Em 28 de janeiro comemora-se o Dia Internacional da Proteção de Dados Pessoais. A escolha desta data se remete ao dia 28 de janeiro de 1981, quando foi estabelecida a Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal (Convenção 108) do Conselho da Europa.
No Brasil, a Lei Geral de Proteção de Dados (LGPD), Lei nº. 13.709, foi sancionada em 14 de agosto de 2018 e entrará em vigor em agosto de 2020.
A partir de agosto deste ano, qualquer empresa (pública ou privada) que incluir em sua base dados e informações pessoais de clientes ou usuários, por mais simples que sejam, deverão seguir os procedimentos previstos na LGPD.
Para conhecer e discutir um pouco mais sobre essa inovação legal no ordenamento brasileiro, aproveitamos o Dia Internacional da Proteção de Dados Pessoais para entrevistar o advogado e consultor Gregor Karl, head do Departamento de Proteção de Dados e do European Desk da Crowe Consult Consultoria Empresarial.
Na sua concepção, a Lei Geral de Proteção de Dados irá gerar uma mudança significativa no tratamento de dados para os cidadãos e para as empresas?
GK – A Lei Geral de Proteção de Dados é, em minha concepção, um marco histórico para o direito constitucional à privacidade e intimidade. Não somente os titulares de dados pessoais terão mais direitos, advindos do texto legislativo, mas também terão mais transparência, segurança e informação de como os seus dados pessoais são tratados. Obviamente que uma mudança de paradigma como essa afetará muito as empresas que utilizam de qualquer forma dados pessoais de pessoas naturais, devendo elas, por exemplo, mudar o mindset corporativo e implementar uma gestão de riscos, entre outras mudanças significativas.
A Lei traz uma série de novas obrigações sobre como os dados pessoais devem ser tratados. Você poderia citar algumas dessas obrigações que julga serem mais impactantes na vida das pessoas?
GK – Citarei dois exemplos de direitos dos titulares que caberá às empresas implementarem ferramentas que assegurem que estes direitos sejam resguardados. Numero um: o direito à portabilidade dos dados, as empresas terão de achar soluções, que sejam razoáveis para sua estrutura, que deem mecanismos aos Titulares de pegarem seus dados pessoais que estão sob posse do Operador e levarem para outro. Para facilitar a visualização do caso, dou o exemplo de um senhor que quer trocar de banco, ele poderá levar as informações que o banco antigo tem sobre ele e entregar ao novo banco, para ter acesso a crédito maior. Número dois: direito de revogação do consentimento: o Titular terá, a qualquer tempo, o direito de revogar o consentimento que foi dado para o tratamento de seus dados, caberá às empresas possuírem mecanismos que demonstrem essa possibilidade.
Quais procedimentos as empresas precisarão realizar para demonstrar que estão efetivamente respeitando e cumprindo com as obrigações da Lei?
GK – Primeiramente as empresas necessitarão ter, in house, documentos que demonstrem que os dados são tratados de uma maneira transparente, com as devidas bases legais de tratamento e seguindo o princípio da finalidade, ou seja, somente ter os dados que são essenciais para o modelo de negócio daquela empresa. Porém, não se fala em Proteção de Dados sem uma gestão de riscos e governança corporativa. A empresa precisará promover a conscientização de seus colaboradores de modo que a Proteção de Dados não seja somente um documento assinado pela gerência, mas sim uma cultura corporativa que entenda a gravidade do tema e que se deve tomar muito cuidado com os dados pessoais dos Titulares.
Embora menos longa e complexa do que a versão europeia, pode-se entender que a LGPD é bastante evoluída, principalmente pelo aspecto da sua abrangência. A lei brasileira teria um escopo de atuação mais amplo do que a Lei de Proteção de Dados Europeia, a RGPD. Esse pode ser considerado um aspecto positivo a favor da LGPD?
GK – De fato, nossa LGPD é uma lei moderna, inspirada na RGPD europeia, e traz bons conceitos ao ordenamento jurídico brasileiro. Porém, sua abrangência se dá muito pelas lacunas que o legislador brasileiro deixou, o que pode dar uma capilaridade maior da norma ou prendê-la em muito subjetivismo. Será interessante acompanhar a evolução do tema e da cultura de Proteção de Dados no Brasil, visto que a LGPD entrará em vigor somente em agosto deste ano.
Em termos de efetividade e aplicação da Lei, o que o Brasil pode aprender com a experiência da Europa?
GK – Visto a pequena cultura de Proteção de Dados que o Brasil tem, seria prudente a Autoridade Nacional de Proteção de Dados (ANPD) adotar nos primeiros anos, à semelhança do que se vê na Europa, uma postura mais educativa e auxiliadora nesta tortuosa caminhada de Proteção de Dados. O Brasil deve aprender com a Europa neste quesito. Não adiantará somente ameaçar as empresas com multas pesadas, existe um processo educacional a ser enfrentado.
A LGPD apresentará diversos desafios de gestão e adequação às empresas brasileiras. Para conhecer mais acerca das soluções em consultoria envolvendo a LGPD para a sua empresa, entre em contato conosco para mais informações.
A Crowe Consult Consultoria Empresarial possui 43 anos de tradição no mercado e faz parte da Crowe Global, 8ª maior rede de empresas independentes de consultoria e auditoria do mundo, com escritórios em mais de 130 países. Nossa capilaridade global e expertise local nos permite assessorar empresas de diferentes portes e ramos de atividade, em âmbito nacional e internacional.
Gregor Karl
Head do Departamento de Proteção de Dados e do European Desk da Crowe Consult.