Índice do artigo
LGPD, a onda disruptiva que vem atingindo as organizações
LGPG, uma onda disruptiva que vem atingindo as organizações brasileiras. No mercado brasileiro, ao longo das últimas décadas, podemos destacar grandes ondas, que forçaram profissionais de compras a se especializar, para que pudessem atender as demandas oriundas delas. Destas ondas, podemos destacar algumas, com por exemplo: Segurança do Trabalho, Certificações da Qualidade, relacionadas à NBR ISO/IEC 9001, Sistemas de Gestão relacionados ao Meio Ambiente, Conteúdo Local, Environmental, Social and Corporate Governance (ESG), entre outras. A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, ao que tudo indica, já é mais uma dessas ondas, e que garantirá ao profissional de compras que tiver conhecimento sobre ela e os temas relacionados a ela, um lugar diferenciado dentro das organizações.
O setor de compras é porta de entrada de uma imensidão de dados pessoais, dependendo da organização a quantidade de dados por passar e muito a média de dados tratados. Sendo assim, não convém que este setor fique de fora dos inúmeros esforços para que as organizações estejam compliants com a LGPD.
Um fato relevante é o que diz respeito ao guarda-chuva da LGPD que abrange apenas dados pessoais (DP), incluindo os sensíveis. Sendo assim, informações que tenham relevância comercial e demandem sigilo, como por exemplo, balanços financeiros, dados estratégicos, patentes etc., que não tenham DP, não estão cobertos pela a LGPD. E, caso haja vazamento destes dados, a LGPD não servirá de fundamento jurídico para tal ocorrido.
Como mitigar os riscos associados à violações de privacidade e proteção de dados?
Convém que as organizações façam a adoção de pelo menos dois princípios ligados à Privacidade e Proteção de Dados Pessoais: Princípio da Minimização de Dados e o Princípio da Limitação de Coleta.
Princípio de Minimização de Dados
A minimização de dados está intimamente ligada ao princípio de “limitação de coleta”, mas vai um pouco além disso. Enquanto a “limitação de coleta” refere-se aos dados limitados que estão sendo coletados em relação à finalidade especificada, a “minimização de dados” minimiza estritamente o tratamento de DP.
Aderir ao Princípio de Minimização de Dados significa conceber e implementar procedimentos de tratamento de dados e sistemas de Tecnologia da Informação e Comunicação (TIC), de forma a:
- minimizar os DP tratados e o número de partes interessadas na privacidade e pessoas a quem são divulgados os DP ou que têm permissão para tratá-los;
- assegurar a adoção de um princípio de “necessidade de conhecer” (ou seja, convém que seja permitido tratar apenas os DP necessários para o desempenho de suas funções oficiais, no âmbito do objetivo legítimo do tratamento de DP);
- usar ou oferecer como opções-padrão, sempre que possível, interações e transações que não envolvam a identificação de titulares de DP, reduzam a observabilidade de seus comportamentos e limitem a vinculação de DP coletados; e
- de modo seguro, descartar os DP sempre que for prático fazê-lo, em particular quando o objetivo para o tratamento dos DP tiver expirado, e quando não houver requisitos legais para mantê-los.
Princípio da Limitação de uso, retenção e divulgação
Aderir ao princípio de limitação de uso, retenção e divulgação significa:
- limitar o uso, retenção e divulgação (incluindo a transferência) de DP ao que é necessário para cumprir objetivos específicos, explícitos e legítimos;
- limitar o uso de DP aos objetivos especificados pelo controlador de DP antes da coleta, a menos que um objetivo diferente seja explicitamente exigido pela lei aplicável;
- reter os DP somente pelo tempo necessário para cumprir os objetivos declarados e, posteriormente, destruí-los ou anonimizá-los com segurança; e
- bloquear (ou seja, arquivar, proteger e isentar os DP de tratamento adicional) qualquer DP quando e por quanto tempo as finalidades estabelecidas tiverem expirado, mas onde a retenção for exigida pelas leis aplicáveis.
Sobre as sanções
Algumas empresas acreditam que como as sanções administrativas previstas na LGPD só poderão ser aplicadas pela ANPD, a partir de 01.08.2021, mesmo com a LGPD em vigor, elas não têm com o que se preocupar. E, é aí que se enganam. Antes da preocupação efetiva com a ANPD, as organizações precisam pensar em como elas se organizarão internamente com relação aos seus processos e fluxos que tratam dados pessoais. Pois, com a entrada em vigor da LGPD, qualquer titular de dado pessoal lesado, ou que se sinta lesado, poderá mover ação na esfera da justiça comum. Principalmente se os contatos dessas organizações com os titulares tiverem relações de consumo. Neste caso, elas estarão sujeitas às sanções de outros órgãos como: PROCON, SENACON, ligado ao Ministério da Justiça (MJ), ou o próprio Ministério Público (MP).
Ou seja, uma organização que descumpra a LGPD poderá ser sancionada de duas formas distintas e independentes, pela ANPD (sanções administrativas) ou na esfera da justiça comum (decisões jurídicas).
Qualificação dos fornecedores
O tratamento de DP implica no dever de zelar e adotar medidas concretas e práticas para a sua proteção. Sendo assim, convém fornecer treinamento adequado para os seus colaboradores que terão acesso aos DP. E, determinar equivalência de suas competências para os seus fornecedores.
Cabe destacar que no passado, a PETROBRAS abriu licitação no mercado para a receber a prestação de serviço de consultoria técnica especializada, para a realização da jornada de conformidade com as leis e regulamentos de privacidade e proteção de dados pessoais, contemplando: análise de riscos e data mapping, avaliação de gaps e roadmap de adequação, recomendação de programa de implementação, acompanhamento da implementação do programa, bem como, o estabelecimento dos fundamentos para a conformidade contínua da PETROBRAS, conforme as especificações deste Edital e de seus adendos. Sendo assim, tudo indica que empresas equivalentes à PETROBRAS percorrerão esse mesmo caminho, e num futuro breve, passarão a cobrar de seus fornecedores.
Governança e Boas Práticas
A palavra governança é citada oito vezes no texto original da LGPD, já boas práticas, dez vezes. E, como alcançar isso? O primeiro passo é entender que o assunto privacidade e proteção de dados é complexo e envolve equipes multidisciplinares, tecnologias e sistemas que trabalhem em sinergia. Ou seja, é um assunto que não deve ser atribuído a um único setor, área ou profissional, isto é, não deve ser tratado de maneira unidimensional, pois sozinhos, nem o TI e nem o Jurídico resolverão os seus desafios. Embora o cerne do tema proteção e privacidade de dados pessoais seja uma lei e os titulares, o assunto demanda um envolvimento multidisciplinar, e a sinergia de profissionais de diferentes áreas também se faz necessária. E, nesse assunto transversal, em qualquer organização, convém que os processos de compras e profissionais de Supply Chain também sejam envolvidos e considerados.
É importante destacar que soluções relacionadas à tecnologia da informação e/ou normas técnicas, podem ser comprometidas se tiverem exclusivamente uma visão jurídica. Como exemplo, destaco o caso do Superior Tribunal de Justiça (STJ) e do Tribunal de Justiça do Rio Grande do Sul (TJ-RS). As suas excelências jurídicas são indiscutíveis. Contudo, não foi suficiente para evitar as suas infecções por ransomwares, que paralisaram as suas atividades por dias.
A tecnologia da informação, sozinha, não tem condições de interpretar e dar soluções às exigências da LGPD. Uma abordagem multidisciplinar, com destaque para a visão jurídica, como já foi abordado aqui, também é indicado. Sendo assim, softwares mirabolantes, pacotes no Mercado Livre para adequação à LGPD em 24 horas, não funcionará.
Muito tem se debatido a respeito das normas técnicas, e ao contrário do que muitos interpretam, elas não são publicadas para competir com a lei. Ou melhor, com nenhuma lei. Já que uma lei é uma prescrição escrita que emana de uma autoridade soberana de uma dada sociedade e impõe a todos os indivíduos a obrigação de submeter-se a ela sob pena de sanções. É importante reiterar que uma abordagem somente com normas técnicas, também não será capaz de cumprir todas as abordagens necessárias. Sendo assim, necessário em prol das boas práticas, o envolvimento de outros setores.
Considerações Finais
A LGPD vem tirando o sono de muitos gestores, já que esta exige uma longa jornada das organizações. Essa jornada acarreta emprego de recursos temporais, humanos, financeiros e tecnológicos. Embora, num geral, as grandes organizações tenham saído na frente e já estejam se mobilizando, as pequenas ainda estão no modo sobrevivência, por conta da pandemia da COVID-19. Contudo, convém que todas as organizações se mobilizem para evitarem situações indesejáveis e onerosas mais a frente.
E, por fim, cabe ressaltar que engana-se quem afirma que a LGPD é uma preocupação que somente as grandes empresas devem ter. As pequenas também correm riscos relevantes. Enquanto as grandes organizações têm recursos financeiros, humanos e tecnológicos para lidar com enormes multas, demais sanções da ANPD, e ações judiciais, as pequenas empresas podem ter que fechar as portas após uma violação ou pelos custos acarretados para lidar com ela.
Referências Bibliográficas
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 29100: Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade. Rio de Janeiro: ABNT, 2020.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes. Rio de Janeiro: ABNT, 2019.
BRASIL. Lei no 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 1 abr. 2021.
Leonardo is a Brazilian Chemical Engineer and Digital Marketing Specialist with a sales and digital marketing management background and a proven record of team building, Process Improvement, and creativity. He has extensive experience in customer engagement through platforms such as Google Ads, Facebook, YouTube, and Instagram.