Segurança, competitividade e a necessária adequação à LGPD
Por André Zanatta Fernandes de Castro e Fernanda Mascarenhas Marques
Incidentes de vazamentos de dados pessoais são noticiados pela imprensa com cada vez mais frequência. A necessidade de prevenir esses vazamentos, bem como de adotar medidas de proteção contra o acesso e uso não autorizado de dados, decorre da premente necessidade de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD), cujos principais artigos entraram em vigor em 18/9/2020.
Essa realidade se intensifica com o iminente e aguardado início de uma atuação mais assertiva da Autoridade Nacional de Proteção de Dados (ANPD), tanto no âmbito regulatório quanto na efetiva aplicação da lei. Nunca é demais lembrar que a ANPD poderá impor sanções administrativas a empresas a partir de 1º de agosto deste ano, como multa de até 2% do faturamento da empresa, grupo ou conglomerado econômico, excluídos tributos, limitada a R$ 50 milhões por infração.
A LGPD é categórica. Pessoas físicas ou jurídicas que tratam dados pessoais com intuito econômico devem obrigatoriamente implementar medidas de segurança aptas a proteger os dados pessoais de seus clientes e funcionários, impedindo acessos e usos não autorizados. A lei ainda dispõe que a ANPD poderá estipular padrões técnicos mínimos de segurança considerando o estado da tecnologia naquele momento.
Não se trata apenas de uma obrigação e desafio para o mercado, que vê seus custos transacionais aumentarem, mas também de uma oportunidade de diferencial competitivo. Empresas que culturalmente abraçarem a causa da privacidade e da proteção de dados pessoais para além da mera declaração formal de observância à lei terão um destaque atrativo, externando maior consciência e preocupação com seus consumidores, minimizando riscos e construindo um negócio mais seguro e confiável desde sua concepção.
Não existe fórmula padrão para se adequar à LGPD. Cada empresa deve ser analisada profunda e individualmente por meio de questionários e entrevistas personalizadas durante a fase de mapeamento de fluxo de dados, com a ativa participação de todas as áreas da empresa que tratam dados pessoais de clientes e funcionários. É necessário identificar, registrar e justificar cada atividade de tratamento, apresentando-se soluções específicas para cada empresa.
Nesse sentido, a melhor prática demonstra que é essencial que as áreas jurídica, comercial, de desenvolvimento de produto e de tecnologia da informação caminhem juntas até a concreta implementação das medidas recomendadas para adequação à lei. Telas de consentimento e que apontam para políticas de privacidade, bem como de autenticação em dois fatores ou aceitação do uso de cookies, por exemplo, devem ser desenhadas em conjunto por essas áreas, de forma que atendam à LGPD e às razoáveis expectativas da ANPD, mas sejam também atrativas ao usuário, preservando-se a liberdade econômica e a livre iniciativa empresarial, salutares à continuidade do bom desenvolvimento do mercado digital.
Vale lembrar que faz parte da adequação à LGPD a construção de uma política de privacidade clara e transparente disponibilizada em destaque no site da empresa, em que o titular seja devidamente informado de todas as formas em que seus dados serão tratados, bem como das respectivas finalidades de cada tratamento.
Aqui, cabe dizer que, diferentemente do que muitos acreditam, a obtenção de consentimento por parte de usuários para que seus dados sejam tratados nem sempre é necessária. O tratamento de dados pessoais pode ser justificado por outras bases legais previstas na LGPD, tais como execução de contrato, cumprimento de obrigação legal ou regulatória, tutela da saúde, proteção ao crédito ou legítimo interesse do controlador. Nessa última, o uso de dados é permitido, entre outros, para promover as atividades da empresa ou quando os dados forem utilizados em benefício do próprio usuário, respeitadas suas legítimas expectativas e os direitos e liberdades fundamentais.
Em suma, de fato é chegada a hora de se adequar à LGPD e de implementar medidas de segurança que minimizem os riscos de acessos e usos não autorizados de dados pessoais, especialmente na iminência de uma ANPD mais atuante. A implementação dessas medidas, sempre acompanhando o estado da arte, será uma razoável expectativa de usuários, funcionários e autoridades, demandando uma transformação cultural nas empresas que realmente estejam dispostas a enxergar a privacidade e a proteção de dados pessoais como um diferencial competitivo e como um atrativo para a criação de um ambiente verdadeiramente seguro ao seu consumidor.
*Artigo publicado originalmente no portal ConJur.