da empresa sem antes ter realizado diversos procedimentos de diagnóstico interno e implementação de medidas técnicas e administrativas é uma medida no mínimo ineficaz e problemática, haja vista que o papel deste documento é prestar informações claras, verídicas e de acordo com a realidade da empresa. Ora, se não foi realizado um processo de adequação interno, identificando os processos de tratamento de dados, bem como o fluxo e ciclo de vida útil desses dados e as medidas adotadas para garantir a segurança, como é possível informar aos titulares sobre tais procedimentos? Como informar ao titular de dados que a empresa cuida dos dados pessoais se a organização sequer sabe quais dados trata e para quais finalidades?
Não há bala de prata quando o assunto é adequar uma empresa à LGPD, simplesmente porque as empresas, tanto em relação à sua organização interna quanto aos serviços/produtos fornecidos e a forma de fornecê-los, não são iguais. É, de fato, um trabalho minucioso e extenso, que demanda a cooperação de diversos setores e um conhecimento aprofundado da própria organização. Todavia, não realizá-lo ou procurar atalhos extremamente rápidos e milagrosos gera um custo imenso que pode significar a própria subsistência do negócio.
Dito isso, é importante compreender alguns deveres previstos na LGPD e o que é necessário fazer para cumprir com essas obrigações.
O primeiro passo é entender o contexto regulatório em que se encontra a empresa, isto é, quais normas, nacionais e/ou internacionais, são aplicáveis, além da própria LGPD, como normas setoriais2, GDPR3, CCPA4, etc.
Em seguida, é preciso identificar quais os processos internos que precisam tratar dados pessoais. Esta fase é o que se convencionou chamar de data mapping ou mapeamento de dados. Para atingir essa finalidade é necessário identificar as atividades e processos internos que são realizados, por quem o são e em quais há o tratamento de dados e, ainda, quais tipos de dados, a quem se referem, a sensibilidade e volume dessas informações. Esse passo é fundamental, pois permite que os controladores e operadores de dados consigam estruturar o núcleo duro do Relatório de Processos de Tratamento de Dados ou Record of Processing Activities - RoPA, a que se refere o art. 37 da LGPD5.
Uma vez identificado o caminho que o dado percorre dentro da organização e tendo a estrutura básica do aludido relatório, é possível realizar um diagnóstico completo sobre o nível de adequação da empresa às normas de privacidade e proteção de dados pessoais. Como parte do diagnóstico, é imprescindível a realização de uma análise de risco, ou gap analysis, por meio do qual será medido os níveis de criticidade em cada processo de tratamento de dado, levando em consideração a probabilidade de um evento danoso ocorrer, bem como o seu grau de impacto, caso ocorra. Esta fase é essencial para definir como serão dados os passos de implementação, quais medidas e quais áreas do negócio priorizar, pois como diz uma famosa frase "o que não é definido não pode ser medido. O que não é medido não pode ser melhorado. O que não é melhorado é sempre degradado."
Uma vez mapeado os processos de tratamento de dados, os dados utilizados e seu ciclo de vida útil e após identificado os principais gaps em relação às normas de privacidade e proteção de dados aplicáveis, que nem sempre se restringem à LGPD, é possível aplicar as medidas corretivas e implementar novas rotinas a fim de garantir que a organização adota boas práticas de governança aptas a proteger a privacidade e os dados pessoais dos titulares de dados com os quais se relaciona. Nesta fase realiza-se a identificação de todas as bases de dados que legitimam os tratamentos de dados, as hipóteses legais que autorizam esse tratamento, bem como ocorre a implementação de, dentre outras, medidas técnicas e administrativas de segurança, revisão contratual, due diligence de parceiros e fornecedores e a elaboração de um bom aviso de privacidade, capaz de cumprir com o princípio da transparência6.
O processo de adequação, como dito, não é simples, tampouco é algo que se finaliza em poucos dias ou, ainda, que se esgote com a mera utilização de um modelo padrão de aviso de privacidade. Entretanto, é um investimento de recursos que irá, em primeiro lugar, cumprir com as normas jurídicas vigentes, e, depois, trará diversos benefícios, sobretudo um diferencial competitivo para a organização.
_____________________
1 Agentes de tratamento, conforme a LGPD (art. 5º, IX) são as pessoas físicas ou jurídicas, de direito público ou privado que, de algum modo, tratem dados pessoais, seja na condição de Controladora de Dados (art. 5º, VI), tomando as decisões chaves para o tratamento dos dados; seja na condição de Operadora de Dados (art. 5º, VII), seguindo instruções de outrem e agindo em nome deste.
2 Como normas do Bacen, consumeristas, proteção ao crédito, dentre outras.
3 General Data Protection Regulation, Regulamento Geral de Proteção de Dados da União Europeia.
4 California Consumer Privacy Act, Lei de Privacidade do Consumidor da Califórnia é, sucintamente, a primeira lei de privacidade abrangente nos Estados Unidos.
5Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse [destaque nosso].
6 VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Alan Duarte
Advogado do escritório Helder Nascimento Advogados.