A Lei Geral de Proteção de Dados e os Reflexos nas Empresas

No modelo da economia atual, dados são considerados elementos essenciais da atividade econômica. Esta a razão pela qual o Brasil, com amparo e espelho na legislação europeia (chamada General Data Protection Regulation, ou GDPR, de 2018), veio a formatar a Lei nº 13.709/2018, a chamada Lei Geral de Proteção de Dados, ou simplesmente LGPD.

Como a lei é voltada para qualquer operação de tratamento realizada por pessoa natural ou jurídica (Art. 3º), competirá às empresas a realização de alguns ajustes aptos a afastar ou mesmo dirimir eventuais hipóteses de responsabilização, cujas sanções podem atingir alçadas bastante significativas.

O ordenamento jurídico nacional, antes do advento da LGPD, já possuía algumas específicas tratativas de ordem prática, tal como, por exemplo, o contido na Constituição Federal em relação à inviolabilidade da intimidade, vida privada, honra e imagem das pessoas (Art. 5º, X); a proteção estabelecida pelo Código de Defesa do Consumidor em relação às suas informações cadastrais (Art. 43 da Lei nº 8.078/1990); o Código Civil, com a tutela dos direitos de personalidade; a Lei Geral de Telecomunicações; o Marco Civil da Internet, a Lei de Acesso à Informação, dentre outros.

De toda forma, a roupagem e a extensão empregadas pela LGPD assumem o papel de principal legislação sobre o tema, vindo a contemplar uma série de princípios e a nortear a abordagem jurídica a respeito do que se entende por tratamento de dados, zelando pelo resguardo da segurança e cuidado com as informações, dando abrangência plena.

Pode-se dizer que o objetivo da lei, como o próprio nome diz, é a proteção de alguns direitos fundamentais, tais como o da liberdade e da privacidade, isto na forma disposta junto ao Art. 2º, no sentido de regular o desenvolvimento econômico e tecnológico com a adoção de medidas aptas a resguardar o tratamento adequado dos dados pessoais.

Um dos principais elementos trazidos pela legislação seria o Princípio da Finalidade. O seu significado vai ao encontro de que o tratamento de dados pessoais somente poderá ser realizado para propósitos legítimos, específicos e informados ao titular, sendo vedado o tratamento posterior de forma incompatível à finalidade. Seria a conjunção, portanto, da finalidade e do legítimo interesse, prática esta que gera reflexos no cotidiano empresarial.

Então, diante de tal cenário imposto pela legislação, esta que entrará em vigor a partir de Agosto/2020, pergunta-se: o que devo fazer para estar resguardado e realizando as atividades inerentes ao adequado tratamento dos dados?
Acredita-se que a resposta a este questionamento está no próprio corpo da lei, havendo a necessidade de materialização às práticas e políticas empresariais.

O Art. 46 da LGPD aduz que “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. Há a necessidade, portanto, de adoção destas iniciativas, que deverão ser estabelecidas dentro da conjuntura de cada organização.

Cada empresa, diante de seu específico contexto e especificidades, deverá estabelecer as medidas que entender convenientes, dentro do que dispõe o texto legal, aptas a viabilizar a proteção dos dados pessoais. Isto engloba a prática de medidas nos mais variados setores, em especial aqueles que mais demandam o trânsito de informações relacionadas a pessoas naturais, identificadas ou identificáveis (podendo-se citar os departamentos pessoal, comercial, financeiro, suprimentos, de medicina do trabalho, dentre outros).

Há a necessidade de criação de programa de compliance, com alguns requisitos elementares para a efetividade, e que tenham efeitos na prática corporativa. Este deve ser pautado de avaliação contínua dos riscos, destacando-se os pontos de vulnerabilidade a fim de prevenir descumprimentos, sendo fundamental o comprometimento dos Administradores.

Em resumo, existe um cenário próximo que demanda a realização de alguns procedimentos por parte dos agentes que realizem o tratamento de dados. Entende-se que as medidas devem ser feitas dentro de critérios de proporcionalidade e razoabilidade, com base nos objetivos e princípios traçados pela legislação, sendo fundamental a boa prática de governança de modo a evitar eventuais contratempos.