O dia 28 de janeiro marca o Dia Internacional da Proteção de Dados, tema que tem recebido especial atenção no Brasil desde a publicação da Lei 13.709/2018, a Lei Geral de Proteção de Dados Pessoais – LGPD, bem como da entrada em vigor das sanções administrativas estabelecidas pela LGPD, que passaram a valer apenas em 1º de agosto de 2021.
A proteção de dados pessoais é um tema relevante e urgente na sociedade brasileira em razão da crescente circulação de dados pessoais, extremamente facilitada pelo uso de smartphones, aplicativos e armazenamento de dados na nuvem. Os dados pessoais tornaram-se ativos valiosíssimos e considerados o novo petróleo da economia digital. Não é à toa que William Edwards Deming, estatístico que é pai dos conceitos de controle de qualidade cunhou algumas frases marcantes sobre o assunto, como: “sem dados você é apenas mais uma pessoa com opinião”, “o que não pode ser medido, não pode ser gerenciado” e “em Deus nós confiamos; todos os outros devem trazer dados”.
O uso ilegal de dados pessoais, sem o consentimento de seu titular, não é evidenciado apenas pelas insuportáveis ligações de telemarketing recebidas diariamente, mas apresenta sérios riscos de uso abusivo de dados relacionados à vida financeira, saúde, biometria, origem racial ou étnica e até mesmo de opção sexual. É importante recordar que o uso de dados pessoais vem inclusive sendo utilizado para influenciar eleitores em favor de candidatos, como foi o caso das eleições americanas.
Em razão deste contexto que o Brasil, espelhando-se na legislação europeia, editou a LGPD, lei que estabelece uma série de cuidados e obrigações para empresas e pessoas físicas que realizam a coleta de dados pessoais e os utilizam no dia a dia. O uso ilegal ou abusivo de dados pessoais pode acarretar sanções que variam desde uma simples advertência e inclusive multa de até 2% do faturamento da empresa.
A legislação vigente traz, evidentemente, impactos nas empresas, sejam elas as que coletam os dados pessoais, do consumidor, por exemplo, chamadas controladoras, quanto as que recebem dados pessoas repassados por outra empresa para algum fim, como uma prestação de serviços, denominadas operadoras. Um dos principais impactos é a necessidade de adequação à lei através da criação de um programa de compliance que estabeleça medidas internas para garantir o cumprimento das normas de proteção aos dados pessoais.
Podemos listar alguns itens que devem ser atendidos pelas empresas, devem estar presentes: o mapeamento dos fluxos de dados pessoais; a revisão dos contratos, políticas e termos de uso; a obtenção do consentimento dos titulares; a implementação de medidas técnicas e administrativas de segurança da informação; a elaboração de relatórios de impacto à proteção de dados; a designação de um Encarregado, também conhecido pela sigla em inglês “DPO” (Data Protection Officer); a capacitação dos colaboradores; o monitoramento e auditoria das atividades; entre outros.
Ou seja, a adequação à LGPD envolve diversas áreas de uma empresa, como a comercial e o marketing, que lidam diretamente com a coleta dos dados pessoais, o compras, que trata com fornecedores, prestadores de serviços e parceiros, os recursos humanos, que trata os dados pessoais de funcionários, entre outras.
A tendência é de aumento da fiscalização pelos órgãos públicos, com aplicação de sanções, demandando maior transparência, responsabilidade e ética das empresas no tratamento dos dados. Também deve se destacar que o compliance na gestão de dados pessoais se apresenta como diferencial competitivo, garantindo aumento da confiança e fidelização de clientes e fornecedores, melhorando a reputação e a imagem da marca e, muitas vezes, surge como critério obrigatório para a contratação por empresas já tenham se adequado à LGPD.
A era dos dados é uma realidade e o compliance na proteção de dados pessoais uma necessidade urgente.
Por Diogo Petter Nesello | OAB/RS 89.824