OS MOTIVOS PARA ADEQUAÇÃO

A justificativa para se estar em compliance com a LGPD, além de evitar as sanções legais previstas, exprime o compromisso da empresa com a segurança da informação e privacidade de seus usuários que, por sua vez, reflete no aumento da confiança e credibilidade perante parceiros, funcionários e potenciais investidores.

Além disso, fora do Brasil, as empresas em conformidade têm encontrado novos negócios e têm visto o valuation de suas empresas aumentarem significativamente.

Quando falamos em Compliance nos reportamos ao conceito de Cadeia de Responsabilidade, ou seja, as empresas que atuam na cadeia de fornecedores ou prestadores de serviços passam, cada vez mais, a se sujeitar aos programas de integridade dos seus clientes, que, por seu turno, estão se ocupando com maior rigor do controle sobre intermediários e com os terceiros que lhes prestam serviços ou lhes fornecem bens, portanto, a adequação aos requisitos constantes na LGPD será uma exigência cada vez mais presente no dia a dia das empresas, se não pela própria iniciativa da companhia, pela imposição dentro da cadeia de fornecedores e clientes.

PREVISÕES ATÉ 2024

Os consumidores determinam o sucesso do negócio de varejo muito antes da venda, e estão exigindo maiores níveis de contextualização de produtos e serviços. Os CIOs de varejo podem aproveitar a inteligência artificial para capturar insights mais profundos, antecipar as necessidades do cliente e entregar proativamente em cada ponto de contato.

A Gartner, que é uma empresa com ferramentas de transformação digital e consultoria estratégica para negócios, apresentou suas previsões:

• Em 2021, as organizações que fornecem um catálogo de dados aumentado para dados os consumidores obterão um ROI três vezes mais rápido com seus dados e análises investimentos.

• Até 2022, 70% das organizações rastrearão rigorosamente os níveis de qualidade de dados por meio de métricas, aumentando a qualidade dos dados em 60% para reduzir significativamente os riscos e custos operacionais.

• Em 2023, 30% das organizações excederão o ROI de dados e análises por governar a menor quantidade de dados que mais importa para seus objetivos estratégicos.

• Em 2023, as organizações que usam contratos inteligentes de blockchain aumentarão os dados gerais qualidade em 50%, mas reduz a disponibilidade de dados em 30%; inversamente criando positivo ROI de dados e análises.

Em 2023, as tecnologias de gráfico facilitarão a contextualização rápida para decisão fazendo em 30% das organizações em todo o mundo.

BASES LEGAIS / FUNDAMENTOS

O respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem, a livre iniciativa, a livre concorrência e a defesa do consumidor, bem como os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

PRINCÍPIOS

São onze princípios básicos: finalidade, adequação, necessidade, livre acesso, qualidade de dados, transparência, prevenção, segurança, não discriminação e responsabilização e, por último, prestação de contas.

QUANDO A NECESSIDADE DE ADEQUAR SE APLICA:

1.A qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado (ora denominados ‘Controladores’), independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional;

2.A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;

3.Ou se os dados pessoais (identificação, endereço, celular etc.) ou dados sensíveis (dados genéticos e biométricos, associação a sindicatos, origem étnica etc.), objeto do tratamento, tenham sido coletados no território nacional.

Exceções: Não se aplica ao tratamento de dados utilizados para fins particulares e que não possuam características econômicas ou atividades que estejam direcionadas para fins de cunho jornalístico, artístico e acadêmico; segurança do Estado, defesa nacional, dentre outros que a lei prevê.

OS ‘PERSONAGENS’ ENVOLVIDOS

A LGPD formará um sistema de proteção de dados, com a criação da Autoridade Nacional de Proteção de Dados (ANPD) como órgão regulador e orientador do sistema. A ANPD se relacionará com os agentes de tratamento de dados, que são os controladores, operadores e encarregados.

O controlador é quem gera a base de dados e toma decisões a respeito do seu tratamento e pode ser qualquer pessoa natural ou por pessoa jurídica de direito público ou privado.

O operador é quem realiza o tratamento, em nome do controlador.

Já o encarregado é o Data Protection Officer, que será responsável por interagir com a ANPD, os consumidores, funcionários, Ministério Público e Procon.

O titular de dados será a pessoa física: o funcionário, cliente, prestador de serviço etc. que terão seus dados coletados, que antes de consentir deverá ter informação de forma explícita, com explicação da necessidade e para quais finalidades os seus dados estarão sendo usados.

O consentimento não será exigido, por exemplo: se for indispensável para cumprir uma obrigação legal, para executar contratos, defender direitos em processos, proteger o crédito, prevenir fraudes contra o titular, atender a um interesse legítimo, entre outros.

O PAPEL DO ADVOGADO NA ADEQUAÇÃO

Será necessário que o profissional seja especialista em novas Tecnologias, Contratos e conhecimento regulatório da área de atuação do Controlador que deverá estar em conformidade. O Programa de Compliance Digital visa adequar a empresa, funcionários e cadeia de fornecedores e prestadores de serviços às normas relativas a proteção de dados, apresentando requisitos rigorosos em relação aos princípios de proporcionalidade e minimização de dados e legalidade do processamento.

Primeiramente, é mapeado todo o fluxo do ciclo de vida do dado pessoal e o percurso que ele realiza desde a entrada até a saída. A partir deste diagnóstico, soluções técnicas e administrativas que garantam a proteção dos dados pessoais são recomendadas, tanto em nível de controle e gestão como quanto às regras de governança de dados (documentação). As áreas normalmente mais impactadas são TI, SI, marketing (dados pessoais de clientes) e o departamento de gestão de pessoas (dados pessoais de funcionários), não esquecendo que devem ser implementadas as ferramentas de anonimização e portabilidade, bem como o Plano de Respostas a Incidentes.

Depois é traçado um plano de ação, separando em 3 grupos, que andam em mesmo grau de importância, e todas gerando registro de evidências, com ciclo de aprendizado e política específica a respostas de incidentes relacionados à eventual violação ou vazamento dos dados pessoais:

a-ações que se referem à capacitação e mudança de cultura (educacionais)

b-ações voltadas à conformidade técnicas;

c-ações relacionadas à conformidade jurídica (procedimentos, políticas, documentação e contratos).

d-Cabe aos profissionais envolvidos da implantação da LGPD, estarem atento aos novos direitos para as pessoas em um contexto de tomada de decisão algorítmica, particularmente relevantes em relação ao desenvolvimento da inteligência artificial, sendo uma exigência cada vez mais constante (a exemplo da “Convention 108” - UE), a aplicação do princípio "privacidade por design" e regime claro de fluxos de dados transfronteiriços.

É recomendável ter uma equipe multidisciplinar que devem estar atentos à aplicação dos princípios da LGPD a todas as atividades de processamento, inclusive por razões de segurança nacional, com possíveis exceções e restrições, contudo, geralmente fica incumbido ao Jurídico o papel da com revisão e supervisão independentes e eficazes, sendo que compõe como parte das atribuições, a definição da base legal de tratamento de dados, a (re) adequação de processos, dos procedimentos de registro e dos controles internos para atendimento dos princípios da LGPD, sendo necessária a revisão de contratos com funcionários, clientes e parceiros com o intuito de resguardar os direitos da empresa quanto à eventuais incidentes de privacidade, ao final, após a implementação, assessorar o Encarregado de Proteção de Dados reforçando a análise e definição dos procedimentos de gestão de direitos dos usuários.

Principais Serviços em Privacidade e Proteção de Dados e Compliance Digital:

1-Assessoria para Mapeamento de Dados (Data Mapping)

2-Assessoria para Mapeamento de Legislação Setorial

3-Análise Regulatória da Coleta de Dados

4-Revisão e Elaboração de Políticas de Privacidade

5-Assessoria de Implementação de Garantia e Direitos de Usuários

6-Revisão e Adequação de Contratos

7-Assessoria jurídica para realização de transferência internacional de dados

8-Política de Segurança da Informação (PSI)

9-Plano de Respostas a Incidentes

10-Relatório de Impacto a Proteção de Dados (DPIA – Data Protection Impact Assessment / RoadMap).