PROTEÇÃO DE DADOS: O QUE EU DE FATO PRECISO SABER?

Com a entrada em vigor da Lei 13.709/2018 muito se fala em proteção de dados, criptografia, servidores de dados, código hash, DPO, operador, controlador e tantos outros termos que de uma hora para outra passaram a fazer parte do cotidiano do brasileiro, especialmente do empresário brasileiro.

Como ocorre com a maioria das inovações jurídicas, não menos repentino do que o surgimento dos novos termos é também surpreendente a quantidade de novos especialistas que chegam ao mercado. Muitos deles de fato trazem conhecimento e bagagem sobre a matéria, e outros tantos, não tão bem qualificados, surgem para o mercado como soluções milagrosas e definitivas. Normalmente com uma receita pré-determinada a qual o cliente deverá se moldar. 

Certamente um novo milagre acontecerá quando o cliente, submetido às sanções impostas por uma eventual fiscalização, procurar o milagreiro e perceber que a sua capacidade de desaparecer é ainda mais eficiente do que a de cobrar honorários.

Como reconhecer um bom profissional?

Por mais que talvez os canastrões sejam a maioria, há sim muitas equipes comprometidas e que prestam um excelente serviço para a adequação às determinações legais de proteção de dados. E esse já é um excelente primeiro critério de avaliação: Dificilmente alguém que atue sozinho será capaz de oferecer um sistema de proteção e integridade de dados. Procure um bureau completo. Isso porque a adequação demanda uma análise de vulnerabilidades em processos e rotinas em todos os setores da empresa além é claro da efetiva adequação após a identificação das vulnerabilidades.

Essa análise e adequação demandam conhecimento profundo em pelo menos três ramos de conhecimento: Tecnologia, Gestão de Processos e Direito. E ainda que seja possível encontrar toda expertise necessária em uma única pessoa, executar sozinho todo o projeto de adequação resultaria um trabalho hercúleo, demandando um prazo inaceitável a qualquer empresário comprometido.

Além das três matérias indispensáveis, certo conhecimento acerca dos ramos de atuação do cliente será fundamental, esse é claro podendo ser suprido pelo próprio cliente e sua equipe. Portanto duvide de receitas prontas e propostas que prometem uma solução óbvia. O envolvimento do empresário de dos seus colaboradores é fundamental para uma correta adequação à Lei Geral de Proteção de Dados.

Não há passos pré-estabelecidos e o desenvolvimento e amadurecimento de um programa de conformidade de proteção de dados deve ser desenvolvido e adaptado à realidade de casa negócio.

Que dados precisam ser protegidos?

Todos os dados pessoais tratados por pessoa física ou jurídica, desde que os dados sejam tratados ou coletados em território nacional e/ou com o objetivo de oferta ou o fornecimento de bens ou serviços (Art. 3º, I, II e III da LGPD), necessitam ser protegidos.

E a partir daí, se apresenta também a resposta a eventual questionamento sobre a quem se aplica a obrigatoriedade de proteção de dados. E a resposta é que se aplica a todas as pessoas físicas ou jurídicas que realizem qualquer tipo de tratamento de dados pessoais em território nacional. Ou seja, toda e qualquer atividade empresarial regular está submetida à aplicação da Lei Geral de Proteção de Dados.  Deduz-se dessa forma porque inevitavelmente qualquer um que tenha clientes terá dados a serem armazenados, presumindo que qualquer atividade empresarial demandará o tratamento de dados, ainda que mínimo.

Mas afinal, o que significa tratamento de dados?

A ansiedade nesse ponto consiste em saber se o que o cada empresário faz com os dados pessoais dos clientes é de fato um “tratamento de dados”. E mesmo sem conhecer a sua atividade, e plenamente possível afirmar categoricamente que sim, pois tudo que se faz com um dado resulta seu tratamento. O inciso X do artigo 5º da LGPD define tratamento de dados: “X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;”. É absolutamente difícil não se enquadrar em alguma das atividades descritas.

Mas será que a Lei pega?

Já pegou, e no Brasil até demorou muito para isso. A proteção de dados pessoais já é matéria antiga na União Europeia, assim como nos Estados Unidos e em diversas partes do planeta. 

Desenvolvida a partir da lei europeia – GDPR – a LGPD visa regulamentara o fluxo dos dados pessoais, garantindo maior segurança ao usuário especialmente (mas não exclusivamente) no âmbito virtual, e irá interferir diretamente na vida cotidiana.

Após diversos escândalos envolvendo o vazamento de dados pessoais de pessoas públicas, assim como das diversas ocorrências que expõe dados de milhões de pessoas, a regulamentação do uso de dados pessoais era inevitável. 

A grande aposta daqueles que torcem para a lei “não emplacar” consiste na eventual ineficácia na fiscalização a ser realizada pela ANPD – Autoridade Nacional de Proteção de Dados – o que não é um argumento muito plausível, visto que a ANPD será apenas uma das vias fiscalizadoras, e não será a principal.

A exemplo de como ocorre em outros ambientes abrangidos pela proteção de dados, a exemplo da UE e EUA, o maior fiscalizador, é e será sempre o usuário titular dos dados. Não a toa o Tribunal de Justiça de Santa Catarina – TJSC, recentemente lançou o LGPDJus, “[…] um aplicativo para smartphones voltado ao atendimento dos pedidos relacionados à privacidade e à proteção de dados pessoais no âmbito do Poder Judiciário de Santa Catarina (PJSC). A nova ferramenta colocará os direitos previstos na Lei Geral de Proteção de Dados Pessoais (LGPD) acessíveis na palma da mão de qualquer pessoa, prestando um atendimento mais rápido, eficiente e seguro.” 1 

Com o poder fiscalizar as garantias impostas pela LGPD, os usuários certamente farão com que a lei atinja seu objetivo, isso porque as demandas judiciais serão um caminho óbvio para pleitear indenizações decorrente de falhas de segurança que expõe o titular dos dados. 

Imagine por exemplo para os contabilistas, a responsabilidade decorrente da armazenagem de dados de funcionários de seus clientes, ou ainda o vazamento de uma informação pessoal constante em uma nota fiscal. Ou para as grandes redes de supermercados, onde programas de fidelidade colhem dados dos seus clientes diariamente, isso sem falar no registro de placas de carros em cancelas de estacionamentos, hotéis, motéis, cadastros com as mais variadas finalidades, controles de acesso por biometria e mesmo a simples emissão de uma nota fiscal resultam o tratamento de dados pessoais. 

Ah! E mesmo o pequeno comércio de bairro, que muitas vezes sequer dispõe de um computador deverá se adequar às determinações da LGPD. Isso ou você deve parar de anotar o “fiado” naquele caderninho velho.

Rodrigo Martins Elias, Gerente de Operações Jurídicas – FLN