A nova Lei Brasileira de Proteção de Dados, assim como a GDPR (a legislação da União Europeia), representa grandes desafios para as empresas. Isso porque, se você ou a sua empresa oferece ou fornece bens ou serviços ou trata dados de indivíduos localizados no território nacional, deve ficar atento, já que a legislação impacta diretamente no processamento, coleta e uso de dados pessoais de clientes, colaboradores e fornecedores. Essa preocupação não se restringe apenas a uma categoria de organizações, mas a todas, de todos os portes, segmentos e atuação de forma física ou online. Ainda, se o seu negócio coletar, processar ou tratar dados da UE, também terá que se atentar às regras da GDPR.

O Regulamento Geral de Proteção de Dados da União Europeia (GDPR, na sigla em inglês) entrou em vigor maio de 2018 e a lei brasileira, sancionada em 15 de agosto, segue os mesmos parâmetros. Ambas protegem os dados de pessoas físicas, no qual também se aplica o “direito de ser esquecido” e impõe a obrigação de obter o consentimento do titular dos dados.

A lei brasileira diferencia dados pessoais e dados sensíveis, sendo que ambos são protegidos tanto pela lei brasileira como pela GDPR. Para a lei brasileira, dados pessoais são os dados que podem identificar alguém (nome, foto, cédula de identidade, entre outros) e dados sensíveis são aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Penalidades previstas

A lei brasileira entrará em vigor em 2020, pois as empresas têm 18 meses, desde a data de publicação, para se adaptar. Na UE, as empresas tiveram dois anos para se ajustar até maio deste ano, quando a GDPR passou a vigorar.

A responsabilização pelo GDPR pode ocorrer por meio de multas que chegam a 20 milhões de euros ou 4% do faturamento bruto anual da empresa (pago para autoridades de controle, não à pessoa), restrições de direitos e pagamento de indenizações à pessoa lesada.

Se uma empresa brasileira negocia com clientes ou fornecedores de um país da União Europeia, mesmo que não tenha escritório no continente, ela pode sofrer sanções locais do GDPR.

Já a violação às regras brasileiras pode chegar a R$ 50 milhões (ou 2% do faturamento bruto anual da empresa, grupo ou conglomerado no Brasil), além da reparação à pessoa lesada. A lei brasileira prevê medidas para minimizar estas penalidades como a adoção de boas práticas e governança e pronta remediação. Cabe mencionar que há a responsabilidade solidária do operador e controlador.

Revisões e mudanças

Muitas pessoas já começaram a perceber as mudanças que estão ocorrendo, pois são consultadas acerca do recebimento de notificações sobre atualizações de determinada empresa ou serviço e precisam confirmar o interesse. Políticas de privacidade, contratos ainda em vigor e futuros, intranet, backups de arquivos e até mesmo recrutamento e seleção precisam ser atualizados para atender às normas. Independente de não utilizar as informações para fins comerciais, a manutenção do cadastro precisa ser autorizada. Cabe ressaltar que a política interna da corporação não se sobrepõe às leis.

Mas afinal, o que as empresas devem fazer para atender a estas legislações?

Para Alessandra Gonsales, da WFaria Advogados, o programa de compliance de proteção de dados das empresas pode ser dividido em seis pilares: conscientização e apoio da alta administração; nomeação do DPO (data protection officer); avaliação de riscos e do programa de forma periódica; elaboração de políticas e processos; treinamento e comunicação com o público interno e externo; controles internos, monitoramento e remediação.

Inicialmente, é preciso disseminar o conhecimento para identificação de impactos para a empresa, compromisso e apoio em adotar os processos e políticas necessárias à proteção dos dados pessoais. Essa ação deve ser alinhada com o Programa de Governança e Compliance. Outro ponto é a nomeação do DPO, a pessoa que é responsável pela comunicação ante os titulares dos dados pessoais e aos órgãos reguladores. A presença do DPO é obrigatória para as empresas brasileiras e instituições financeiras (BACEN) e, em alguns casos, para a GDPR.

Na questão de avaliar os riscos periodicamente, trata-se do trabalho focado na atividade da empresa, estrutura, escala e aos volumes de suas operações e a sensibilidade dos dados tratados. Em seguida, é indicada a elaboração da Política de Proteção de Dados, implementação dos processos necessários (on-going process), inclusive para resposta a incidentes e revisão dos contratos.

Outro pilar fundamental é o treinamento e comunicação constantes e canal de reporte e transparência com os titulares dos dados. Por último, é necessário estabelecer controles internos, verificar conformidade, monitoramento e planos de resposta a incidentes e remediação.

Fórum Agenda Bahia 2018

Este ano, o Fórum Agenda Bahia, que já acontece há nove anos em Salvador, reunindo especialistas e público para discutir tecnologia, inovação e desenvolvimento social e econômico para o Estado, teve um painel que discutiu a nova legislação brasileira de proteção de dados, durante o seminário Sustentabilidade do Agora, em 8 de agosto, com as participações da gerente de Segurança de Inteligência de Rede e MSS da Oi, Fernanda Vaqueiro, do Application Security Consultant da empresa Oi, Rafael Caubit, e da advogada especialista em Direito Digital, Ana Paula de Moraes. Os três também tratam de cibersegurança.

Em 07 de novembro próximo, a nona edição do fórum realizará ainda o seminário Humanize-se, para discutir as mudanças disruptivas, a revolução digital e a interação entre as pessoas e a tecnologia.

O Fórum Agenda Bahia 2018 é uma realização do CORREIO, com patrocínio da Sotero Ambiental e Oi, apoio institucional da Prefeitura de Salvador, Federação das Indústrias da Bahia (Fieb), Fundação Rockefeller e Rede Bahia; e apoio do Sebrae. 

*Com Agência Estado