O ano de 2018 foi marcado pela promulgação da lei 13709/2018, mais conhecida como Lei Geral de Proteção de Dados – LGPD. Em virtude dessa promulgação surgiu a necessidade da criação de diversos novos cargos e funções, como é o caso do Data Protection Officer (DPO).
A lei citada tem por objetivo proteger a privacidade dos dados pessoais de toda a população brasileira. Assim, ela entrou em vigor dois anos após sua promulgação, no mês de agosto de 2020.
A promulgação dessa lei é um marco importantíssimo para o nosso país e também para toda a população civil. Por causa desse processo temos hoje uma das leis mais completas e rígidas sobre tratamento de dados pessoais de todo o mundo.
O que é LGPD e qual seu objetivo?
A Lei Geral de Proteção de Dados (LGPD) é, como já mencionado, um dispositivo que garante a proteção dos dados sensíveis de toda a população.
A necessidade dessa lei surgiu devidos aos inúmeros escândalos de vazamentos de dados que vinham ocorrendo com frequência assustadora.
Por causa desses vazamentos, milhares de usuários foram prejudicados. A saber, muitos desses dados eram oriundos de sites e programas que exigem dados pessoais para garantir o acesso ou benefícios.
Visto que na maioria das vezes os usuários forneciam esses dados sem saber como eles seriam utilizados posteriormente foi necessário a criação de uma legislação que versasse especificamente sobre o assunto.
Dessa forma, não restam dúvidas de que a LGPD tem impacto direto na forma como as empresas captam e utilizam os dados de seus usuários.
Assim, elas tendem a restringir a coleta de dados pessoais apenas aos fins necessários à que se propõe. Inclusive, especialistas dizem que LGPD terá o mesmo impacto que o Código de Defesa do Consumidor (CDC).
Em virtude de mudanças tão drásticas, o mundo jurídico já se prepara para atuar na implantação e adequação da lei em empresas dos mais diversos setores.
De tal forma que novos segmentos de atuação para Advogados especialistas em proteção de dados estão sendo criado constantemente.
O que é Data Protection Officer e qual sua função?
Uma das grandes mudanças decorrentes da LGPD é a necessidade de criação de novos cargos e especialistas para o mercado. Assim sendo, um dos novos cargos que mais se destaca é Data Protection Officer, também conhecido pela sigla DPO.
O Data Protection Order nada mais é do que o encarregado pelo tratamento dos dados pessoais obtidos por uma empresa.
É importante notar que na redação original da lei, esse cargo poderia ser exercido por uma pessoa física.
Contudo, uma Medida Provisória (MP) posterior ampliou a possibilidade de o Data Protection Order ser uma pessoa jurídica. Com efeito, devem as empresas adotarem políticas de cumprimento integral às normas de proteção de dados.
Portanto, para que desenvolva bem o seu papel, é imprescindível que o Data Protection Order tenha ampla autonomia e liberdade de trabalho.
Desse modo, ele poderá implementar todas as providências necessárias, sem ser penalizado no exercício de suas funções e devendo reportar-se apenas ao topo da hierarquia da empresa.
Inclusive, há de se ressaltar que tal cargo deve ser ocupado por alguém de extrema confiança.
A fim de exercer suas funções de maneira adequada, será necessário ter acesso irrestrito a todos os dados da empresa, incluindo os dados sensíveis de funcionários e clientes.
Qual é o papel de compliance?
Compliance é um conjunto de normas e regulamentos adaptados às especificidades do negócio. Essas regras são estabelecidas a fim de garantir a prevenção de crimes e desvios de condutas dentro das empresas e possui um papel fundamental nesta trajetória.
Desse modo, para adequar corretamente todos os setores da empresa a LGPD, é necessário construir um bom plano de Governança Corporativa e de Governança de TI.
Ou seja, é preciso realinhar completamente o método de trabalho e realizar treinamentos de toda a equipe para garantir a segurança e o correto tratamento de todas as informações.
O que são os pilares do compliance?
Para que possamos entender melhor sobre as práticas de compliance precisamos saber quais são os pilares que norteiam a sua construção. Abaixo listamos os 5 mais essenciais, vejamos:
- 1. Tone from the top: Significa “o exemplo vem de cima”. Portanto, a alta hierarquia da empresa deve ser o primeiro grupo a ter conhecimento das novas práticas para inspirar os demais;
- 2. Due Diligence: A empresa deve conhecer os seus colaboradores, monitorando para garantir que a sua atuação está em conformidade com as regras e objetivos da empresa;
- 3. Risk Access ou Avaliação dos Riscos: A fim de evitar problemas futuros, periodicamente a empresa deve realizar uma avaliação de riscos. No caso da LGPD, essa avaliação poderá garantir que os dados com os quais a empresa está trabalhando são realmente necessários e que estão sendo corretamente tratados para evitar vazamentos ou uma utilização inadequada;
- 4. Controles internos: Assim que forem identificados os riscos é necessário que existam controles internos para monitorar e evitar os incidentes;
- 5. Treinamento: De nada adianta um ótimo plano de compliance e governança se não houver um treinamento adequado de todos os colaboradores da empresa para garantir a efetividade do projeto.
O que é Privacy by Design na LGPD?
Privacy by Design é uma metodologia onde se deve considerar a proteção de dados e a privacidade em primeiro lugar. Desse modo, essa questões precisam ser centrais na hora de estruturar um programa de compliance com foco em proteção de dados.
Ou seja, toda a arquitetura da empresa precisa ser pensada de forma que garanta a inviolabilidade de qualquer informação que esteja sob a sua responsabilidade.
O que significa a GDPR?
Apesar de ser recente e de ainda estarem se adequando a nova legislação, a União Europeia tem muito a nos ensinar.
Afinal, a nossa LGPD nasceu da GDPR, sendo a nossa lei praticamente uma cópia da europeia, só que mais adequada à nossa realidade nacional.
Com efeito, de tempos em tempos, desde a sua promulgação, podemos ver notícias de grandes empresas de tecnologia sendo multadas por descumprirem a legislação.
Por exemplo, o Google recebeu, no ano de 2019, uma multa no valor de 50 milhões de Euros por violar a GDPR. Isso ocorreu pois se considerou que a empresa não dava transparência e consentimento explícito para uso de dados de seus usuários.
Assim, o Advogado brasileiro que desejar atuar nesta seara poderá estudar os casos concretos que estão ocorrendo na Europa. Dessa forma o profissional terá maior conhecimento da LGPD/GDPR nas empresas.
Inclusive, a GDPR é tão rígida que determina que Empresas Europeias só podem compartilhar dados com empresas de outros países que possuam uma legislação de dados tão rígida quanto a deles.
Assim sendo, o Brasil passou a cumprir esse requisito após a criação, no final de 2018, da AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS .
Portanto, a LGPD é, antes de mais nada, uma lei de abrangência internacional, abrindo-se dessa forma, mais uma área de atuação jurídica que os advogados devidamente preparando podem atuar.
O que a Lei de Proteção de Dados protege?
Mas as implicações da LGPD não se resumem apenas a novas áreas de atuação para os Advogados. Afinal, é comum que profissionais jurídicos também trabalham com dados pessoais de cliente e, portanto, também estão sujeitos a todas as obrigações impostas por ela.
Os escritórios de advocacia devem criar meios e rotinas de proteção de dados pessoais contra vazamento, de forma que nunca possuam mais dados do que de fato precisam.
Compliance, Privacy by design, Governança corporativa, Governança de T. I., Due Diligence, tudo isso também deverá fazer parte do dia a dia dos escritórios de advocacia.
Mas, ainda que possa parecer, isso não é uma coisa ruim.
Pois, seguindo o primeiro pilar do compliance que é denominado Tone from the top, ou seja, o “exemplo vem de cima”, nada mais justo que o escritório que deseja trabalhar adequando as empresas à LGPD também esteja, antes de mais nada, com a própria casa organizada.