Enquanto as autoridades batem cabeça sobre a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), as empresas devem se preparar para não virem a ser prejudicadas, e para se habilitarem a bons negócios. O presidente do TI Rio, Benito Paret, informou que a entidade vai retomar a ideia de capacitação pratica em LGPD. Para tanto, disse, já iniciou os estudos com o Professor Gilberto Almeida para transmitir online. A orientação é do advogado Gilberto Martins de Almeida, consultor das Nações Unidas sobre leis para a Internet, em transmissão realizada pelo TI Rio na manhã desta sexta-feira. Entre as medidas básicas que devem tomar estão a revisão de termos de consentimento, a negociação de aditivos contratuais focados nas novas exigência e a criação de relatórios de impactos de proteção de dados nas empresas.
Segundo Gilberto Almeida, a experiência da Europa com o Regulamento Geral sobre a Proteção de Dados (RGPD) deve servir como exemplo. “As empresas que se prepararam antecipadamente apresentam melhores resultados nos negócios e ampliam mercados.” No entanto, disse, há estatísticas de que, em média, apenas 40% dos requisitos da LGPD têm sido implantados pelas empresas no Brasil, o que revela a complexidade do quadro.
Para facilitar as providências imediatas, Gilberto Almeida apresentou uma sugestão de calendário das medidas que sugere para serem adotadas pelas empresas a partir de agora, e indicou quais seriam as medidas básicas, esperáveis das empresas de menor porte e do momento atual, e as medidas mais completas, esperáveis das empresas de maior porte e de um cronograma mais longo:
As medidas básicas – Ainda neste mês de agosto 2020, devem providenciar um menu básico de documentos e sistemas, adotar uma política de proteção de dados e indicar o Encarregado (DPO, Data Protection Officer).
Para até dezembro, devem ter aprontado o relatório de impacto (DPIA), sistemas de segurança, regulamentos e ações de autorregulação.
Entre maio e agosto 2020, fazer seguros para proteção da empresa e do profissional nomeado como DPO, harmonizar políticas que devem estar entrosadas, como, por exemplo, o código de ética, as práticas de sigilo de informação e o compliance.
Cuidados com os elos fracos – O advogado alerta para necessidade de um olhar atento, que contemple os aspectos internos e externos, com atenção àqueles que podem ser “elos fracos na cadeia”. Nesse caso cita prestadores de serviços terceirizados ou quarteirizados. “É preciso estar atento e rever cláusulas contratuais que contemplem esses casos”.
No conjunto de ações básicas de preocupações técnicas, em contraste com ações mais completas, estão a pseudonimização, mascaramento ou bloqueio, em vez da anonimização de dados; a gestão manual, em vez da automatizada; a geração de questionários para fornecedores e parceiros, em vez de integração, due dilligence e auditorias; a criação de documentos individuais de consentimentos, em vez de logs de consentimentos em portal; o controle focado em processos, em substituição ao controle focado em sistemas (BPMS, CRM); a triagem caso a caso para envio de respostas, em vez de categorização automática para respostas; e o mapeamento pessoal de localização de dados, em vez de varredura eletrônica de localização de dados.
Prioridade para gerir legados de dados pessoais – Gilberto de Almeida destaca que é preciso monitorar a regulamentação do artigo 63 da LGPD, no qual está prevista adequação progressiva dos bancos de dados constituídos antes da entrada em vigor da lei.
Ele ressaltou que a prioridade é para a proteção de dados pessoais sensíveis. Recomendou também a consolidação da base de consentimentos e adoção de estratégia de renovação, de descarte ou bloqueio. De acordo com Almeida, é importante as empresas adotarem de forma gradativa controles mais sofisticados, como técnicas de anonimização, por exemplo. Além de recomendar a revisão periódica, no mínimo semestral, das bases.
Gilberto Almeida alertou às empresas que tenham contratos de negócios com países europeus para análise sobre as exigências da RGPD (GDPR) e esclarecimento sobre possíveis restrições. Ele lembrou que há cerca de três semanas a Justiça europeia invalidou um acordo com os Estados Unidos que permitia negócios com 5,4mil empresas americanas. Agora só ficam habilitadas as que fizerem acordos com cláusulas específicas que atendam às exigências do continente.
Sobre a proposta de alocação da ANPD na estrutura do Cade, o advogado diz que seria uma medida complexa, uma vez que este é um órgão antitruste com atuação distante do que se espera da nova autoridade.
Janela de oportunidade – A LGPD, diz, pode servir para encorajar empresas a adotarem boas práticas de governança. Para tanto, Gilberto prega que as entidades representativas dos setores elaborem materiais onde sejam estabelecidos parâmetros e que sirvam de bússolas para as empresas. “Percebo que faltam parâmetros. Estou fazendo um trabalho para um tribunal de justiça e preciso buscar fontes no exterior.”
Almeida alertou para a extensa lista de grandes empresas que já enfrentam processos judiciais devido às práticas consideradas lesivas pela Justiça, tais com o Facebook, a Netshoes, o Zoom, o Serpro, o Rappi e o SPC. “O Ministério Público tem atuado. Não é necessário esperar a lei entrar em vigor. Muito já está previsto, por exemplo, no código de defesa do consumidor, em vigor há 30 anos.” Recentemente, informou, a Base Up teve o domínio congelado e foi retirada do ar liminarmente.
O advogado indicou que é importante ficar atento aos artigos do código. “Esse é um caminho a ser observado. Na Califórnia (EUA) se usa a lei do consumidor como base em questões como o direito de conhecer, de deletar dados etc.”
O presidente do TI Rio, Benito Paret, informou que a entidade vai retomar a ideia de capacitação em LGPD que seria realizada na semana em que começou o período de isolamento social da pandemia Covid-19. Para tanto, disse, já iniciou os estudos com o próprio Gilberto Almeida com objetivo de adequar à possibilidade de transmissão online.