LGPD: Saiba por onde começar a se adequar

No último dia 26, o Senado Federal aprovou vigência da LGPD (Lei Geral de Proteção de Dados), texto que passará a tratar dos dados pessoais dos brasileiros, incluindo os acessados e compartilhados na internet. No dia seguinte, o Decreto nº 10.474/2020, do Poder Executivo, determinou a organização da estrutura regimental da Autoridade Nacional de Proteção de Dados (ANPD), vinculada à Casa Civil da Presidência da República. "Após essa reviravolta, fica confirmada a entrada em vigor da LGPD já para o mês de setembro de 2020. Vale destacar que as suas sanções administrativas específicas somente entrarão em vigor a partir de 1º de agosto de 2010, por força da Lei nº 14.010/2020", detalha o advogado George Leandro Luna Bonfim, coordenador das áreas de Direito Societário, Fusões e Aquisições, Propriedade Intelectual e Proteção de Dados do escritório Natal & Manssur, de São Paulo.

A recomendação, portanto, é inequívoca: "É imprescindível que as empresas sujeitas à referida legislação busquem adequarem-se da melhor forma possível", recomenda o especialista. Uma das primeiras recomendações para se adaptar à LGPD brasileira é recomeçar o trabalho de solicitação de autorização da base de dados. Além disso, sempre comunicar claramente quais serão as informações coletadas e qual a finalidade. Criar a figura do Data Protection Officer (DPO) também é importante, figura que atuará no relacionamento que será criado entre a autoridade nacional - Agência Nacional de Proteção de Dados - , os titulares dos dados pessoais e a própria empresa. Armazenar os mailings de forma segura, criar uma política clara de proteção de dados e oferecer treinamento ostensivo às equipes envolvidas com essas informações também são ações que podem fazer toda a diferença.

O passo anterior a qualquer tomada de decisão, que pode ajudar as empresas a entenderem a sua realidade, é buscar realizar um mapeamento do fluxo de dados na organização. "Entender como funciona o fluxo de dados na sua empresa, quais são os pontos fracos a serem aprimorados, é essencial. A partir daí, criar medidas saneadoras e promover treinamentos", explica George Bonfim. "Trata-se de um trabalho que deve ser customizado e específico para cada empresa, já que alternativas de prateleira dificilmente trarão resultados satisfatórios. Escritórios de advocacia com expertise em proteção de dados podem avaliar com minúcia e cautela a realidade de cada empresa, propondo melhorias e recomendações. Ao mesmo tempo, empresas de TI estão criando sistemas de proteção, o que pode ser interessante", salienta.

Dentre as hipóteses para o manuseio dos dados, que a LGPD qualifica como "tratamento", constam uma série de requisitos que devem ser observados pelos responsáveis por tais medidas, sendo a principal delas o consentimento dos dados do titular. Nesse sentido, cabe às empresas buscarem o consentimento dos usuários para utilizarem os seus dados, ou observarem outras hipóteses previstas pela lei, como o legítimo interesse. Aqui, segundo George, as empresas poderiam, em um primeiro momento, fundamentar o uso dos dados dos titulares com base no legítimo interesse, sobretudo com base na legislação europeia (GDPR) que serviu de inspiração à LGPD. "Na lei europeia, que inspirou a brasileira, uma empresa pode comprovar o legítimo interesse para fazer propaganda por e-mail marketing, por exemplo". O legítimo interesse poderia fundamentar outras disposições e medidas, como a obtenção dos dados de cartão de crédito para a reserva e quitação de despesas da hospedagem em hotéis, por exemplo, ou ainda as informações cadastrais exigidas por outras normas. "Cumprir a LGPD não significa descumprir outras normas, como aquela que dispõe sobre a obrigatoriedade de preenchimento da Ficha Nacional de Registro de Hóspedes, prevista pela Lei nº 11.771/2008 e regulamentada pelo Decreto nº 7.381/2010. As normas devem funcionar em um regime de harmonia", explica Bonfim.

Outra questão de grande relevância está nas adequações que são necessárias quando das atualizações dos contratos com fornecedores, prestadores de serviço e parceiros que envolvam o tratamento de dados, especialmente em decorrência da responsabilidade solidária que a lei traz para os agentes de tratamento de dados (controlador e operador). "Por isso, é preciso esclarecer todas as responsabilidades e políticas, contratualmente definidas", avisa.

Fonte:
George Leandro Luna Bonfim, advogado graduado pela Universidade Presbiteriana Mackenzie, Pós-graduando no LL.M. - Master of Laws em Direito Societário no Insper. Coordenador das áreas de Direito Societário, Fusões e Aquisições, Propriedade Intelectual e Proteção de Dados do escritório Natal & Manssur - www.nmaa.com.br