Foto: Kevin Ku/Pexels Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou a lista dos processos e organizações que estão sob sua investigação para averiguar o nível de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) . Saber se as organizações atuam de acordo com a lei é primordial para proteger os direitos dos titulares e eventualmente aplicar punições aos responsáveis.
Estar adequado à LGPD significa, obviamente, agir em conformidade com o que ela diz. E o primeiro passo nessa direção consiste em tomar consciência dos riscos que uma empresa corre ao lidar com informações de pessoas no seu dia a dia.
Ao observar uma lei que prevê inúmeras responsabilidades sobre dados pessoais, podemos concluir que existem diversos “riscos de conformidade” ao longo do seu texto. Para minimizar esses riscos, é necessário olhar para a legislação e comparar suas normas com as estruturas, rotinas e sistemas de cada empresa. O resultado dessa operação deve dar o tom do seu esforço de adequação.
E por onde começar? Antes de tudo, é necessário identificar os tais riscos de conformidade ligados à LGPD. Analisar as obrigações que ela prevê para as organizações e, também, as consequências em caso de desconformidade. Vamos lá?
Uma das primeiras questões no processo de conformação à LGPD consiste em compreender que, hoje, só podem ser tratados dados de pessoas por alguma empresa nas hipóteses autorizadas pela lei. Esse é um risco de conformidade a ser gerenciado por todo e qualquer empresário.
Essas hipóteses - o que se convencionou chamar de “bases legais” - estão explicitamente descritas no art. 7º da LGPD, que prevê as situações que autorizam a coleta, o uso ou o compartilhamento de informações de pessoas - e todas outras operações que configuram o tratamento de dados pessoais.
Portanto, o primeiro “risco de conformidade” a ser identificado na lei diz respeito à forma como são, por exemplo, desenhadas e executadas as rotinas da organização quando envolvem dados pessoais. Dito de outro modo, os processos que coletam, usam ou compartilham informações de pessoas, mas que não estão dentro das bases legais, oferecem evidentes riscos de conformidade, pois configuram tratamento irregular!
O segundo risco a ser apontado, ainda quanto aos requisitos legais, estaria nas regras para tratamento de dados pessoais sensíveis. Essa é uma categoria mais estrita de dado pessoal criada pela LGPD, que engloba informações sobre origem étnica, convicção religiosa, opinião política, filiação sindical, agremiação partidária, ou também dados referentes à saúde, vida sexual etc. (art. 5º, II).
Portanto, como dados sensíveis seriam aqueles ligados à intimidade da pessoa, requerendo maior atenção, as hipóteses para sua utilização são ainda mais restritas. Elas estão previstas no art. 11 da lei, e exigem, consequentemente, maior cuidado em relação à sua guarda, mas também em relação àquilo que a empresa faz com esse tipo de dado. Esse é o segundo risco de conformidade que podemos destacar e diz respeito à adequação legal do tratamento de dados sensíveis.
Seguindo no texto legal, outra seção de riscos de conformidade que podemos identificar está ligada ao tratamento de dados de crianças e adolescentes, população que recebe da legislação uma preocupação à parte, por se tratarem de pessoas presumidamente vulneráveis.
Por isso, o art. 14 da LGPD prevê uma série de condicionantes e limitações para a atuação das organizações em relação ao titular que seja menor de idade. Se esse for o seu caso, o cuidado deve ser triplicado!
A empresa não pode lidar com os dados de menores da mesma maneira que lida com adultos, pois existe regramento específico para esse público, o qual deve ser observado à risca. Consequentemente, existe aí mais outro risco de conformidade em relação à LGPD. Aliás, esse caso envolve também as regras previstas no próprio ECA - Estatuto da Criança e do Adolescente [2]
Por fim, ainda quanto às regras legais sobre o ciclo do tratamento de dados, podemos apontar outra previsão que deve ser observada no dia a dia, especificamente, nesse caso, acerca do término do tratamento. Estamos falando da regra prevista no artigo 15 da lei, que determina as situações em que o tratamento dos dados deve cessar imediatamente.
Para observar essa regra, torna-se necessário que, por exemplo, todos os colaboradores que participam de rotinas envolvendo informações pessoais estejam atentos e aptos a verificar, no dia a dia, a ocorrência de alguma dessas situações, para que possam interromper a operação e apagar os dados.
Até porque a própria LGPD assevera que, após o término do tratamento, os dados pessoais devem ser descartados pela organização, salvo na ocorrência de alguma das situações previstas no artigo 16.
Portanto, se não for algum dos casos autorizados, a empresa que permanecer com informações da pessoa estará realizando o tratamento de forma irregular, isto é, sem autorização legal. E esse, logicamente, é mais um risco de conformidade a ser observado de perto.
Bom, foram citados aqui, apenas para ilustrar, quatro casos de risco de conformidade relacionados aos requisitos legais do tratamento de dados. Esses riscos precisam ser gerenciados de maneira sistêmica dentro da organização.
Outros riscos de conformidade podem ser identificados nas demais obrigações previstas na LGPD, como a nomeação do seu encarregado de dados pessoais (art .41) ou a estruturação de atendimento aos direitos dos titulares (art. 18), dentre outras regras estabelecidas.
São muitas as etapas a serem cumpridas no processo de adequação à LGPD. E, se não for realizada uma força-tarefa no mercado, a lista de processos e empresas fiscalizadas pela ANPD tende a crescer nos próximos anos. Vamos torcer para que haja sabedoria entre os empresários e que alguns possam aprender com os erros dos outros. Prevenir vai sair mais barato.
Por: Gabriel Barroso Fortes, Advogado. Pós-Graduado em Direito Digital e Compliance. MBA em Liderança Estratégica e Gestão Financeira. Mestre em Direito Constitucional. Head da área de Segurança de Dados do escritório Fortes Nasar Advogados. CPC-PD ©.
