Antes de começarmos a falar da LGPD, propomos fazer um exercício rápido.

Vamos imaginar que pegamos nosso Delorean, a máquina do tempo do filme De volta para o Futuro, e viajamos para o ano 2020. Mais precisamente para o dia 16 de agosto de 2020, data da entrada em vigor da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).

A pergunta que mais ecoa no mundo corporativo é: a LGPD entrou em vigor, e agora?

Naquele ano, o CEO de uma empresa do segmento varejista fez a seguinte ponderação: “Que bom, a companhia valorizou 20% (vinte por cento) após o mapeamento dos riscos e padronização dos processos internos”.

O diretor de TI dessa mesma companhia respondeu de forma serena: “O assessment realizado antes da entrada em vigor da LGPD permitiu o mapeamento dos gaps e a criação de medidas eficazes para a mitigação de um incidente de segurança”.

Já o sócio de uma indústria têxtil, que fornece produtos para uma renomada marca de artigos esportivos, entendeu que a LGPD não se aplicava à empresa dele, pois não fazia o tratamento de dados pessoais de consumidores finais. Ele recebia os pedidos com o desenho (literatura) e os fabricava para uma rede de e-commerce.

Naquele dia, ele fez a seguinte reflexão sentado na cadeira de seu escritório: “Ainda bem que não contratei os serviços de adequação, pois seria um investimento totalmente desnecessário. Peguei esse valor e reinvesti em uma máquina de corte a laser de um tecido esportivo de última geração que vai aumentar o meu faturamento em 10% (dez por cento)”.

Estamos em 2020 e a ANPD se transformou em uma Autarquia Federal, vinculada à Presidência da República.

A ANPD já possui uma estrutura robusta, com o Conselho Diretor, Conselho Nacional de Proteção de Dados e Privacidade, Ouvidoria, Órgãos de Assessoramento Jurídico Próprios e Unidades Administrativas Especializadas. Toda essa estrutura está funcionando como a engrenagem de um relógio suíço e com o apoio dos Procons e o do Ministério Público de Defesa do Consumidor.

Pois bem. Com toda essa estrutura, a ANPD criou uma forma muito eficiente de fiscalização. A ANPD, por meio da sua Ouvidoria Eletrônica, recebe as denúncias dos consumidores (titulares dos dados pessoais) e oficia os Procons municipais solicitando a fiscalização de empresas que, supostamente, estariam descumprimento a LGPD e utilizando os dados pessoais de seus clientes de forma indevida ou sem o devido consentimento.

O Procon vai até a empresa e exige o relatório de impacto, documento previsto na LGPD que contém a descrição dos processos de tratamento de dados pessoais e as medidas e mecanismos para a mitigação de risco.

Ao receber, os fiscais, o sócio e o diretor de TI da indústria têxtil informam que a empresa atua no modelo de negócio B2B, ou seja, apenas industrializa os produtos por encomenda na modalidade full service (que adquire todos os insumos e entrega o produto ao contratante pronto para venda).

O que o sócio da indústria têxtil não sabia é que a LGPD também se aplica aos colaboradores diretos e também à sua portaria, que possuía um moderno sistema de biometria.

A portaria era terceirizada e fazia a captação facial (foto) e, também, biométrica. O problema é que, tanto a foto como a biometria, são dados sensíveis e de acordo com a LGPD era necessário o consentimento destacado do titular do dado, mesmo que ele tenha ido à indústria representando um fornecedor de tecido, por exemplo. O dado colhido não foi da fornecedora de matéria prima, e sim do seu colaborador (vendedor) que foi até a indústria mostrar o último lançamento de tecido impermeável, destinado para esportistas amadores. A máquina de corte a laser foi adquirida para a fabricação de produtos com esse tecido e aumentaria a renda da indústria em têxtil.

As consequências pelo descumprimento da LGDP são implacáveis e podem incluir advertência, medidas corretivas, multas diárias, e a proibição total ou parcial de suas atividades baseadas em dados.

A multa pode chegar até 2% (dois por cento) do faturamento, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

No caso hipotético acima, não sabemos o valor da multa e, também, se realmente foi aplicada, pois existem outras penalidades previstas na LGPD, como advertência e medidas corretivas, por exemplo.

Outro ponto importante é que também não sabemos como a ANPD atuará, já que a Autoridade Nacional de Proteção de Dados foi criada, mas ainda não foi constituída, ou seja: por enquanto, a ANPD só existe no papel (ou melhor, na Lei).

Todavia, tudo indica que a indústria têxtil foi sim autuada e o valor ultrapassou e muito e estimativa de aumento da renda que a máquina de corte a laser traria.

Quando elaboramos esse artigo pensamos em conscientizar os empresários, até então céticos com relação à LGPD.

A LGPD afetará ações do dia a dia, que até então eram consideradas simples e não exigiam decisões estratégicas por parte da diretoria. As empresas, a partir de agosto de 2020, deverão se preocupar, por exemplo, em adequar:  a sua política de fidelidade da portaria; a sua política de privacidade interna; o seu termo de sigilo e confidencialidade; a coleta de dados para a transferência de dados à terceiros (benefícios como farmácia e academia com desconto em folha), ou até mesmo ações preventivas e de segurança, como o monitoramento via câmeras de segurança.

A adequação à LGPD e o cumprimento de todas as suas normas exigirá das empresas uma maior conscientização e a necessidade de realização de um trabalho multidisciplinar envolvendo a diretoria, o jurídico e os profissionais responsáveis pela tecnologia da informação.

Isso porque, em alguns casos (dependendo da base legal para o tratamento de dados), as empresas deverão comprovar que possuem o consentimento do cliente (titular do dado pessoal) e, também, garantir a segurança da informação, a fim de evitar vazamentos ocasionados por ataques de hackers e/ou acesso por pessoas ou colaboradores não autorizados.

Além disso, não basta investir em instrumentos jurídicos adequados ou em um antivírus e firewalls de última geração, sem a realização de um trabalho de conscientização com os colaboradores internos. Chamamos isso de “mudança cultural”.

O Programa de Adequação do Duarte Tonetti Advogados inclui, tanto o mapeamento das vulnerabilidades das empresas, como também a entrega de um Diagnóstico Prévio de Risco para LGPD, que apresentará de forma objetiva a necessidade de alteração de fluxos internos, a  criação e/ou ajustes de instrumentos contratuais e também questões envolvendo Segurança da Informação.

Sempre atento às necessidades e transformações do mundo do Direito, o Duarte Tonetti Advogados inaugura uma nova área de atuação, composta por uma equipe multidisciplinar de advogados e profissionais da área de Tecnologia da Informação, com toda a expertise necessária para assessorá-lo nessa fase de transição e enfrentar a Lei de Proteção e Dados (LGPD) de forma segura e eficiente.