Como muitos sabem, foi publicada em 15/08/2018 a Lei 13.709/2018, também conhecida por LGPD - Lei Geral de Proteção de Dados, que dispõe sobre o tratamento de dados pessoais, ou seja, regula a coleta, o processamento, o armazenamento, a transferência e outras operações envolvendo dados pessoais.
A LGPD altera o Marco Civil da Internet (Lei 12.965/2014) e o complementa, alcançando operações de tratamento de dados pessoais que ocorrem fora do âmbito da Internet (offline) e oferecendo uma regulamentação mais completa e mais adequada para os players que já se submetiam às obrigações do Marco Civil da Internet.
Aliás, a LGPD abarca toda a cadeia de tratamento de dados pessoais, sendo aplicável a toda e qualquer sociedade, pois, na prática, toda estrutura empresarial organizada trata dados pessoais, como, por exemplo, nas situações ordinárias abaixo:
armazenamento de dados pessoais dos empregados (RH)
compartilhamento de dados pessoais dos empregados com planos de saúde (RH)
armazenamento de dados pessoais de sócios e investidores (RI)
coleta de dados pessoais de clientes finais (Marketing)
gestão de dados pessoais de colaboradores das empresas fornecedoras (Compras)
A norma entrará em vigor em 2020 e, nos últimos meses, trabalhamos intensamente em estudos de conformidade à LGDP para muitos dos nossos clientes, os quais buscam, além de uma adequação, evitar as duras penalidades previstas na lei, que podem alcançar 2% do faturamento do último exercício, até um limite de 50 milhões de Reais por infração.
Todavia, nossa atuação na área é muito anterior à LGPD e ao próprio Marco Civil da Internet, haja vista que, desde a fundação do escritório, em 2008, privacidade, segurança da informação e proteção de dados estão entre os assuntos mais debatidos por aqui.
Por isso, podemos contribuir com algumas ideias e recomendações para o gestor jurídico que pretende contratar serviços jurídicos relacionados à LGPD:
1) Trabalhe com muita antecedência e não confie na ideia de que o seu setor não será impactado pela LGPD
Embora a LGPD vá entrar em vigor apenas em 2020, alguns processos de adequação exigem grande preparação e, pela nossa experiência, é difícil prever, antes da realização de um estudo, quais sociedades enfrentarão um processo de adequação custoso ou demorado.
Tivemos clientes que atuam no comércio eletrônico e que, portanto, eram fortes candidatos a um processo de adaptação complexo, cuja adequação, ao final, exigiu ajustes pontuais na operação / documentação. De outro lado, alguns clientes de setores mais tradicionais, que sequer têm presença digital, demandaram adequações substanciais.
Por isso, sugerimos que o potencial impacto da LGPD às atividades da sua empresa seja – independentemente do setor - analisado com a maior brevidade possível.
2) Fuja dos “produtos prontos” e trabalhe com o escritório parceiro na elaboração de um plano de trabalho customizado para a sua empresa
Preferencialmente, opte pela construção de uma proposta de serviços totalmente personalizada e feita por um profissional que tomou o cuidado de entender previamente as características da sua empresa.
Os pacotes prontos podem deixar de analisar pontos sensíveis do seu negócio ou fazer você pagar por serviços que, na prática, sua empresa dificilmente irá aproveitar.
A título de exemplo, muitos projetos de LGPD contemplam a elaboração de modelos de documentos (e.g. respostas para pedidos de exclusão de dados, comunicados de incidentes de vazamento etc.), bem como a realização de treinamento para o uso adequado destes modelos. Contudo, muitas empresas buscarão o auxílio de um escritório especializado quando uma dessas situações ocorrer, tornando, nestes casos, dispensáveis os modelos e o treinamento.
Para empresas com o perfil descrito acima, ao invés de contratar modelos e treinamentos, seria mais útil escolher previamente um parceiro para lidar com essas situações e assinar com o referido escritório um contrato de honorários, inclusive para fixar prazos de atendimento (já que os prazos legalmente estabelecidos costumam ser curtos).
3) Identifique e contrate um especialista externo
A LGPD regulamenta um tema complexo, motivando, na nossa percepção, a contratação de um especialista externo.
Um projeto mal executado, além de retirar do cliente a oportunidade de se adequar à norma no momento correto, pode provocar prejuízos, tais como penalidades por conta da inobservância da LGPD e danos reputacionais (“empresa que não respeita a privacidade”).
Portanto, analise se a atuação do profissional ou escritório que você pretende contratar demonstra experiência em projetos de privacidade, segurança da informação e proteção de dados (inclusive antes da publicação da LGPD) e se certifique que ele possui o conhecimento necessário para a realização de um trabalho sólido.
4) Considere fazer revisões periódicas do tema
O tratamento de dados pessoais está em constante evolução dentro das organizações e precisa ser acompanhado de perto pelo gestor jurídico.
Os estudos de conformidade e adequação à LGPD costumam envolver uma primeira etapa de assessment das operações de tratamento de dados pessoais, a qual orienta todo o trabalho posteriormente desenvolvido. Se as premissas adotadas nessa primeira etapa mudarem (pois mudaram as operações de tratamento de dados pessoais efetivamente realizadas pela organização), a proposta de adequação deverá ser revista.
Portanto, é importante revisitar o assunto com alguma frequência, a qual deve ser definida de acordo com a dinâmica da sua empresa.
Caso você tenha dúvidas sobre a aplicação da LGPD ao seu negócio, queira saber como adequar as atividades da sua empresa às obrigações previstas na LGPD ou queira simplesmente conversar sobre o tema, por favor entre em contato conosco!