Depois de muitas idas e vindas, a tão falada Lei Geral de Proteção de Dados entrou em vigor e trouxe com ela muitas mudanças e uma nova cultura ao ambiente corporativo. A proteção de dados pessoais passou a ser muito mais que um direito fundamental previsto de forma indireta na nossa Constituição Federal, mas um direito exigível por todo e qualquer titular de dados pessoais.
A legislação tem como objetivo a proteção de dados pessoais e como um dos seus principais fundamentos o direito a autodeterminação informativa. A autodeterminação informativa, oriunda da célebre decisão do Tribunal Constitucional Alemão sobre a Lei do Censo, ainda na década de 80, é o direito que todo titular de dados tem de saber a respeito do fluxo de seus dados, ou seja, quais informações as empresas possuem a seu respeito, se estas informações estão condizentes com a realidade, se ele autorizou a coleta ou até mesmo o compartilhamento. Diante do fundamento da autodeterminação informativa, embasam-se os direitos previstos no artigo 18 da Lei 13.709/18, os quais buscam viabilizar o controle do fluxo dos dados pessoais pelo titular de dados, como o direito de acesso, retificação, cancelamento, dentre outros.
Assim, quando se analisa o processo de adequação da LGPD dentro das empresas, estamos falando muito mais do que de alterações jurídicas ou de políticas de governança de dados, mas de uma verdadeira mudança de cultura e procedimentos, que viabilizem a entrega e acesso dos dados pessoais aos seus titulares, clientes e funcionários de todas as empresas. Para tanto, imprescindível que se adotem algumas medidas urgentes que devem ser levadas em consideração neste momento.
A primeira delas seria a realização de um inventário de dados, o tão falado data mapping. Neste processo, todos os dados pessoais tratados dentro da empresa, em todos os seus setores, devem ser identificados, vinculados a uma base legal, finalidade e período de retenção. Mas mais do que isso, precisa-se identificar o caminho do dado dentro da empresa, dentro dos sistemas da empresa, pois sem isso o inventário não será efetivo e não atenderá de fato a necessidade prevista em lei, que é viabilizar a entrega destes dados pessoais aos titulares. O data mapping é o ponto central de qualquer processo de adequação, já que através dele iremos inclusive identificar os instrumentos jurídicos que precisam ser alterados, assim como as empresas que estão na cadeia de compartilhamento de dados. Portanto, esta etapa é essencial e deve ser de imediato iniciada por todas as empresas.
Além dele, algumas medidas que são acessíveis e visuais a todos devem também ser priorizadas, como por exemplo o cookie banner, políticas de privacidade e cookies. Hoje quando se entra em um site já há a expectativa de que o cookie banner apareça ao final da página, apresentando a política de cookies assim como a política de privacidade do site. Tais medidas são de baixa complexidade em termos de execução e demonstram, de forma evidente, a preocupação da empresa em relação à proteção de dados pessoais dos titulares de dados.
Diante destas breves considerações, percebe-se que o processo de adequação vai muito além de alterações jurídicas em contratos ou políticas de privacidade, mas abrange uma nova forma de tratar dados pessoais dentro das empresas, trazendo novos processos e novas preocupações. Os treinamentos internos sobre o tema assumem papel de suma importância e sinalizam que uma empresa que se preocupa com a proteção de dados pessoais também se preocupa com seus clientes e funcionários.
O envolvimento de toda a diretoria e funcionários da empresa para a efetividade do programa de adequação à LGPD é essencial, pois somente transformando a proteção de dados em um valor para a organização é que poderemos de fato encarar este novo desafio corporativo e tratar os dados pessoais com a devida responsabilidade e cuidado merecido. Campanhas com os funcionários, treinamentos constantes e divulgação do projeto são fundamentais para que tenhamos sucesso ao final desta verdadeira jornada de adequação.
No nosso atual cenário, com tantos desafios financeiros, de saúde e até mesmo de continuidade de muitos negócios, o principal objetivo é que o projeto de adequação à LGPD seja iniciado, com um cronograma para adoção das medidas e mais, que os setores mais críticos – como RH, marketing, área de atendimento ao cliente, e-commerce – sejam priorizados. Através de medidas objetivas e emergenciais, pode-se reduzir grande parte dos riscos e efetivamente focar na entrega dos direitos dos titulares de dados, o grande dever de toda e qualquer empresa.
Gabriela Glitz
Membro do Comitê LGPD da Divisão Jurídica da FEDERASUL.