Paulo Salvador Ribeiro Perrotti, advogado da LGPDSolution
Para a conformidade com a LGPD, podem ser necessárias adequações nas estruturas físicas e arquitetônicas das empresas, especialmente diante da possibilidade de acessos indevidos por parte de terceiros
Paulo Salvador Ribeiro Perrotti e Artur Jorge de Deus Lé (*)
Sob a influência de diversos aspectos da General Data Protection Regulation (GDPR), regulamentação europeia de proteção de dados, a partir de 18 de setembro de 2020, entrou em vigor a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018), passando então a surtir efeito no que diz respeito tanto à Pessoa Jurídica quanto à Pessoa Física.
Esta lei possui amplo alcance, fazendo com que as empresas, independentemente do ramo de atuação, comecem a estruturar uma linha de planejamento sobre a forma de proteção ao tratamento dos dados pessoais de seus clientes e colaboradores, a fim de evitar infrações, que certamente irão culminar em prejuízos financeiros e danos na reputação.
Embora a necessidade de proteção à privacidade já esteja devidamente norteada em nossa Constituição Federal, bem como no Código Civil e no Código de Defesa do Consumidor, a LGPD surge como uma forma não apenas de embasar a proteção dos dados mas, sobretudo, de esmiuçar devidamente suas particularidades, de forma que mantenha preservada a privacidade dos usuários e colaboradores, e também seus respectivos poderes de escolha.
A proteção e o sigilo dos dados dos usuários e de todos os colaboradores envolvidos em uma empresa surgem apenas como plano principal, revelando assim, por meio de uma análise mais aprofundada, a necessidade de que todos tenham ciência do tratamento adotado para as informações prestadas, bem como do seu destino.
A LGPD prescreve um conceito aberto a respeito de dados pessoais, considerando toda e qualquer informação relacionada à pessoa natural identificada ou identificável, ou seja, informações como nome, endereço, telefone, profissão, dentre outros, que são capazes de identificar a pessoa natural ou torná-la identificável, automaticamente.
Seguindo a linha de raciocínio, a LGPD também trouxe catalogados os dados considerados pessoais sensíveis, quais sejam, aqueles sobre: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico, quando vinculado a uma pessoa natural.
Deste modo, entende-se que o maior propósito a ser atingido pela aplicabilidade da Lei Geral de Proteção de Dados é a privacidade do indivíduo, o tratamento dos dados pessoais do indivíduo, bem como seu poder de decisão diante do destino deles.
Lembrando que tratamento de dados pessoais é toda operação realizada com os dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Influência sobre a arquitetura
A arquitetura, como atividade que, entre outras características, exprime em espaços e experiências, as transformações culturais, comportamentais e tecnológicas das sociedades, também deverá ser influenciada, em maior ou menor escala, dependendo do tipo de projeto e sua atuação de mercado, pela LGPD.
Não será a primeira vez que a arquitetura pode ter que se adaptar e absorver soluções que não são de normas ou leis específicas à sua atuação, como é, por exemplo, a Norma de Desempenho de Edificações (Norma NBR 15575 da ABNT de julho de 2013), que surgiu de forma a sistematizar e aumentar a qualidade das edificações e assim abranger e atender, entre outras, a Lei de Defesa do Consumidor (Lei 8.078 de 11 de setembro de 1990).
Quanto às transformações culturais e comportamentais, podemos lembrar dos impactos na arquitetura e no design que a Covid-19 promoveu nas casas, escritórios, comércios, aeroportos, etc. E é uma via de mão dupla: da mesma forma que são influenciados, a arquitetura e o design também influenciam ações e comportamentos.
Neste sentido, então, podem ser necessárias adequações nas estruturas físicas e arquitetônicas das empresas, para que também se enquadrem às determinações da LGPD, especialmente diante da possibilidade de acesso indevido por parte de terceiros a informações restritas e confidenciais. Os novos projetos já devem contemplar essas necessidades.
Definições básicas, por exemplo, de layouts em que os equipamentos sejam posicionados de forma que o ângulo de visão seja restrito, não estando voltados para vidros transparentes ou corredores de acesso público, não são mais apenas boas práticas da arquitetura, mas sim exigências contempladas no ISO/IEC 27002/2013 (norma que fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança); NIST 800/53 (catálogo de controles de segurança e privacidade para todos os sistemas de informação federais dos EUA); e PCI DSS (padrão de segurança de dados do setor de cartões de crédito e meios de pagamento).
É fundamental também a atenção dos arquitetos, engenheiros e projetistas na definição de espaços e soluções com controles de acesso e de monitoramento, itens quase onipresentes no mundo em que vivemos, ainda mais quando se fala de proteção de dados, mas que ao mesmo tempo exigem políticas e normas a serem respeitadas e que devem ser validadas com o Encarregado de Dados do seu cliente.
Avanços tecnológicos
Em função dos avanços tecnológicos, como algoritmos de Inteligência Artificial, dados de localização e georreferenciamento, bem como reconhecimento facial, entre outros, é possível, por exemplo, examinar os perfis de comportamento de clientes e definir hábitos de compra, sem se limitar a estudos e técnicas psicológicas para identificar o índice de gasto de determinado grupo de consumidores e frequentadores casuais, tornando possível, por conseguinte, obter resultados mais precisos, assertivos e automáticos.
Os projetos arquitetônicos devem, assim, considerar as necessidades e adaptações para as seguintes exigências legais, entre outras, que as empresas devem adotar em seus espaços visando a privacidade de dados:
o Procedimentos para formalização de inclusão, exclusão e revisão dos acessos físicos concedidos;
o Segregação física das áreas críticas (ex: atendimento, data center e processamento de informações confidenciais);
o Necessidade de controles de acesso: autorização para acesso às áreas críticas, por biometria, crachá ou senha;
o Monitoramento de CFTV (Closed Circuit Television), garantindo que todas as entradas, saídas e áreas críticas sejam monitoradas;
o Restrição de acesso a áreas confidenciais apenas a usuários autorizados, utilizando mecanismos de autenticação de, pelo menos, dois fatores (ex: biometria e senha);
o Ter isoladas as áreas de entrega e carregamento das demais dependências da empresa;
o Ter procedimento e local específico para retirada e devolução de documentos e equipamentos;
o Ter cabeamento da rede dentro de racks trancados com chave, quando não estiverem sofrendo manutenção;
o Proibir a entrada no ambiente das áreas críticas com pertences que possam ser utilizados para saída de informação (ex: papéis, bolsas, celulares etc.);
o Ter local apropriado para guarda de informações do negócio sensíveis ou críticas, em papel ou em mídia de armazenamento eletrônicas; e
o Orientar para que os documentos que contenham informação sensível ou classificada sejam removidos de impressoras, ou isolar tais equipamentos em salas específicas e controladas, para limitar o acesso.
O arquiteto passa, então, a aumentar o rol de itens na sua tomada de briefing com seus clientes e a atuar como importante agente de contribuição na implantação das políticas de proteção de dados das empresas, e se faz indispensável para a definição de soluções harmônicas, criativas e funcionais, minimizando impactos, melhorando os fluxos, experiências e a ambientação dos espaços.
A Lei Geral de Proteção de Dados não se limita apenas a gerir a relação de transparência junto aos clientes, colaboradores e fornecedores, mas também impõe penalidades àquelas empresas que não implementam procedimentos de segurança para proteger os dados pessoais desses clientes, desde a imposição de uma advertência até a aplicação de uma multa na proporção de 2% sobre faturamento anual da empresa, podendo chegar a R$ 50 milhões.
Listamos alguns cuidados que devem ser levados em conta, quando o assunto é privacidade de dados:
(i) Segurança na captação dos dados do cliente;
(ii) Selecione e trate apropriadamente os dados, de acordo com o seu impacto: se são apenas dados empresariais, não haverá impacto para a LGPD;
(iii) Utilize um software de auditoria;
(iv) Indique um encarregado de dados;
(v) Formalize políticas de segurança;
(vi) Treinamento;
(vii) Seguro contra ataques cibernéticos;
Decerto, a LGPD trará grandes mudanças positivas na estrutura de relacionamento entre as empresas e seus clientes, colaboradores e fornecedores, pois irá otimizar as relações para atender melhor as demandas, dentro do perfil de cada um, bem como trará grandes oportunidades de crescimento e transparência, especialmente, diante das condutas preventivas que precisam ser adotadas, uma vez que a LGPD já entrou em vigor, como forma de minimizar ou até mesmo prevenir a incidência das severas penalidades, além da perda da reputação, cujo valor é inestimável e, muitas vezes, irrecuperável.
(*) Paulo Salvador Ribeiro Perrotti é advogado da LGPDSolution, presidente da Câmara de Comércio Brasil-Canadá e membro da Comissão Especial de Relações Internacionais da OAB/SP.
Artur Jorge de Deus Lé é sócio da Anastassiadis Arquitetos, formato pela Universidade Mackenzie e com Pós-Graduação nas áreas de Administração e Gestão pela FAAP e Universidade Mackenzie.
Artur Jorge de Deus Lé, sócio da Anastassiadis Arquitetos