compliance
O QUE É LGPD, OBJETIVOS, EXIGÊNCIAS E IMPLICAÇÕES DA LEI DE PROTEÇÃO DE DADOS
O que é LGPD, é uma daquelas dúvidas que, se não está entre as prioridades das suas curiosidades, deveria estar, pois a partir de agosto de 2020 a forma como as empresas lidam com os dados dos seus clientes, será determinante de elevadas punições, advertências severas, multas pesadas e até mesmo restrições operacionais.
A Europa já possui legislação ativa esparramando multas e punições contundentes nas empresas que não cumprem com o que é determinado para a proteção dos dados das pessoas, através da GDPR (General Data Protection Regulation).
A GDPR está em vigor no continente europeu desde maio de 2018, trazendo multas vultuosas, que podem chegar aos € 20 milhões ou 4% do faturamento anual da empresa infratora (o que for maior).
O que está previsto como punição em casos de inconformidade com a LGPD no Brasil, parte de 2% sobre o faturamento anual, podendo avançar até o teto de R$ 50 milhões.
Não há por onde fugir, pois mesmo que o congresso, numa atitude de última hora, procure abrandar os impactos da lei, o Brasil se associou ao esforço europeu e internacional para melhorar a segurança dos dados sensíveis das pessoas, o que faz com que a ação política sobre o tema fique limitada, sob pena do País ser alijado de uma série de vantagens de desenvolvimento oriundas de sua aderência ao tratado.
O que é LGPD e o que são dados sensíveis
LGPD é a sigla para Lei Geral de Proteção de Dados, como é conhecida a Lei 13.709/2018, promulgada em 14 de Agosto de 2018, que tem como principais objetivos, proteger os dados das pessoas, com fins bem específicos determinados no corpo da lei, para garantia e preservação dos direitos fundamentais do cidadão, conforme previsto no Artigo 5º da Constituição Federal.
Entre eles estão:
- Respeito à privacidade;
- Autodeterminação informativa;
- Liberdade de expressão, de informação, de comunicação e de opinião;
- Inviolabilidade da intimidade, da honra e da imagem;
- Desenvolvimento econômico, tecnológico e de inovação;
- Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais.
Numa leitura direta, a LGPD buscou uma inspiração aberta na legislação europeia para definir a proteção dos dados, determinando um rigor muito maior com os aspectos de responsabilidade, por parte das empresas e marcas, com tudo o que diz respeito à utilização dos dados dos seus clientes e do mercado como um todo.
A LGPD traz da GDPR:
- Princípios de responsabilização;
- Prestação contínua de contas sobre os dados;
- Apresentação clara de finalidade legítima;
- Adequação aos parâmetros de segurança;
- Clareza na demonstração de necessidade daqueles dados;
- Capacidade de prevenção contra vazamentos;
- Total eliminação de qualquer espécie de discriminação;
- Garantia assegurada ao proprietário dos dados, de livre acesso ao gerenciamento ou eliminação de suas informações, a qualquer tempo.
A maior parte destas determinações é claramente copiada das chamadas Key Issues, contidas na GDPR, que mais objetivamente, tratam de Privacy Impact Assessment, Processing, Record of Processing Activities, Right of Access e Right to be Forgotten and Informed.
A abrangência do entendimento internacional de aplicação da LGPD, torna bastante restritiva a atuação das empresas e marcas quanto ao controle dos dados das pessoas.
Se a empresa é brasileira ou se a operação de captura e tratamento de dados se dá no Brasil, ou ainda, se a oferta para qual aquela operação com os dados se direciona, ocorrer em território nacional, a empresa deve se adequar aos parâmetros da LGPD.
Se a captura e tratamento de dados tiver qualquer conexão com o território europeu, a empresa responsável também estará sujeita ao que determina a GDPR, exigindo que a empresa observe as 2 legislações.
O que se observa com clareza, é que está se estabelecendo uma malha quase inexpugnável que praticamente obriga, sob pena de responsabilidade séria, que todos os agentes de mercado tomem o máximo cuidado com os aspectos de captura, tráfego, armazenamento, controle e segurança dos dados das pessoas.
Isto se explica pela interconectividade assombrosa dos tempos atuais.
De nada adianta uma empresa, cidade, estado, nação ou continente, se aprimorar nos aspectos de segurança, se outras pontas conectadas aos sistemas, permitem vazamentos, que no fim, comprometem a integridade de toda a operação.
É aí que a coisa aperta e qualquer espaço para o tal “Jeitinho Brasileiro” vai ficando cada vez mais restrito.
O que é a ANDP
ANPD é a sigla para Autoridade Nacional de Proteção de Dados, uma autarquia criada através de Medida Provisória, que tem o número 869 (Convertida na lei 13853/2019) e data de 27 de Dezembro de 2018, que surgiu na esteira da nova LGPD (Lei 13.709/2018).
O único objetivo da criação da ANPD é o controle legal e de funcionamento da LGPD, com a função de manter o País em compliance com os termos do Regulamento Geral sobre a Proteção de Dados, algo que se não ocorresse, dificultaria o Brasil de executar qualquer tarefa com a EU que envolvesse tratamento de dados.
A medida provisória que estabeleceu a ANPD determina uma estrutura composta por conselho diretor, responsável pela gestão e um grupo técnico, que forma o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
Além desta espinha dorsal, a ANPD também conta com corregedoria e ouvidoria.
O Presidente da República é responsável pela nomeação dos 5 membros do conselho diretor, que serão posicionados por mandato, após sabatina no Senado Federal e só podem ser depostos depois de curso total de eventual processo administrativo que resulte em sua destituição, visando preservar a isenção das ações, com uma mínima ou nenhuma interferência política.
Já o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é formado por 20 membros, sendo 5 membros oriundos do governo, 3 da sociedade civil, 3 da comunidade científica, 3 da produção, 1 do Senado Federal, 1 da Câmara dos Deputados, 1 do CNJ, 1 do CNMP e 1 do Comitê Gestor da Internet, além de 1 representante dos empresários e mais 1 dos trabalhadores, todos com mandato de 2 anos.
As atribuições da ANPD estão bem claras e definidas no Artigo 55 da Lei nº 13.853/2019 e são as seguintes:
- Zelar pela proteção dos dados pessoais, nos termos da legislação;
- Zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei;
- Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
- Apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
- Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança
- Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
- Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
- Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
- Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
- Solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento da LGPD;
- Elaborar relatórios de gestão anuais acerca de suas atividades;
- Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
- Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
- Arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
- Realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
- Celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
- Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
- Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos da LGPD e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
- Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
- Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
- Comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
- Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
- Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.
A mesma lei que define as atribuições, também define as sanções envolvidas no processo de controle e proteção de dados:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária, observado o limite total a que se refere o inciso acima;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
Agravantes ou atenuantes considerados pelo conjunto de sanções da lei:
- A gravidade e a natureza das infrações e dos direitos pessoais afetados;
- A boa-fé do infrator;
- A vantagem auferida ou pretendida pelo infrator;
- A condição econômica do infrator;
- A reincidência;
- O grau do dano;
- A cooperação do infrator;
- A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
- A adoção de política de boas práticas e governança;
- A pronta adoção de medidas corretivas;
- A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
O que é legítimo interesse…
A LGPD traz também do cabedal europeu de leis, o conceito de legítimo interesse, que no continente europeu é definido como o marketing direto, por exemplo, embora esteja afeto a qualquer tramitação de dados pessoais.
O Brasil não é tão específico quanto a esta definição e o espectro de compreensão do significado é bem mais amplo, incluindo praticamente todas as ações de marketing que gerem tráfego e armazenamento de informações, onde se inclui o marketing digital, marketing de conteúdo, marketing de relacionamento, marketing de influência e todo o tipo de ação que envolva captura de dados (o que é expressivo nestas modalidades).
Importante lembrar que não se trata apenas de marketing, pois o legítimo interesse está conectado a qualquer situação ou ação que envolva a manipulação, de alguma forma, de dados de terceiros.
O que são dados sensíveis…
Provavelmente você deve estar acostumado a lidar com o conceito de dados pessoais, que costumam ser aqueles que identificam alguém, como nome, data de nascimento, endereço, profissão, documentação e uma série de outras informações de caráter objetivo.
A LGPD avança sobre um outro conceito mais aprofundado e fala sobre “dados pessoais sensíveis.”
Isto ocorre pela necessidade de adequação ao Artigo 5º da Constituição, que determina que os dados sensíveis são os que definem o indivíduo como ente social e seus posicionamentos.
Mais objetivamente, dados sensíveis se referem a…
- Origem racial ou étnica;
- Convicção religiosa;
- Opinião política;
- Filiação sindical ou religiosa;
- Filosofia e política;
- Saúde e sexualidade;
- Genética e biometria.
A referência específica sobre estes itens relacionados, é de alta relevância, pois possui significância com o princípio de não discriminação expresso na Constituição.
Informalmente podemos adiantar que o grupo de dados sensíveis tem potencial de nitroglicerina pura, dentro da nova legislação e as punições são severas.
De qualquer forma, a delicadeza destes dados sensíveis é tanta, que a própria LGPD criou definições específicas, no seu Artigo 11º, em que estes dados podem ser tratados livremente (entenda por “livremente”, algo que é tudo, menos livre, pois o monitoramento é rigoroso).
São apenas 2 hipóteses em que estes dados estão liberados para tratamento:
- Com o consentimento do titular dos dados: A empresa ou marca pode tratar os dados do titular sempre que conte com a autorização expressa para isto, sem dispensar que todas as determinações da lei sejam rigorosamente cumpridas;
- Sem o consentimento do titular dos dados: A LGPD determina 7 possibilidades expressas para o tratamento dos dados sensíveis sem a autorização por parte do titular:
- Cumprimento de ação legal ou regulatória: Existe esta possibilidade de tratamento dos dados sensíveis, sempre que o objetivo seja o cumprimento de lei ou regulamento, o que autoriza o ente público ou privado a realizar o processamento destas informações, obviamente cumprindo todo o restante das determinações gerais da lei;
- Compartilhamento de informações geosociais para aplicação de políticas públicas legais e regulamentares: Quando órgãos governamentais precisam conhecer o perfil social da população para trabalhar com as políticas públicas definidas nas leis, que estejam associadas a aspectos como sexualidade, raça, gênero e outras classificações sociais;
- Pesquisas e estudos geosociais: Realização de estudos estatísticos do perfil social e geográfico de regiões;
- Exercício legal de direitos: Cumprimento de aspectos legais, relacionados com a Lei nº 9.307/1996, Lei de Arbitragem, que determina o cumprimento e execução de contratos;
- Proteção da vida e integridade física do titular: Respeitando o princípio do ônus da prova da necessidade de tratar os dados sensíveis, casos em que o titular esteja com sua integridade em risco, liberam os processamentos, mesmo que o titular não conheça ou perceba estes riscos;
- Tutela de saúde: Direito de acesso e tratamento dos dados sensíveis apenas para profissionais da saúde ou da área sanitária, para execução de políticas globais de saúde, o que deixa evidente que não basta contratar um enfermeiro para poder lidar com os dados, já que a autorização sem consentimento se refere especificamente à aplicação de estratégias gerais de saúde;
- Segurança e prevenção à fraude: Para aspectos de autenticação das informações de acesso à sistemas bancários, financeiros, cadastros eletrônicos que permitam acesso a operações críticas, que podem resultar em danos objetivos ao titular em caso de falha desta autenticação.
É importante reiterar que, mesmo autorizado a manipular os dados sem a devida autorização do titular, pelas permissões expressadas nestes 7 itens, ainda assim o agente deverá respeitar rigorosamente todos os cuidados e aspectos legais de segurança, sem exceção.
O que é tratamento de dados…
Os dados podem ser genericamente classificados como dados pessoais e dados pessoais sensíveis, sendo que os dados pessoais são informativos gerais de identificação, localização e informações de cidadania, enquanto os dados pessoais sensíveis definem posicionamentos sociais.
O próprio Artigo 11° da LGPD define a equiparação de dados pessoais a dados pessoais sensíveis, sempre que o primeiro possuir potencial de danos ou prejuízos ao titular, o que igualmente equipara os aspectos legais de tratamento destes dados.
Tratamento de dados é algo de simples definição, pois se refere a qualquer operação envolvendo o contato direto ou indireto com os dados das pessoas.
Basicamente, tratamento de dados é tudo que envolva a captura, o tráfego, o armazenamento, a segurança e o controle destas informações.
O que é anonimização…
A anonimização dos dados, por mais complexo que possa parecer o nome, é a forma tecnológica que as empresas poderão utilizar para obter a total independência dos dados em relação aos seus titulares.
Anomização é desvincular informações dos seus titulares, o que resulta em dados estatísticos e informativos, sem conexão com as pessoas.
Um passo além da anonimização, está a criptografia.
Através de processos de criptografia, será possível manter os dados pessoais e dados sensíveis, ainda relacionados aos seus titulares, mas impossíveis de serem identificados por eventuais invasores ou vazamentos destas informações, sendo esta, a única maneira que a legislação entende como totalmente seguras para o tratamento destes dados.
A anonimização não apenas assegura maior segurança, mas exatamente por isto, torna a aplicação da lei de forma mais branda, já que se trata de uma previsão legal e, em muitos casos, uma exigência operacional.
O que a LGPD vai impactar na sua empresa
LGPD já é uma realidade, já possui datas de vigência bem definidas, assim como implicações, penalidades e todo o contexto de sua aplicação, o que deverá causar uma verdadeira revolução no tratamento dos dados por parte de nossas empresas e marcas.
De maneira indireta, a legislação já está ocasionando ações práticas, com diversas empresas sendo multadas, autuadas e penalizadas sob o manto do Marco Civil da Internet, Código de Defesa do Consumidor (CDC) e Constituição Federal (CF) em notícias que surgem de todo lugar.
A aproximação de Agosto de 2020 vai ocasionar aquilo que já estamos acostumados a observar quando se trata de Brasil: correria de última hora.
As empresas e marcas mais conscientes e conectadas com a realidade, já observaram que não se trata de mais uma daquelas leis das quais nos perguntamos: “Será que vai pegar?”
Já pegou!
Sequer o Congresso Nacional pode fazer muita coisa para facilitar a vida dos envolvidos, já que a LGPD surgiu como complemento e exigência de um entendimento internacional, e sua manipulação é muito restrita, pois qualquer lasca maior retirada do seu texto, ou modificada essencialmente, pode retirar da LGPD o caráter regulatório internacionalmente padronizado, algo com potencial de trazer consequências trágicas para todos os setores de nossa economia.
O que é preciso fazer para se adequar
LGPD vai ocasionar uma revolução cultural na sua empresa, por bem ou por mal, já que o ser humano aprende por apenas 2 caminhos: mais amor e menos dor.
O recomendado, é aprender por mais amor, para evitar a dor e, em casos mais extremos, até a morte da organização.
É uma verdadeira contagem regressiva para um futuro inevitável, que não é necessariamente ruim, apenas exigente.
A LGPD entra em vigor em 16 de Agosto de 2020.
A adequação das empresas à nova realidade é relativa e está associada ao grau de maturidade de cada empresa ou marca, mas estudiosos da área, que já estão trabalhando nesta adequação nas empresas mais avançadas, entendem que o processo de adequação deve levar, em média, entre 4 e 12 meses, sendo que variações fora deste espectro deverão ocorrer, principalmente para mais, no caso de empresas que não estejam cientes da importância de se adaptar à situação.
Além da consciência da empresa ou marca, o seu nível de maturidade técnica, o grau de avanço e qualidade dos mecanismos de controle da informação, os cuidados já praticados com o tratamento dos dados pessoais, o perfil de segurança da informação já utilizado, são determinantes do tempo que a empresa levará para encontrar uma situação de adequação aceitável aos novos parâmetros legais.
Accountability:
A GDPR classificou o conceito de accountability, que é uma forma de diagnosticar o grau de conformidade de uma empresa ou marca com a lei.
É realizada uma verificação sobre todos os aspectos onde o tratamento de dados possua um perfil crítico para a segurança, como quem avalia um encanamento em busca de possíveis vazamentos ou dispersões.
Como tudo ainda é muito novo no Brasil, em termos de LGPD, a ANPD deve liberar informações de parâmetros, como gabaritos, para auditoria da qualidade do perfil de segurança, mas é tudo muito nublado ainda.
O que já se sabe, desde antes da LGPD, é que mesmo que não fosse uma exigência legal, o controle e cuidado com os dados das pessoas é essencial para a gestão e operação de qualquer negócio, muito mais ainda nos tempos atuais, onde a informação voa, decola e pousa em grande velocidade, quantidade e formas, que se a empresa não controlar, de nada adiantam seus esforços.
O certo é fazer o certo, e rápido, não apenas porque é legal, mas porque é certo.
Definição de prioridades e tarefas cruciais:
O processo de adequação à LGPD requer a consolidação de meios e departamentos que já deveriam existir antes da exigência legal, por isto a expressão correta é “consolidação”, que é a afirmação funcional de algo que já existe.
Obviamente que aquilo que não existe deve ser imediatamente criado, mas não apenas pela exigência legal, mas por se tratar de uma ferramenta fundamental de gestão.
Alguns destes processos:
- Registro dos dados: Controladores, operadores e responsáveis, devem ser subalternos a processos de controle e registro dos dados que a empresa ou marca costuma tratar, além de manter ativos os registros destas operações, de forma que a auditoria dos processos seja automática, instantânea e em tempo real;
- Gerenciamento proativo de riscos: Certamente a conformidade com a LGPD exigirá, em algum momento em curto prazo, que além da auditoria permanente, a empresa ou marca disponibilize relatórios de impacto, completos e atualizados, capazes de espelhar o cerne das operações críticas;
- Segurança: Um amplo espectro de atuação, em todos os departamentos, avaliando especificamente a segurança dos processos, em seus mínimos detalhes, com abordagem preventiva e com consistência que transmita credibilidade e confiança;
- Responsabilidade: Todo o processo de tratamento de dados possui uma responsabilidade direta bem definida, partindo do comando geral da empresa e se espalhando para todas as vertentes gestoras que atuam na manipulação, tráfego, armazenamento e controle dos dados das pessoas;
LGPD é cultura empresarial básica:
LGPD não é algo que você procure feito dentista, quando a dor de dente surge e o dispense tão logo a dor passe.
LGPD é crônica e se instalará nas empresas de forma definitiva e imutável, sendo parte das estruturas, como os prédios, as pessoas e os processos.
Não há como fugir disto.
Talvez se consiga algum anonimato por pouco tempo, até o momento em que surgir alguma reclamação de alguém que for afetado por algum problema de quebra de segurança nos processos de uma ou outra empresa, quando provavelmente um esquadrão de auditoria e fiscalização da ANPD desembarcar na empresa e determinar punições contundentes por falta de adequação e cuidado.
Provavelmente, outro gargalo que deverá forçar à adequação, será a exigência natural da maioria das empresas, por alguma espécie de certificação de compliance com a LGPD, para que corporações possam desenvolver negócios conjuntos, afinal, de que adianta a minha empresa estar adequada ao que determina a lei se a sua é cheia de vazamentos e meus preciosos dados tendem a vazar por lá?
É por isto que a LGPD precisa ser vista como parte da cultura das empresas e marcas, não há outra saída.
As pessoas, em todos os departamentos, precisam ser ensinadas, orientadas e treinadas para enxergar a importância da LGPD no contexto empresarial, que isto é tão importante quanto o lucro, pois 2% do faturamento bruto anual, para qualquer empresa, é superior ao seu capital de giro por 30 ou 60 dias, o que, na maioria das vezes, pode chegar próximo ao estágio de inviabilização econômica das operações.
Que tal uma multa de 2% sobre o seu faturamento anual, e ainda por cima, ter que apagar todas as informações das bases de dados de sua empresa?
É nesta direção que as empresas precisam se agilizar e buscar apoio especializado para adequar seus empreendimentos ao poderoso espectro de exigências da LGPD.
Não é questão de susto, pois afinal, até nem é tão complexo assim, apenas é importante e precisa ser feito.
A maioria das empresas já possui um certo grau de adequação em seus processos nativos, necessitando um aperfeiçoamento nos pontos críticos e o estabelecimento de padrões operacionais que assegurem a manutenção dos níveis satisfatórios e uma evolução contínua qualificada.
LGPD envolve toda a empresa…
A LGPD é de toda a empresa, tanto como conquista quanto responsabilidade e não há ninguém que não tenha sua parcela de envolvimento no processo.
É verdade que o responsável legal, do ponto de vista global, é o diretor, o responsável pela gestão geral da empresa ou marca, mas isto não diminui em nada o fato de que ele será o primeiro a entender esta responsabilidade e os riscos envolvidos em eventuais falhas.
Acredite, o bom gestor saberá dimensionar as responsabilidades internas de cada um, e a parte de cada indivíduo estará devidamente direcionada e definida, e o responsável local estará envolvido no processo de penalização.
Por isto, cabe aos gestores gerais das empresas e marcas, estabelecer a aplicação de processos de adaptação à esta nova realidade, envolvendo todos os personagens da empresa.
As ações básicas iniciais devem ser as seguintes:
- Engajamento: Envolver toda a equipe no projeto, desde o início, garantindo que todos entendam a amplitude do processo, os impactos da LGPD na corporação e a responsabilidade de cada um;
- Liderança: Estabelecer um departamento e nominar lideranças gerais e departamentais pelo avanço do processo de adequação, sob orientação, controle e responsabilidade de um profissional ou equipe específica de DPO, interna ou externa;
- Governança: Criar, desenvolver, aplicar, manter e controlar um programa completo de governança e gestão dos processos que envolvam o tratamento de dados dentro da empresa;
- Auditoria jurídica: Avaliar toda a documentação legal e jurídica utilizada nos processos internos e externos da empresa ou marca, assegurando que documentos, formulários e sistemas, estejam em compliance com o que determina a LGPD;
- Acesso aos titulares: Garantir que os titulares dos dados tenham acesso e conhecimento sobre todo o tratamento proporcionado aos seus dados pessoais, bem como opção para gerenciamento direto destes dados ou sua exclusão, a qualquer momento;
- Anonimização: Garantir que a empresa ou marca implante processos e tecnologias seguras de anonimização (criptografia) dos dados, assegurando sua total inviolabilidade, mesmo diante de eventuais acessos indevidos ou vazamentos;
- Treinamento: Sistemas de treinamento permanente, melhoria contínua nos níveis de conhecimento por parte da equipe e capacidade de acompanhamento dos processos evolutivos que certamente acompanharão o desenvolvimento da LGPD após sua implantação definitiva;
LGPD é uma realidade que vem do futuro, para que sua empresa possa continuar existindo quando este futuro chegar
LGPD é uma realidade posta e consolidada, prestes a transformar a realidade brasileira no tratamento dos dados pessoais e sensíveis por parte das empresas e marcas, que já tem exemplos evidentes de impactos estrondosos em corporações europeias, onde a lei já é uma realidade ativa.
São vários os casos de multas astronômicas aplicadas a empresas de todos os portes, que por algum motivo, com ou sem intenção, utilizaram ou deixaram utilizar dados de sua responsabilidade, em quase todo o tipo de ação ou situação.
A Lei de proteção de dados é uma adequação das empresas à realidade contemporânea e uma exigência global para que estas empresas possam existir, de forma operacional, num futuro muito próximo.
A conectividade do mundo moderno, onde se tem acesso a todo o tipo de informação, dispondo de dispositivos simples, criou um verdadeiro universo de possibilidades, onde a própria estratégia comercial da maioria dos empreendimentos, se direcionou a esta nova facilidade e agilidade de contato.
Se antes se falava em “público-alvo”, hoje se fala em persona.
Dados são o novo petróleo.
Se antes se falava em cliente potencial com determinado perfil, como sexo masculino, entre 25 e 50 anos, da classe B, hoje esta análise mudou para Pedro, 28 anos, designer, casado com Mariana, com 2 filhos, carro com 2 anos de uso, que gosta de surf e mergulho, ganha R$ 6 mil mensais, viaja uma vez por ano para o exterior, come sushi e não consome álcool, preferindo música instrumental e filmes de aventura, além de passar 6 horas por dia online.
O grau de especificação das personalidades individuais que trafegam na internet, que acessam os sites, que deixam seus rastros de perfil e costumes armazenados nos milhões de big datas, que abastecem milhares de sistemas de people analytics, determinando hábitos, costumes, preferências, potencial socioeconômico e cultural, permite que você fale diretamente com quem escolher falar.
O marketing moderno trouxe ferramentas com variações assombrosas quanto ao seu poder estratégico de envolvimento e engajamento, como o marketing digital e suas variações.
Todos estes processos modernos envolvem a troca e cessão de dados pessoais, sensíveis ou não, que abastecem campanhas, tudo em troca de interesses, num jogo estratégico impressionante.
Toda esta movimentação resulta em vendas, cada vez maiores, mais representativas, movimentando a maior parte da economia mundial.
Seria de uma ingenuidade simplória imaginar que o mundo não evoluiria para criar formas de controlar e manter níveis aceitáveis de segurança sobre todo este manancial de informações críticas sobre as pessoas.
É deste patamar de modernidade que estamos falando, e se a sua empresa não está preparada para lidar com isto, é bem provável que ela encontre turbulências severas logo ali adiante, com impactos práticos e decisivos sobre a sua própria existência.
A sugestão é que você busque, imediatamente, o quanto antes possível, a orientação de especialista, pessoas e empresas capacitadas a fazer um diagnóstico de sua realidade, desenvolver projetos profissionais para adequação de seu empreendimento, preparar equipes, pessoas e departamentos para atuar dentro do que a LGPD determina e manter rigoroso mecanismo de compliance e governança com o bem mais precioso que existe em qualquer negócio, de qualquer natureza: a informação.
LGPD é o futuro presente!