A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709, sancionada em agosto de 2018, entrará em vigor em fevereiro de 2020. Até lá, as empresas precisam se estruturar para estabelecer uma governança de dados pessoais – com mapeamento do fluxo que a informação percorre dentro da companhia, sua utilização e controle do período em que pode ser usada. O plano de gerenciamento de dados deve estabelecer regras de boas práticas, normas de segurança e mitigação de riscos no uso e no tratamento das informações. No caso de utilização inadequada, violação da privacidade ou vazamentos, a lei estabelece multa que vai até 2% do faturamento anual da companhia, limitada a R$ 50 milhões por infração. "Devido às penalidades impostas pela LGPD, o gerenciamento de dados pessoais é um importante fator de risco para as companhias. Os conselhos de administração precisam cobrar da diretoria uma correta adequação à legislação e orientá-la para seu cumprimento", diz Vanessa Butalla, diretora jurídica da Serasa Experian. Ela participa, na próxima sexta-feira (10), do Fórum de Debates sobre a Lei Geral de Proteção de Dados e os desafios do CDO (chief data officer), que será realizado na sede do IBGC, em São Paulo. Vanessa explica os principais pontos da lei e os impactos nas empresas.

O que é a Lei Geral de Proteção de Dados (LGPD)?

A lei apresenta as bases para o tratamento responsável e cuidadoso de dados pessoais pelas empresas. A lei abrange todas as atividades que podem ser realizadas com dados pessoais, da geração ou coleta, até a sua eliminação, passando pelos processos de tratamento, classificação, processamento e armazenamento. A LGPD reflete as boas práticas de mercado e os princípios que regem o assunto em um único dispositivo legal.

O que prevê e quais as penalidades estabelecidas na LGPD?

A lei tem três pilares. O primeiro estabelece as dez hipóteses pelas quais o tratamento de dados pode ser realizado. O segundo pilar estabelece as regras para autorização do tratamento de dados, com um capítulo específico sobre a permissão do tratamento de dados pessoais sensíveis [origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou vida sexual, genético ou biométrico]. O terceiro pilar trata dos direitos dos titulares dos dados. A lei assegura que toda pessoa natural é titular de seus dados pessoais e garante os direitos de liberdade, intimidade e de privacidade. A LGPD estabelece que as empresas são responsáveis pela proteção dos dados pessoais, garantindo a segurança da informação contra acessos não autorizados e tratamento inadequado. No caso de descumprimento das normas previstas na lei, as penalidades vão desde advertência até a eliminação de dados que foram objeto de infração. A lei também estabelece multas, que é um dos principais pontos discutidos pelo mercado. Ela vai até 2% do faturamento anual da companhia, limitada a R$ 50 milhões por infração. Ainda não há parâmetros para aplicação das multas e penalidades administrativas. A lei permite que a Autoridade Nacional de Proteção de Dados (ANPD) estabeleça as regras de punição de acordo com da complexidade do tratamento de dados pessoais. Somente após a criação do órgão fiscalizador e a promoção de consultas públicas serão definidos os critérios para aplicação das penalidades previstas na lei. Ainda é preciso entender diferenças nas operações para se estabelecer regras específicas para cada caso.

A utilização de dados pessoais precisa da autorização dos seus titulares?

A necessidade de autorização para qualquer tratamento de dado é o principal mito em torno desta lei. Esta percepção surgiu porque as primeiras versões do projeto de lei eram centradas na autorização do titular da informação. Porém, o texto evoluiu muito. A lei admite outras nove hipóteses para o tratamento do dado, além do consentimento do titular. O dado pode ser utilizado, por exemplo, para cumprimento de obrigação legal, realização de estudos por órgão de pesquisa e para proteção do crédito, entre outras. Não há nenhuma hierarquia entre essas dez hipóteses. Cada empresa vai avaliar em quais hipóteses pode se enquadrar para utilização da sua base de dados pessoais. Caso não se enquadre em nenhuma das outras nove, será necessário buscar o consentimento e a autorização dos titulares.

Quais empresas serão mais impactadas pela lei?

A lei se aplica a qualquer tipo de empresa, independentemente da sua natureza jurídica, porte ou segmento. Não existe uma resposta única sobre o impacto para as empresas, pois depende da maturidade de cada uma delas.

O que seria um bom plano de gerenciamento de dados?

A política de dados requer que se crie fluxos internos para mapear o caminho que a informação segue dentro da organização, desde sua geração até a sua eliminação. É preciso entender quais áreas podem acessar essas informações, quem pode alterá-las, quais os usos permitidos dos dados e por quanto tempo eles podem permanecer na companhia. Recomendo fortemente que, além da política de governança de dados, seja definido um responsável dentro da companhia pela governança e gestão dos dados pessoais. Mais do que uma recomendação, a criação dessa figura é uma previsão legal.

Qual é o papel do conselho de administração no gerenciamento de dados pessoais?

O primeiro ponto é que o conselho precisa conhecer e entender a lei. Devido às multas impostas pela LGPD, que podem chegar a R$ 50 milhões por infração, o gerenciamento de dados pessoais é um importante fator de risco para as companhias. O conselho precisa cobrar da direção uma correta adequação à legislação e orientá-la para seu cumprimento.

O quanto a cultura organizacional pode ajudar as empresas no processo de adequação à nova lei?

É fundamental o comprometimento da alta gestão para que os demais empregados entendam a importância da proteção dos dados para a organização. Apesar de o Brasil ter mais de 30 normas que já cobriam o tema, a LGPD é a primeira lei federal específica sobre proteção de dados pessoais. Na Europa, uma lei semelhante entrou em vigor no ano passado, mas a diretiva de proteção de dados é de 1995. Existia uma cultura de mais de 20 anos na proteção de dados pessoais. No Brasil, esse tema não fazia parte do ambiente empresarial e os seus titulares não estavam acostumados a trabalhar com esse tema. Temos que formar uma cultura e disseminar as práticas para que a lei seja efetiva. Toda a companhia precisa ser treinada.