Sancionada em agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) passa a valer em agosto de 2020, regulamentando a coleta e o tratamento de dados pessoais no Brasil. O marco legal traz inúmeras modificações em processo de pequenas e grandes empresas. Para tirar todas as suas dúvidas sobre o assunto, conversamos com o advogado Alexandre Atheniense, um dos pioneiros em Direito Digital no Brasil. Confira a entrevista.

 

1 – Quais são, na sua opinião, os principais avanços e desafios da LGPD em relação à legislação anterior?

Antes da sanção da LGPD, os titulares de dados pessoais tinham direitos mínimos garantidos, ou seja, apenas de forma genérica pela Constituição, pelo Código do Consumidor, pelo Estatuto da Criança e do Adolescente e pela Lei de Acesso à Informação. A LGPD ampliou os direitos dos titulares de dados pessoais para assegurar mais garantias, maior rastreabilidade, maior autocontrole em relação à acessibilidade e aos limites quanto ao uso de dados pessoais.

O desafio é fazer com que o brasileiro, de modo geral, adquira uma nova cultura quanto ao uso de seus dados pessoais, seja o próprio titular, seja as empresas que tratam esses dados pessoais. A lei impõe essa mudança de cultura que um europeu, por exemplo, já tem desde de sua primeira legislação, em 1995. Agora nós temos de nos adaptar rapidamente, mas isso não vai ocorrer em dois anos, apenas, que é o período determinado para que as empresas se ajustem às novas regras.

 

2 – Somente empresas de base tecnológica – startups, fintechs, e-commerces etc. – são impactadas? Quais processos de empresas tradicionais ou “analógicas” devem ser revistos sob a ótica da LGPD?

De forma alguma. Toda empresa que trata dados pessoais para fins econômicos, e não apenas essas que você mencionou de base tecnológica, são alvo da LGPD. Então, o alcance do público que é afetado é muito maior. Basta que haja o tratamento de dados pessoais para fins econômicos ou a oferta de serviços para pessoas domiciliadas no Brasil que a empresa, mesmo estando no exterior, será impactada.

Todos os processos dentro das empresas, os fluxos internos e externos em que há tratamento de dados pessoais serão afetados e revistos. É comum que as empresas tratem dados pessoais para diversas finalidades; por esse motivo, essas atividades operacionais serão modificadas para que estejam em conformidade com a lei.

 

3 – Existe algum cuidado especial que empresas usuárias de estratégias de marketing digital devam tomar?

Sim. Diversas mudanças vão acontecer e vão impactar o setor de marketing. As equipes de marketing sabem que a melhor campanha será alcançada a partir do momento em que ocorrer melhor qualificação do público-alvo. Entretanto, a lei agora é muito clara no sentido de dizer que os dados coletados de titulares devem ser só os essenciais ao negócio. Assim, se ocorrer o desvio de finalidade na coleta dos dados dos titulares, essa situação só poderá seguir em frente se houver o consentimento dos titulares. Até então, isso não era levado a sério, não era exigido, havia sempre remessa ou venda de banco de dados para auxiliar campanhas mais poderosas.

Agora, se um titular de dados identificar que foi abordado por uma campanha de marketing por uma empresa com a qual ele nunca se relacionou, ele pode exigir que seu nome seja retirado da base de dados; caso isso não aconteça e ele seja abordado novamente, ele pode pedir indenização, já que não consentiu que seus dados fossem usados para tal finalidade.

 

4 – Como o empreendedor deve proceder com dados coletados e contratos firmados antes de agosto de 2020 para se adequar às exigências da legislação? E quais são as medidas práticas visando a essa adequação dos processos a partir dessa data?

É necessário que, de imediato, todo empreendedor busque orientação jurídica com advogados especializados na área de Direito Digital a fim de que seja feito um mapeamento de todos os processos e contratos firmados em que o objeto diga respeito a tratamento de dados pessoais. Somente por meio desse inventário de dados é que será possível visualizar as lacunas operacionais existentes e daí receber desse expert orientações para medidas corretivas que podem ser sobre os aspectos normativo, estratégico ou sistêmico. É bom que se diga que hoje o risco já existe, independentemente de a lei ter entrado em vigor ou não. Tanto é que o Ministério Público, o Procon e a Senacon já vêm atuando firmemente no abuso de tratamento de dados pessoais.

As medidas práticas para se adaptar têm de começar desde já. A primeira fase é conscientizar todas as pessoas da empresa sobre os riscos impostos pela lei e as mudanças operacionais. Depois deve-se fazer esse diagnóstico ou mapeamento de dados, o que chamamos de data mapping. Posteriormente, fazer um parecer quanto aos riscos operacionais encontrados, que podem ser institucionais ou setoriais, e sugerir as medidas corretivas para que a Diretoria, cujo envolvimento direto no processo é exigido, possa aprovar as sugestões encaminhadas e o plano de ação que visa executar as medidas corretivas. No final da execução das medidas corretivas, que sejam feitos um treinamento e a formalização com todos os colaboradores para que eles saibam, de forma inequívoca, quais são as novas regras operacionais que passarão a estar vigentes.

 

5 – Como fica a situação de empresas com processos globais ou nas quais os dados são coletados no exterior e tratados no Brasil ou vice-versa?

A lei de proteção de dados é uma pauta mundial. Hoje já são 120 países que têm legislação sobre esse tema. O Brasil foi o 103º país a sancionar uma lei assim. É bom que se entenda que essa lei tem característica diferente que é ser extraterritorial, ou seja, não é relevante o fato de uma empresa estar ou não localizada no Brasil. Se uma empresa, mesmo com sede no exterior, estiver tratando dados de brasileiros, ela tem de se adequar à legislação de proteção de dados do Brasil.

Esse é o ponto que define se há ou não a incidência da jurisdição. E o inverso também acontece, ou seja, imagine que um hotel na costa da Bahia ofereça serviços e trate dados de europeus. Tal hotel vai ser responsável e terá de se ajustar à lei de proteção de dados da União Europeia.

 

6 – Além da coleta e do tratamento dos dados, algo muito importante é a eliminação dessas informações. Quais são algumas dicas para uma boa gestão do ciclo de vida dos dados dentro da empresa, do início ao fim?

A palavra tratamento é extremamente abrangente. São aproximadamente 20 verbos que o legislador definiu, inclusive coleta é um deles. Então, é redundante falar em coleta e tratamento, já que o tratamento abrange tudo.

Em geral, pela experiência que adquirimos, ao prestarmos consultoria a diversas empresas de vários ramos nesse processo de adequação à LGPD, ficou muito claro que as empresas têm uma característica muito marcante e recorrente que é ser apenas acumuladoras de dados pessoais. Nunca houve muita preocupação em criar processos internos para o descarte desses dados depois que eles atingissem a finalidade para a qual foram coletados. Por esse motivo é que já ressaltei a importância de fazer uma consultoria jurídica especializada visando mapear todos os processos, por onde o dado entra e por onde ele sai, e se existe ou não uma política de descarte de dados. Isso em função de que se possa executar, a partir do mapeamento, uma análise jurídica quanto à necessidade, sugerir um novo fluxo ou revisar os existentes para que o descarte de dados passe a efetivamente ocorrer.

Hoje, se um dado pessoal é armazenado em excesso ou além da necessidade, há margem para o desvio de sua utilização e finalidade. Isso acaba se tornando um fator de risco muito alto para as empresas.

 

7 – O que um bom termo de consentimento deve ter, não só para atender à lei, mas para garantir relação transparente com o consumidor, deixando claro ao usuário como seus dados serão tratados?

O Termo de Consentimento é, na verdade, uma novidade da lei, porque ele vai ser exigido em alguns casos em que o tratamento de dados não estiver sendo enquadrado em algumas bases que dispensam a sua utilização, previstas em lei. O Termo de Consentimento é uma manifestação livre, informada e inequívoca pelo qual o titular de dados pessoais concorda com o tratamento de seus dados para uma finalidade determinada. Ou seja: o consentimento e sua finalidade devem estar claros e destacados. Até mesmo, caso ocorra o tratamento de dados por parte de uma empresa terceira, essa empresa tem de ser mencionada, bem como a finalidade para a qual os dados pessoais estão sendo utilizadas.

 

8 – Alguns aspectos relacionados à soberania do titular dos dados ficaram mais claros na LGPD. Você poderia, por favor, comentar os principais e como eles trazem mais segurança aos consumidores?

Existe uma ampliação das garantias e dos direitos dos titulares sobre os seus dados pessoais. Por exemplo, a partir de agora, o titular de dado pessoal tem direito de livre acesso às informações relacionadas a seus dados, podendo também exigir qualidade desses dados, total transparência, que sejam inseridas medidas de segurança da informação, necessárias para que ele saiba que os dados pessoais só podem ser coletados dentro da necessidade. Outras exigências: a finalidade para o uso dos dados deve ser legítima, ele não pode ser alvo de não discriminação e todos esses dados coletados tem de estar adequados à finalidade do negócio. Ele ainda tem o direito de acionar judicialmente aqueles que tiverem qualquer violação ao tratamento de seus dados pessoais.

Publicado originalmente no site do SEBRAE.