Caneta ao lado da frase "I agree", junto a um checkbox.

A Lei Geral de Proteção de Dados Pessoais tem previsão de vigorar a partir de 2020. Essa vigência vem acompanhada de muitos impactos e dúvidas sobre a LGPD.

Vejamos algumas situações hipotéticas.

A empresa “XPTO Eventos Ltda” possui um software de gestão e divulgação de eventos nas capitais do país. Para prover sugestões de shows de acordo com os interesses dos usuários, ela coleta diversas informações sobre eles. Entre essas informações podemos citar: nome, idade, dados de localização a partir do GPS do celular, endereço IP, cookies para melhorar a experiência de navegação em seu site, entre outros. O sistema por trás do site da XPTO Eventos está no ar desde 2010.

A seguradora “Break a leg” oferece seguros de saúde. Ela usa dados de seus clientes para realizar avaliações de risco, definir preços dos planos, autorizar exames, estabelecer a rede de assistência, pagar prestadores, permitir reembolso etc. São coletados dados como idade, raça, doenças prévias, faixa de renda, endereço, nome dos dependentes menores, e por aí vai. Tudo isso é compartilhado com os hospitais da rede credenciada. O hospital da “Rede Core”, por sua vez, compartilha estes dados e a avaliação de risco feita com base neles com um laboratório de análises clínicas parceiro.

Surgiu a nova Lei Geral de Proteção de Dados Pessoais (LGPD). E agora?

Todas as organizações que manipulam dados pessoais precisam se adaptar para assegurar os direitos à privacidade garantidos pela LGPD (Lei Geral de Proteção de Dados Pessoais). Muitos dos direitos e obrigações mencionados na lei serão implementados através de procedimentos e operações jurídicas. Entretanto, no que se refere aos de dados em sistemas informatizados, boa parte da problemática associada à LGPD gira em torno de questões de software.

A XPTO Eventos é uma empresa pequena e possui software voltado para o negócio em que atua. O CEO está preocupado e já montou um time multidisciplinar para estudar o assunto. A área jurídica já está se capacitando e entendendo as implicações legais. A equipe de TI está preocupada porque, contando com poucas pessoas, vai ter que adaptar um software legado para que fique aderente à LPGD. O CEO já indicou a preocupação com a possibilidade de que a empresa sofra multas e penalidades por tratar dados pessoais indevidamente.

A “Break a Leg”, por sua vez, é uma seguradora de médio porte, boa abrangência em território nacional. Possui área de TI própria que suporta suas atividades finalísticas. Não possui profissionais com conhecimento em gestão de dados. A empresa foi crescendo aos poucos, suas bases de dados nem sempre foram muito bem estruturadas e parece que vai ser complicado criar todo um arcabouço para suportar o atendimento às necessidades de controle e restrição sobre dados pessoais.

Consentimento: Onde a Dificuldade Começa

Durante a vigência da LGPD, não será mais possível tratar dados pessoais sem consentimento do Titular – quando tratam-se de atividades para fins econômicos, excetuam-se casos particulares previstos na lei. Isso implica na coleta, processamento e divulgação autorizados pelo dono dos dados. A lei europeia (GDPR – General Data Protection Regulation), que foi a base da LGPD, sugere dois princípios para o desenvolvimento de aplicações. São eles: a Privacidade Desde a Concepção (Privacy by Design) e a Privacidade por Padrão (Privacy by Default).

A primeira implica em pensar processos de negócio, software e produtos de modo preventivo, não reativo, antevendo possíveis eventos que venham a comprometer a privacidade. A segurança deve ser um pilar desde a concepção do produto, assegurando este valor em todo o tratamento de dados.

Privacidade por Padrão, complementando o primeiro conceito, implica em lançar produtos com as características mais restritivas de privacidade. Somente com o consentimento do titular, as restrições podem ser desbloqueadas/liberadas.

Em um mundo onde empresas usam os dados pessoais como insumos relevantes para atingir seus objetivos de negócio, ganhando em competitividade e inovação, será necessária uma dose de criatividade, habilidade e conhecimento para não perder esta vantagem e não violar os direitos dos usuários.

Tratamento: Onde Tudo Acontece e a Dificuldade Cresce

O aspecto central da LGPD é o Tratamento de Dados. O tratamento representa TUDO e somente TUDO que a empresa é capaz de fazer com os dados pessoais.

Esta é uma das partes mais difíceis desta adaptação: mapear todos os tratamentos possíveis dentro de um sistema. Além disso, não basta mapeá-los. É preciso relacioná-los com os dados tratados, bem como à finalidade do tratamento. Na maioria dos casos, é preciso também associar o consentimento para tal ação (ou ao amparo legal que subsidia a ausência de consentimento).

Essa é uma adaptação necessária nos processos de negócio e softwares da “XPTO Ltda” e da “Break a leg” e que, provavelmente, não será um trabalho fácil, muito menos, óbvio.

Empresas Diferentes, Dúvidas Comuns

É possível estar aderente à lei manipulando e gerindo apenas informações em papel mas, na realidade atual, praticamente todas as empresas possuem dados pessoais digitalizados e utilizam estas informações para melhorar seus serviços. Especialmente no comércio eletrônico, estas empresas se beneficiam de vantagens competitivas através de processamento e cruzamento de informações.

No caso da “XPTO Eventos” e da “Break a Leg”, observamos duas empresas distintas, com propósitos e nichos sem relação, mas com muitas dúvidas em comum. Há dúvidas sobre a perspectiva da aplicação jurídica da lei, mas também há dúvidas de ordem prática, especialmente sobre a implementação concreta do software que fará a gestão destes dados.

E aí começam as perguntas. Como…

  • identificar os dados pessoais nos sistemas de negócio?
  • determinar quando, como, porque e por quem foram tratados os dados pessoais?
  • determinar origem e destino destes dados dentro dos processos de negócio e assegurar que os dados recebidos estavam resguardados por consentimento do titular?
  • projetar uma aplicação assegurando a privacidade de um titular?
  • adaptar um sistema legado para que ele esteja aderente à LGPD?

As empresas seguem se perguntando sobre o custo desta adaptação:

  • A empresa (Controlador) deve criar seu próprio software de gestão de LGPD?
  • É mais vantajoso para o Controlador terceirizar este serviço para um Operador?

A Grande Verdade

A resposta é que o trabalho é complexo demais e, deixar para se adaptar a posteriori não parece ser uma boa opção. Há artigos que destacam como foi a implementação da GDPR e mostram como isso já trouxe consequências para o comércio:

Como pode ser visto nos links acima, podem existir consequências nefastas para os negócios. Elas podem ser desde as mais óbvias, como punições administrativas e judiciais, como as menos óbvias e previsíveis, mas que abalam vantagens competitivas da empresa. Exemplos destas consequências são a reputação manchada por notícias de vazamento ou tratamento de dados pessoais de forma inadequada, ou até mesmo a perda de contratos com empresas que, por receio de prejuízos financeiros e mácula à sua imagem, passarão a negociar apenas com outras empresas que assegurem o correto tratamento de dados pessoais.

A esmagadora maioria das empresas não trabalha a governança dados nem gerencia riscos de segurança da informação. Desse modo, é praticamente inviável uma adaptação indolor para atender a LGPD, como se fosse apenas um refinamento ou melhoria em seus produtos ou processos.

De qualquer forma, as empresas usadas como exemplo neste artigo terão que optar por uma saída. Pode parecer mais simples contratar um Operador para cuidar do software que fará a gestão dos tratamentos de dados e seus respectivos embasamentos legais. Isso não exime a empresa de fazer algumas adaptações em seus softwares, estabelecer políticas sobre privacidade de dados e, possivelmente, elaborar um programa de governança próprio.

O Que Está Por Vir

Os debates sobre a LGPD estão ocorrendo a pleno vapor. A normatização sobre como aplicar a lei ainda será lançada pela ANPD (Autoridade Nacional de Proteção de Dados), órgão que será responsável pela fiscalização sobre a LGPD.

Entretanto, algumas questões já estão sendo definidas e já demonstram os riscos para as empresas (privadas ou públicas) que não se adequarem à lei. Nestas notícias de Setembro/2019, é possível ver que algumas sanções de alto impacto para as empresas foram incluídas: 1) a suspensão parcial do funcionamento do banco de dados por até seis meses; 2) suspensão do exercício da atividade de tratamento dos dados pessoais por até seis meses; 3) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Congresso derruba vetos da LGPD e “reinclui” punição que suspende atividade da empresa

Congresso conclui análise de vetos sobre proteção de dados

Seja por conta de possíveis multas, prejuízos à imagem da empresa ou até suspensão de atividades, é inegável que empresas que usam dados pessoais para garantir suas atividades econômicas precisam estar preparadas para lidar com esta nova era. E a sua empresa, já está discutindo sobre LGPD?

Um comentário em “LGPD: Impactos e Dilemas

Deixe uma resposta