.png)
1 – Introdução
A maior parte da doutrina jurídica nacional tem se debruçado sobre os aspectos teóricos da Lei Geral de Proteção de Dados Pessoais (LGPD - lei nº 13.709/2018), discorrendo sobre (i) direitos dos titulares, (ii) chamadas hipóteses de tratamento, (iii) penalidades previstas, (iv) a Autoridade Nacional, dentre outros aspectos. Discorre-se muito sobre o que a lei regulamenta, o que, evidentemente, tem a validade de dar os contornos interpretativos a uma legislação com parâmetros que extrapolam os limites territoriais brasileiros.
Porém, poucos são os textos que permitem ao profissional entender “como” se adequar à Lei. Evidentemente que tal função não compete ao legislador, mas sim ao doutrinador, que deveria – em tese – explicar qual seria a melhor metodologia que permitisse ao interprete uma correta implantação dos ditames da lei.
Sem querer esgotar o tema, nosso objetivo será trazermos alguns breves apontamentos metodológicos que permitam ao intérprete implantar a LGPD na prática. Como eu aplico a LGPD? Qual o primeiro passo? Partindo da premissa das necessidades empresariais, são estes os pontos que procuraremos – repita-se, sem esgotar o tema – expor de forma sucinta.
A análise da Lei nos permite compreender 5 (cinco) etapas principais para a adequação das empresas à legislação. Falaremos de apenas uma das etapas, permitindo ao leitor, ao menos, uma metodologia preliminar.
2 – Do pano de fundo à elaboração do presente texto
O presente texto é escrito em, talvez, um dos momentos mais desafiadores da humanidade: durante a pandemia do COVID-19. Já adianto ao leitor que a mudança de comportamento das pessoas guarda relação direta com o regime jurídico da LGPD.
Muito se discute, por exemplo, o uso pelo poder público de informações relativas à geolocalização de pessoas através de celular, permitindo ao agende público avaliar a adesão da população ao isolamento. Tanto que se editou a Medida Provisória 954, que dispõe sobre o compartilhamento ao Governo de dados por empresas de telefonia móvel celular. A legalidade de tal medida vem sendo debatida no STF quando este texto é escrito.
A par do uso governamental das informações pessoais, vejo 3 (três) principais motivos que tornam o debate em torno da LGPD mais atual do que nunca. Em primeiro lugar, há que se reconhecer que muitas empresas precisaram, do dia para a noite, adotar o sistema de home office, sem que houvesse tempo hábil para desenvolver ferramentas que pudessem proteger as informações corporativas ou de seus colaboradores. Além disso, as empresas precisaram – e, novamente, do dia para a noite – fazer uma extensa adaptação de seus modelos de negócio. Por fim, ocorreram discussões (ou dilemas, a depender da perspectiva adotada) sobre o início de vigência da lei.
Sobre o início da vigência da Lei, usei a expressão “dilema” por não parecer haver uma decisão definitiva para a entrada em vigor da LGPD. Nesta linha, em 29 de abril de 2020, foi publicada a Medida Provisória 959, que prorroga provisoriamente a entrada em vigor da Lei Geral de Proteção de Dados para o dia 03 de maio de 2021. Este diploma foi editado com o fim de prorrogar a vigência de uma lei que estava prevista para entrar em vigor em agosto de 2020, logo após o que se imagina ser o fim do período de isolamento social típico da pandemia que estamos passando. Tal como previsto seu procedimento constitucional, esta Medida Provisória 959/2020 é válida por 120 dias e, caso não seja aprovada no Congresso, perderá sua validade, retornando o início da vigência da LGPD para agosto de 2020. Em paralelo à MP, existe ainda o Projeto de Lei 1179/2020, que está em votação na Câmara. Este diploma prevê a entrada em vigor da LGPD para o dia 01º de janeiro de 2021, com aplicação das sanções administrativas apenas a partir de agosto de 2021.
3. – Breves observações quanto à lei
A LGPD é o marco legal que regulamenta o uso, a proteção e a transferência de dados pessoais no Brasil. A legislação é essencial porque fixa regras do que se chamou de tratamento de dados pessoais, assim envolvendo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Seu objetivo principal é regulamentar como os dados de cidadãos podem ser coletados e tratados, prevendo punições para suas violações. Procura-se, portanto, proteger o cidadão do uso abusivo e indiscriminado de suas informações, prevendo duas categorias: dado pessoal e dado pessoal sensível.
Os dados pessoais somente serão “tratados” respeitando os princípios da (i) finalidade - realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular (ii) adequação - relação de coerência entre o tratamento e as finalidades informadas ao titular (iii) necessidade - tratamento limitado ao mínimo necessário, dentre outros elementos.
A Lei prevê, ainda, que o “tratamento” somente possa ocorrer em hipóteses restritas, tais como (i) cumprimento de obrigação legal ou regulatória do controlador (ii) execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular (iii) para o exercício regular de direitos em processo (iv) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (v) para atender o legítimo interesse e (vi) através de consentimento do titular.
É oportuno observar que os temas do legítimo interesse e do consentimento são, sem sombra de dúvidas, aqueles que mais causam debates aos operadores e que, em razão do escopo limitado no presente texto, serão analisados em outra oportunidade.
A LGPD foi criada para trazer maior segurança jurídica, e regulamentar os chamados Direitos do Titular e, nitidamente, o Brasil está atrasado na sua implantação. A Autoridade Nacional de Proteção de Dados (ANPD), responsável por editar normas técnicas e aplicar as sanções administrativas, foi criada na promulgação da Lei 13.709 em dezembro de 2018 e até a presente data não foi completamente constituída pelo Poder Executivo.
4. – Primeira etapa da metodologia de implantação da LGPD à prática
Feitas estas primeiras observações, voltemos ao início do texto: como aplicar a lei na prática? O legislador dispõe sobre o regime jurídico a ser respeitado, mas ao contrário de outros diplomas legais, não dispõe sobre “como” se adequar.
Nesse primeiro momento, convém fazermos algumas observações preliminares:
(i) Engana-se quem pensa que há um roteiro pronto de implantação: a empresa deverá considerar as particularidades do negócio, do mercado, nível de sofisticação da empresa, atores envolvidos, dentre outros temas;
(ii) Comece o quanto antes: trata-se de legislação multidisciplinar, com enfoque técnico – na segurança da informação -, jurídico e procedimental – ou, governança;
(iii) Em razão dos vários aspectos acima mencionados e a depender do negócio da Companhia, a sua adaptação poderá não ser tão simples ou ágil como se espera;
(iv) É possível realizar uma implantação remota, utilizando as ferramentas de comunicação on line, útil em momentos como o que estamos vivendo;
(v) Busque a implantação através de um time multidisciplinar, que permita uma análise sistêmica da legislação e das práticas procedimentais da companhia. É muito comum que empresas busquem times apenas compostos majoritariamente por analistas de sistemas ou técnicos de informática. Não recomendo a adoção desta medida.
A análise da Lei nos permite compreender 5 (cinco) etapas principais necessárias à adequação. Falaremos de apenas uma das etapas, permitindo ao leitor, ao menos, um começo e uma perspectiva objetiva de trabalho.
Por isso que a prática envolve, como primeiro passo a criação de um grupo de trabalho multidisciplinar que conheça a particularidade da empresa. É comum a participação do responsável de (i) Recursos Humanos, (ii) Técnico de Informática, (iii) Departamento Jurídico, (iv) Departamento Comercial (se o negócio envolve transações com consumidores) (v) Departamento Financeiro. Este grupo será responsável pela organização dos demais envolvidos da companhia, multiplicação do conhecimento e treinamentos de equipe.
O próximo passo seria a definição de um cronograma que permita às várias áreas da empresa o planejamento de providências a tomar e um cenário das etapas futuras que deverão ser percorridas.
Ainda na primeira etapa, haveria a necessidade de realizar o mapeamento das políticas – ou procedimentos – relacionados à proteção de dados e informações. Já adianto que, na minha experiência, à exceção de alguns poucos casos, a grande maioria das empresas não possui tais documentos. Neste caso, compete ao Comitê providenciar sua elaboração.
Pondo fim à primeira etapa, surge a necessidade de nomeação do Encarregado (ou DPO).
5. – Conclusão
O leitor já tem um primeiro parâmetro para começar a implantar a LGPD na prática. Faltam ainda temas complexos a serem explicados, tais como mapeamento de dados, ciclo de vida dos dados na empresa, relatório de impacto, definição de critérios de políticas internas, dentre outros.
Deixo, entretanto, estes demais temas para uma outra oportunidade.
Artigo por: Henrique Schmidt Zalaf
Formado em Direito pela PUC-SP
Pós-graduado em Direito Administrativo pela PUC-SP
Pós-graduado em Gestão Empresarial pela FGV/Campinas.
Cursa Mestrado Profissional em Direito dos Negócios na FGV-SP.
Professor – Unicamp (2011 até 2013)
Cursou Leadership Program - Harvard Law School (EUA).
Sócio no escritório Claudio Zalaf Advogados.
Membro relator da 17ª turma do TED (Campinas).