Para as organizações ligadas a estas áreas, o senso de urgência nos esforços de conformidade é ainda mais alto, já que lidam ativamente com o consumidor final ou com a coleta de dados sensíveis
Lucas Anjos (*)
Estamos a pouco menos de dois meses para a entrada em vigor das penalidades administrativas editadas pela Lei Geral de Proteção de Dados (LGPD), Lei n.º 13.709/2018, e apesar de bastante difundida, seja por meio de profissionais liberais ou instituições, o cenário aponta que a grande parte das empresas ainda não direcionou esforços para revisar seus processos internos que envolvem dados pessoais.
Coletar, utilizar, compartilhar ou simplesmente acessar informações pessoais de residentes no Brasil para fins econômicos é o suficiente para estar sujeito às normas da LGPD. As penalidades que podem ser impostas pela Autoridade Nacional de Proteção de Dados (ANPD) vão de uma simples advertência, com indicação de prazo para adoção de medidas corretivas, a multa de até 2% do faturamento bruto anual (limitado a R$ 50 milhões) e a publicização da infração.
Outro detalhe que merece relevância é que a legislação não isenta as empresas de pequeno e médio porte de qualquer responsabilidade, ainda que por meio de resoluções futuras a ANPD possa vir a dispensá-las de algumas obrigações legais. Assim, para as empresas ligadas a atividades do varejo e de saúde o senso de urgência é ainda mais alto, já que lidam ativamente com o consumidor final e a coleta de dados de saúde.
Lidar com o consumidor final ou com informações pessoais sensíveis (referente à saúde, orientação sexual, biométrico e outros) coloca a instituição em uma verdadeira vitrine para ações de fiscalização. O exemplo é o que ocorre hoje com a tutela dos direitos do consumidor: as empresas são convocadas diariamente a responder por reclamações de clientes (extrajudicial ou judicialmente) ou pela autuação direta dos órgãos administrativos. Acredita-se que esta dupla gama de agentes fiscalizadores continuará atuante agora no panorama legal dos direitos da privacidade e proteção de dados pessoais.
Diante do prazo exíguo, é imprescindível dar início à jornada de compliance com a LGPD, esta que pode ser iniciada com o registro das operações que envolvam dados pessoais, e na sequência analisar se tais processos devem ou não ser submetidos a ajustes para conformidade com a lei. A partir deste mapeamento inicial, a instituição poderá avaliar o seu nível de risco e a necessidade de documentação complementar para justificar suas atividades junto à ANPD.
Mitigação de riscos
Na prática, partindo do relatório de processos, será possível pôr uma “lupa” para identificação do risco individual daquela atividade e estudar quais medidas corretivas serão necessárias para prevenção ou mitigações destes riscos.
Um exemplo de processo que merece revisão urgente é sobre como as empresas utilizam a lista de transmissão de WhatsApp ou e-mail marketing. É preciso primeiro entender como este banco de dados foi formado. Foi solicitado o consentimento expresso do destinatário para recebimento destas comunicações? Há registro deste consentimento? Sendo negativas as respostas para as questões anteriores, é preciso estudar quais ferramentas (de opt-in e opt-out) poderão, se forem viáveis para o negócio, ser implementadas na prática, ainda que para validação integral ou parcial da base de dados existente.
No geral, estar em compliance com a LGPD é entender que este projeto não possui uma data limite, pois assim como o negócio está em constante mudança e aderente a novas tecnologias, após implementados os controles de conformidade iniciais, é preciso a manutenção da estrutura de privacidade também a cada novo processo. Vale dizer, as empresas que ainda não começaram o processo de conformidade devem se atentar para o senso de relevância e exposição das penalidades trazidas pela LGPD.
(*) Advogado e integrante do “Cerveiratech”, programa de tecnologia e inovação do escritório Cerveira, Bloch, Goettems, Hansen & Longo Advogados Associados