GDPR e Lei Brasileira de Proteção de Dados desafiam empresas

Ações para estarem em conformidade com as novas leis incluem conscientização do time gerencial, avaliação de riscos, revisão de políticas e processos; treinamentos e controles internos

A nova lei brasileira de proteção de dados, assim como a GDPR, representa grandes desafios para as empresas. Isso porque, se você ou a sua empresa oferece ou fornece bens ou serviços ou trata dados de indivíduos localizados no território nacional, deve ficar atento, já que esta legislação impacta diretamente no processamento, coleta e uso de dados pessoais de clientes, colaboradores e fornecedores. Essa preocupação não se restringe apenas a uma categoria de organizações, mas a todas – de todos os portes, segmentos e atuação de forma física ou online. Ainda, se o seu negócio coletar, processar ou tratar dados da União Europeia, também terá que se atentar às regras da GDPR.

O Regulamento Geral de Proteção de Dados da União Europeia (GDPR, sigla em inglês) entrou em vigor maio de 2018 e a lei brasileira (http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm" target="_blank" rel="noopener">13.709/18), segue os mesmos parâmetros. Ambas protegem os dados de pessoas físicas, no qual também se aplica o “direito de ser esquecido” e impõe a obrigação de obter o consentimento do titular/finalidade e o processamento de dados por motivos legítimos aos negócios – quais, por que e como os dados são processados.

A lei brasileira diferencia dados pessoais e dados sensíveis, sendo que ambos são protegidos tanto pela lei brasileira como pela GDPR. Para a lei brasileira, dados pessoais são os dados que podem identificar alguém (nome, foto, cédula de identidade, entre outros) e dados sensíveis são aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Penalidades previstas

A lei brasileira está em período de vacância, e mesmo entrando em vigor apenas em 2020, ainda há muito a ser feito para cumprir com os requisitos. “Haja visto que as empresas europeias tiveram dois anos para se ajustar ao GDPR, entretanto, muitas delas ainda não conseguiram se adequar completamente e podem sofrer sanções legais”, explica a sócia sênior do http://www.wfaria.com.br/" target="_blank" rel="noopener">WFaria Advogados e responsável pela área de Compliance, Alessandra Gonsales. A responsabilização pelo GDPR pode ocorrer por meio de multas que chegam a 20 milhões de euros ou 4% do faturamento bruto anual da empresa (pago para autoridades de controle, não à pessoa), restrições de direitos e pagamento de indenizações à pessoa lesada.

Se uma empresa brasileira negocia com clientes ou fornecedores de um país da União Europeia, mesmo que não tenha escritório no continente, ela pode sofrer sanções locais do GDPR.

Já a violação às regras brasileiras pode chegar a R$ 50 milhões (ou 2% do faturamento bruto anual da empresa, grupo ou conglomerado no Brasil), além da reparação à pessoa lesada. A lei brasileira prevê medidas para minimizar estas penalidades como a adoção de boas práticas e governança e pronta remediação. Cabe mencionar que há a responsabilidade solidária do operador e controlador.

Revisões e mudanças

Muitas pessoas já começaram a perceber as mudanças que estão ocorrendo, pois são consultadas acerca do recebimento de notificações sobre atualizações de determinada empresa ou serviço e precisam confirmar o interesse. Políticas de privacidade, contratos ainda em vigor e futuros, intranet, backups de arquivos e até mesmo recrutamento e seleção precisam ser atualizados para atender às normas. Independente de não utilizar as informações para fins comerciais, a manutenção do cadastro precisa ser autorizada. Cabe ressaltar que a política interna da corporação não se sobrepõe às leis.

Em agosto de 2018, o http://www.wfaria.com.br" target="_blank" rel="noopener">WFaria Advogados realizou workshop gratuito que reuniu profissionais de diversos segmentos, demonstrando preocupação em compreender a aplicação destas leis. Uma das muitas dúvidas levantadas está relacionada ao recrutamento e seleção das empresas. É interessante observar que como constam informações pessoais, o tempo de armazenamento de um currículo também é protegido pelo GDPR e pela lei brasileira. Uma recomendação neste caso é a de avisar ao candidato o prazo a duração do processo seletivo e também se ele autoriza o armazenamento banco de dados da empresa destacando a finalidade. Lembrando que a pessoa tem opção pela retirada (chamado de término do tratamento/direito de ser esquecido) ou pela permanência do consentimento do uso de seus dados pela empresa.

Mas afinal, o que as empresas devem fazer para atender a estas legislações?

Para Alessandra Gonsales, o programa de Compliance de proteção de dados das empresas pode ser dividido em seis pilares: conscientização e apoio da alta administração; nomeação do DPO (data protection officer); avaliação de riscos e do programa de forma periódica; elaboração de políticas e processos; treinamento e comunicação com o público interno e externo; controles internos, monitoramento e remediação.

Inicialmente é preciso disseminar o conhecimento para identificação de impactos para a empresa, compromisso e apoio em adotar os processos e políticas necessárias à proteção dos dados pessoais. Essa ação deve ser alinhada com o Programa de Governança e Compliance. Outro ponto é a nomeação do DPO - pessoa que responsável pela comunicação ante os titulares dos dados pessoais e aos órgãos reguladores - obrigatória para as empresas brasileiras e instituições financeiras (BACEN) e, em alguns casos, para a GDPR.

Na questão de avaliar os riscos periodicamente, trata-se do trabalho focado na atividade da empresa, estrutura, escala e aos volumes de suas operações e a sensibilidade dos dados tratados. Em seguida, é indicada a elaboração da Política de Proteção de Dados, implementação dos processos necessários (on-going process), inclusive para resposta a incidentes e revisão dos contratos.

Outro pilar fundamental é o treinamento e comunicação constantes e canal de reporte e transparência com os titulares dos dados. Por último, é necessário estabelecer controles internos, verificar conformidade, monitoramento e planos de resposta a incidentes e remediação.

Estes são apenas os pontos gerais das leis e, por ser um assunto complexo, não pode ser conduzido apenas por uma área. “Justamente por isso, o interessante é formar um comitê interno com integrantes de diferentes áreas que podem ser impactadas pelas novas regras, tais como departamento jurídico, compliance, marketing, comunicação, recursos humanos, tecnologia, financeira/fiscal, etc. Com o grande avanço das novas tecnologias, foi necessário regular o uso dos dados pessoais, então cabe às empresas se adequarem. Nem sempre o processo é fácil, no entanto, é necessário. É um caminho sem volta, o qual, no fim, todos têm a ganhar”, completa a sócia do http://www.wfaria.com.br/" target="_blank" rel="noopener">WFaria Advogados, Alessandra Gonsales.