A Lei Geral de Proteção de Dados, Lei nº 13.709/2018 (LGPD), é um novo marco legislativo de grande impacto para a sociedade brasileira, por tratar da proteção dos indivíduos em qualquer relação que envolva o tratamento de informações classificadas como dados pessoais, em qualquer meio (digital ou analógico), por pessoa natural ou jurídica, sejam instituições privadas ou públicas.
E dado pessoal, por sua vez, é toda informação que pode identificar o indivíduo, como seu nome, RG, CPF, endereço, dados biométricos, imagem, voz e até seu genoma.
E pela importância dos meios informatizados, dados pessoais são hoje utilizados por quase todo o comércio (online ou tradicional), nas campanhas de marketing, no direcionamento da inovação e no desenvolvimento dos novos negócios.
Por isso, os dados são chamados de “o novo petróleo”: eles são o combustível que movimentam a maioria das novas relações econômicas da atualidade.
Como exemplo, os produtos baseados em inteligência artificial, o marketing dirigido a determinadas parcelas de consumidores e os novos dispositivos robóticos, são todos absolutamente dependentes de dados pessoais que orientam os algoritmos e dirigem os melhores resultados, numa curva de aprendizado que visa sempre melhorar as potencialidades econômicas das novas tecnologias.
E com o advento da tecnologia 5G, que aumentará em muitas vezes o volume de banda de internet disponível à sociedade brasileira, finalmente teremos o advento da internet das coisas (IoT) que, por sua vez, ampliará ainda mais a circulação de dados pessoais.
Em poucas palavras, a LGPD é uma regulamentação que traz princípios, direitos e obrigações decorrentes do uso de um dos ativos mais valiosos da sociedade digital, que são os dados pessoais.
A ideia, baseada no Regulamento Europeu de Proteção de Dados (GDPR), foi o de proteger os direitos fundamentais de liberdade e de privacidade do titular – pessoa natural – trazendo consigo a premissa da boa-fé em todo o tipo de tratamento de dados pessoais.
- Leia também:
Impactos da propriedade intelectual no metaverso
Qual o potencial de movimentação financeira da indústria de games?
Penalidades Impostas pela ANPD
Desde a vigência da LGPD, todas as organizações passam a ter que cumprir uma série de obrigações, como o de estabelecer controles técnicos para segurança das informações no uso dos dados que identifiquem ou possam identificar uma pessoa natural, principalmente os denominados dados sensíveis, isto é, aqueles que podem de alguma forma submeter o titular a qualquer espécie de preconceito.
As normas de proteção de dados pessoais, nas diversas partes do mundo, têm uma característica peculiar, que foi o de estabelecer processos que auferem o cumprimento das diversas obrigações para com os titulares dos dados, tanto por meio da análise de trilhas de auditoria como pela implementação de uma série de itens de controle, naquilo que se convencionou como governança da privacidade.
Assim, é necessário que as organizações de qualquer porte procurem se adaptar à LGPD, evitando gastos com penalidades aplicadas por parte da Autoridade Nacional de Proteção de Dados (ANPD) ou pelo Judiciário, além de afastar danos reputacionais.
Os pequenos e médios empreendedores (PMEs) que não estiverem aderentes às regras também estão sujeitos às penalidades impostas pela ANPD, inclusive, quanto à multa de 2% do faturamento anual da empresa (ou do conglomerado o qual pertença), limitada a R$ 50 milhões.
A LGPD não faz distinção em relação a grandes, médios e pequenos empresários. Porém, em outubro de 2021, a ANPD lançou um guia orientativo sobre segurança da informação direcionado aos agentes de tratamento de pequeno porte.
Critérios de aplicação da LGPD para microempresas
Em janeiro de 2022, a ANPD publicou a Resolução nº 2, adotando os critérios de aplicação da LGPD, justamente aplicável às microempresas, empresas de pequeno porte e startups, todas elas com ou sem fins lucrativos, bem como às pessoas naturais e entes privados despersonalizados.
O requisito é que todos esses entes realizam o tratamento de dados pessoais, em que assumem o papel típico de controlador ou de operador.
As normas publicadas pela ANPD indicam os critérios mínimos que devem ser utilizados para o tratamento de dados, assim como as medidas administrativas e técnicas de segurança da informação que precisam ser implementadas pelas PMEs.
Em complemento, foi apresentado pela ANPD um checklist para facilitar a visualização das medidas que deverão ser adotadas e implementadas:
- POLÍTICA DE SEGURANÇA DA INFORMAÇÃO:
É um documento essencial para que as empresas entendam o cenário quanto a seu nível de maturidade, relativamente à confidencialidade, integridade e disponibilidade das informações e dados pessoais sob sua guarda, além de apontar quais as medidas de segurança aplicadas, indicando a maneira em que corrigirá eventuais lacunas visando impedir ou mitigar os efeitos de um incidente de dados pessoais (como um vazamento acidental ou um ataque hacker);
- CONSCIENTIZAÇÃO E TREINAMENTO:
É uma das principais etapas do Programa de Governança de Privacidade a ser implementado pela organização, pois é através do aculturamento e da capacitação constante das pessoas envolvidas que se promovem a mudança de comportamento e a adesão às novas regras e procedimentos;
- GERENCIAMENTO DE CONTRATOS:
É necessário que a empresa realize a gestão dos contratos revisando as relações vigentes e estabelecendo cláusulas de proteção de dados (tanto nos novos instrumentos como nos antigos, por meio de aditivos), definindo claramente as responsabilidades de cada uma das partes;
- CONTROLE DE ACESSO:
A limitação do acesso às informações por meio do controle de acessos, seja de forma física ou digital, é uma medida de segurança que visa resguardar a confidencialidade dos dados pessoais que são armazenados, razão pela qual é importante estabelecer critérios objetivos sobre este ponto, na forma de uma política clara, aplicável a todos os colaboradores, fornecedores e parceiros;
- SEGURANÇA DOS DADOS PESSOAIS ARMAZENADOS:
Quando necessário, as PMEs devem implementar soluções técnicas capazes de pseudoanonimizar ou criptografar dados pessoais, minimizando a coleta de dados naquilo que seja necessário ao cumprimento de seus fins e reforçando a orientação aos colaboradores;
- SEGURANÇA DAS COMUNICAÇÕES:
É importante instalar e manter atualizados (e ativos) os sistemas informatizados, notadamente os de proteção, tais como firewalls e antivírus, além de utilizar conexões cifradas (como TLS/HTTPS) ou criptografadas fim-a-fim, filtros de spam, e-mails e antivírus integrados etc.;
- GERENCIAMENTO DE VULNERABILIDADES:
É necessário atualizar periodicamente todos os sistemas e aplicativos e patches de segurança, realizando varreduras periódicas de segurança;
- DISPOSITIVOS MÓVEIS:
É importante que haja uma separação entre os dispositivos utilizados para fins privados dos de uso institucional, inclusive, com regras específicas para os equipamentos de uso misto, sendo necessária a autenticação por múltiplos fatores, adotando-se funcionalidades que permitam apagar remotamente os dados pessoais armazenados em dispositivos móveis;
- SERVIÇOS EM NUVEM:
A contratação de serviços de armazenamento ou processamento de dados pessoais em nuvem demanda a celebração de pactos expressos (cláusulas contratuais) prevendo níveis de segurança das informações, avaliando se o serviço oferecido pelo provedor atende os requisitos mínimos de proteção de dados e segurança da informação;
Boas práticas para a aplicação da LGPD
Além das orientações trazidas pela ANPD no Guia Orientativo, no Checklist de Segurança da Informação e na Resolução, as PMEs devem ainda se preocupar com as seguintes atividades:
- Avaliar a necessidade de indicação de um Encarregado pela Proteção de Dados (DPO), ainda que não haja obrigatoriedade para todas as empresas, visto se tratar de uma medida de boas práticas;
- Conhecer a estrutura organizacional, realizando o mapeamento do ciclo de vida dos dados, desenhando o fluxo de tratamento por área;
- Atribuir finalidade, base legal, prazo de retenção e descarte para cada atividade de tratamento de dados;
- Realizar a gestão de consentimento (quando aplicável) junto ao respectivo titular, garantindo o direito de revogar a utilização, de forma facilitada e gratuita;
- Estabelecer regras claras e objetivas para os colaboradores que realizam o tratamento de dados em nome da empresa, mantendo um programa de capacitação continuada;
- Verificar em todo e qualquer documento, arquivo ou processo, a existência de dados pessoais, estabelecendo um controle de acesso, inclusive, com o uso de soluções de gestão de registros;
- Tratar sempre o mínimo de dados necessários para atender a finalidade proposta e compartilhar apenas com áreas, profissionais e empresas autorizadas ou que sejam as destinatárias daquele processo;
- Tomar todos os cuidados na impressão de documentos, envio de e-mails, assinaturas e no reuso de informações;
- Não deixar papéis, pastas ou arquivos contendo dados pessoais em local de acesso facilitado (sob a mesa de trabalho ou em arquivos sem controle de acesso), nem utilizar post-its para anotar dados pessoais;
- Não compartilhar logins e senhas, devendo guardá-los em local seguro (de preferência, sem escrever ou registrá-los de forma analógica);
- Não acessar sites perigosos ou clicar em links desconhecidos;
- Gerir documentos e informações nas plataformas e sistemas oficiais, evitando o uso de sistemas piratas ou inapropriados para a função;
- Realizar auditorias periódicas em sistemas e plataformas, identificando potenciais riscos de segurança;
Longe de esgotar o tema, a cultura da proteção de dados é ainda insipiente no Brasil.
Porém, na medida em que os incidentes de dados escalarem para prejuízos financeiros ou reputacionais, caso faltem medidas mínimas para o atendimento da LGPD, talvez seja tarde para evitar as sanções ou consequências jurídicas.
A melhor dica, no momento, é responder ao seguinte exercício de stress:
Se um fiscal da ANPD ou do Ministério Público do Trabalho; uma autoridade pública (como um promotor federal ou um oficial de justiça); ou um interessado direto (como um cliente, fornecedor ou funcionário), solicitarem à sua empresa que informe se ocorreu um vazamento de dados pessoais de seus arquivos (RH, comercial ou marketing) no último mês, você teria condições de emitir em quinze dias
(i) um relatório técnico descrevendo todo os processos de tratamento de dados pessoais realizados no âmbito da empresa nos últimos sessenta dias,
(ii) assegurando que todos os acessos foram realizados por pessoal autorizado,
(iii) capacitado e
(iv) com o registro (log) das operações, (v) indicando a base legal de cada um dos tratamentos,
(vi) as finalidades e
(v) o prazo previsto para guarda dos dados?
—
Solano de Camargo
Pós-doutorando pela Faculdade de Direito da Universidade de Coimbra. Doutor e mestre pela Faculdade de Direito da USP, onde se graduou. Interuniversity exchange doctorate pela Faculdade de Direito da Universidade do Porto. Bacharel em direito francês e Master 1 pela Faculdade de Direito Lyon 3 (Jean Molin), onde cursa o Master 2. Presidente da Comissão de Privacidade e Proteção de Dados da OAB-SP. Advogado em São Paulo, sócio fundador do escritório Lee, Brock, Camargo Advogados.