Terms & Conditions

We have Recently updated our Terms and Conditions. Please read and accept the terms and conditions in order to access the site

Current Version: 1

Privacy Policy

We have Recently updated our Privacy Policy. Please read and accept the Privacy Policy in order to access the site

Current Version: 1

Segurança & Privacidade

Perspectivas e conseguências da LGPD

0:00

A LGPD completou 3 anos em agosto. Tendo sido promulgada em agosto de 2018, o Governo deu prazo até dezembro 2019 para que as pessoas jurídicas de direito público e privado se adequassem à LGPD mas, antes disso, o Congresso concedeu prorrogação para agosto de 2020 e aplicação de penalidades administrativas após agosto de 2021.

Nestes 3 anos de vigência da lei, 2 anos foram só para conhecimento, estudo e adequação das empresas, é aquele espaço de tempo que se chama: vacatio legis.

Neste completar de 3 anos podemos dizer que a lei (não o sistema), tem 100% de sua aplicação.

Este tempo é suficiente para uma análise em que podemos apresentar perspectivas e consequências da LGPD.

A etimologia da palavra PERSPECTIVA quer dizer, “ver através”. No dicionário português quer dizer tudo o que se consegue ver ao longe; aquilo que os olhos alcançam desde um certo lugar, um panorama, uma sensação esperançosa; uma expectativa.

Partindo desse conceito, vou apresentar uma visão daquilo que poderemos ver para frente, um panorama em dez pontos de uma expectativa e perspectiva para os próximos meses e anos.

1 – Auditoria de LGPD

Como a LGPD é uma novidade, as empresas não sabem ainda como se portar, os profissionais atuantes no mercado (na maioria) não sabe ainda como proceder e vendem projetos baratos e inadequados.

Porém,  o mercado também está atento e já começou a despertar para essa problemática e para duas questões especiais em um programa de integridade: a exigência de conformidade do contratado e as evidências desta conformidade.

Como a LGPD traz a hipótese da responsabilidade solidária em uma relação contratual em que há a transferência de dados pessoais, é muito importante que os contratantes, verifiquem a adequação de quem está sendo contratado, da mesmo forma, nas relações colaborativas, é importante confirmar a adequação do parceiro comercial.

Hoje, de forma equivocada, as empresas estão transferindo a responsabilidade nos contratos, inserindo cláusulas ilegais de responsabilidade para o terceiro ou parceiro comercial.

Isso resolve a adequação da LGPD? Resolve a questão da responsabilidade?

Não resolve. Cláusulas abusivas podem ser anuladas judicialmente.

E qual o procedimento correto?

Um deles é a realização da Due Dilligence de Proteção de Dados Pessoais. Já se falava deste processo de forma incipiente no final de 2020, sendo um assunto que vem tomando proporções em 2021 e já está incorporado em alguns programas de implementação de LGPD (feito por bons profissionais).

E isso resolve o problema? Também não. Por quê?

Porque a LGPD não é um produto, é um programa que está em constante movimento. Sendo assim, a Due Dilligence de Proteção de Dados Pessoais vai indicar, naquele momento, se a empresa a ser contratada está ou não adequada à LGPD, mas não garante que, durante a execução de contrato, a empresa contratada permanecerá adequada.

Então, em 2021, começou o movimento em Auditoria de LGPD, algo que deverá aparecer nas relações comerciais em 2022, principalmente nas relações envolvendo investidores.

2 – Relação com investidores

A perspectiva de colocar em prática a Auditoria de LGPD nos leva a consequência de um maior zelo em contratos que envolvam investimento.

Os investidores, temendo o envolvimento em escândalos de vazamento de dados, em ações judiciais, ou de terem prejuízos em incidentes de ataque cibernético, poderão exigir, antes de assinar qualquer contrato, a Due Dilligence de Proteção de Dados, e após assinar o contrato, a auditoria externa para garantir a segurança de seu investimento, e farão isso com previsão legal no art. 50 da LGPD.

O Shark Tank Brasil é um exemplo disso. No programa, os “tubarões” investem em um empreendimento, mas condicionando a verificação de atendimento da LGPD por equipe própria, ou seja: auditoria externa.

Esse novo proceder nos negócios deverá afetar diretamente empresas que trabalham com intermediação de negócios, que precisarão estar preparados e amparados com uma equipe técnica para realizar essas tarefas e atender aos pedidos do investidor.

 3 – A sobrecarga no RH

Com a pandemia, as empresas se adaptaram ao Home Office. Infelizmente, muitas delas apenas direcionaram os colaboradores para trabalhar em suas residências e não forneceram equipamentos, não forneceram banda larga, e não instalaram medidas de segurança.

Esse proceder equivocado já está resultando em diversas ações trabalhistas.

Independentemente disso, acreditamos que o trabalho remoto será uma realidade, mesmo após a Pandemia, afinal, é um grande negócio. Só nos órgãos públicos a economia em 5 meses de home office foi de R$ 1 Bi. A LafargeHolcim por exemplo, multinacional suíça da área de construção civil, só na sede do Rio de Janeiro, economizou R$ 2 Mi adotando o home office. E isso é muito pouco, considerando que 77% das empresas no Brasil tem somente 10% dos funcionários em home office.

Vejam que há muito a ser explorado nesse “novo normal”, mas, observando as regras, principalmente no quesito segurança da informação. Um exemplo vem do Superior Tribunal de Justiça em Brasília, que sofreu um ataque cibernético devido a um funcionário que trabalhava em casa sem a devida atenção à segurança.

E o que isso tem a ver com LGPD?

Para se adequar, evitando ações trabalhistas, prejuízo com ataque cibernético, entre outros,  as empresas precisam coletar dados de seus funcionários. Devido a Pandemia, precisam coletar informações de saúde, e isso são dados sensíveis protegidos pela LGPD. Precisam também, coletar informações sobre a efetividade do trabalhando e, se não forneceu o equipamento, precisa coletar permissão do empregado para instalar na máquina dele sistemas de controle e de segurança que são da empresa. Como se percebe, a coleta de dados pessoais dos trabalhadores aumentou consideravelmente. E tudo isso está ao abrigo da LGPD.

Mas a questão é: onde tudo isso transita dentro da empresa? Em que setor? 

No RH

Então, a expectativa é de que as atividades legais e regulatórias dobrem e sobrecarreguem as organizações que não conseguirem adotar abordagem cuidadosa dos dados pessoais de seus funcionários. O RH vai deixar de ser um setor de fichário, de recrutamento e seleção (aquele antigo DP), e passará a ser uma área vital, uma espécie de área secreta, extremamente sensível para as empresas, porque todos os documentos precisam ser classificados como CONFIDENCIAL – será necessário limitar e registrar quem pode entrar no setor, quem pode manipular os documentos, e quem pode ter acesso aos mesmos.

As consequências no RH são muitas. E é perceptível que o cenário acima descrito, irá gerar um aumento de reclamações de quem trabalha no RH. Serviços terceirizados poderão pedir reajustes nos contratos.

Sendo serviço próprio ou interno, o certo é que as organizações precisarão investir em capacitação do pessoal que trabalha no RH (lembrando que capacitação é diferente de treinamento), não esquecendo que qualificação, organização e seriedade do RH irão aparecer na Auditoria mencionada anteriormente.

4 – Aprovação da lei federal de proteção de dados nos EUA

O Congresso americano tem previsão de aprovar este ano ainda a Lei Federal de proteção de dados pessoais dos EUA, sendo assim, o planejamento de mudar sede de empresas do Brasil para os EUA para fugir do regramento da LGPD não é uma alternativa viável, até porque, o projeto do Senado americano, ao que parece, poderá ser mais rígido que a lei brasileira.

Reflexos no Brasil:

Não sabemos que prazo o Governo americano vai definir para as empresas estabelecidas nos EUA, mas com certeza negócios brasileiros estabelecidos com empresas americanas serão afetados.

5 – Ações Judiciais

Em levantamento feito pela Data Lawer, apontou-se que só em um mês, foram registradas 139 ações trabalhistas envolvendo a LGPD. O site Reclame Aqui recebeu 200 reclamações só em dezembro de 2020. Em julho de 2021 havia o registro de 600 ações judiciais envolvendo LGPD, e a tendência é de que, com a descoberta de direitos pelo cidadão, esses números aumentem consideravelmente em 2022.

Para não ver a imagem da empresa envolvida em ações judiciais, as empresas devem ter um cuidado especial na seleção de quem vai contratar para prestar serviço de implementação da LGPD.

Infelizmente o mercado está saturado de profissionais que se identificam como especialistas prestando serviços precários. De outro lado, as organizações, diante da novidade que é LGPD, diante da falta de experiência, sem saber como selecionar, acabam aceitando estes serviços acreditando estarem adequadas, quando na verdade estão acarretando tratamento de dados pessoais com base legal equivocada, gerando inevitáveis ações judiciais (no site da ANPPD é possível acessar o Portal das Violações da LGPD e verificar a lista de ações judiciais envolvendo LGPD). 

6 – Assessoria Jurídica especializada

Acreditar que qualquer assessoria jurídica está apta a manipular demandas envolvendo LGPD é outro equívoco. As assessorias jurídicas precisam especializar-se em regras de Compliance; em responsabilidade civil na LGPD (assunto que será muito discutido nos tribunais); em cláusulas contratuais de LGPD; em processo administrativo envolvendo a Lei 9.784/99 (que rege o processo administrativo na ANPD); na Lei 7.347/85 que traz um rito completamente diferente das tradicionais ações judiciais e que rege a Ação Civil Pública entre outras.

7 – Grandes negócios exigem LGPD e GDPR

Na Europa em torno de 60% a 70% das empresas já estão em conformidade com o GDPR. E o que isso reflete no Brasil?

Se observarmos que no ano de 2019 as exportações para a Europa somaram mais de US$ 33 Bi, podemos dizer que observar o GDPR é muito importante. Todas essas exportações e importações, envolvem dados. Dados pessoais. Portanto, vai ficar difícil realizar operações internacionais a partir de 2022 com a Europa, se não houver a observância do GDPR nos contratos, principalmente, após a aprovação das cláusulas contratuais padrão (SCCs) que entraram em vigor em 27/06/2021.

8 – Regras Vinculativas

A organização que não estiver preparada irá ser surpreendida com as chamadas “regras vinculativas” que são: cláusulas de proteção de dados adotadas pela União Europeia; cláusulas de proteção de dados adotadas por uma autoridade específica de controle como a CNIL da França; a própria EDPB da Comissão Europeia; a ICO do Reino Unido; a CNP de Portugal, e outras; a adoção de um código de conduta acompanhado compromissos vinculativos no sentido de aplicarem as garantias adequadas de proteção de dados será uma realidade diante da SCCs citada anteriormente.

Todas essas medidas estão diretamente relacionadas à Segurança da Informação, a Segurança Cibernética. Portanto, em determinadas operações, a exigência de um procedimento de certificação como a ISO 27001 e ISO 27701 poderão ser uma realidade.

9 – Efeito Whitelist

Falando em GDPR e em Regras Vinculativas, as organizações que mantém ou querem manter relações comerciais precisam estar atentas ao efeito Whitelist.

Tudo começou quando Maximillian Screms ingressou com uma ação na Autoridade de Proteção de Dados da Irlanda, a CPDI em 2013 para proibir a transferência internacional de dados para os EUA com base no acordo Safe Harbor.

Em 2015, os Tribunais da UE consideraram o Acordo Safe Harbor nulo, mas validaram outro acordo, o Privacy Shield.

Em 2018 passou a vigorar o GDPR, e em julho de 2020 foram declarados nulas todas as transferências de dados pessoais com base no Acordo Privacy Shield, envolvendo países terceiros que não tem Sistema de Proteção de Dados Pessoais.

O que isso tem a ver com o Brasil?

O GDPR criou a Whitelist, uma lista de países confiáveis, na qual o Brasil não está, e vai demorar algum tempo para entrar nesta lista. Foi essa decisão que apresentou as novas cláusulas padrão (SCCs) exigindo das empresas da UE a obrigação de exigir as regras vinculativas. E esse cenário poderá impactar os negócios porque vai exigir das organizações, evidências concretas de sua conformidade com a LGPD e GDPR, já que o Brasil não figura na Whitelist.

10 – Segurança Cibernética

A Segurança Cibernética deve deixar de ser algo desconhecido para as organizações e passará a ser um diferencial estratégico para os negócios, ainda em 2021.

Segundo a Confederação Nacional das Seguradoras (CNseg), o seguro de Riscos Cibernéticos registrou aumento de 148,7% em sua arrecadação na comparação mensal entre junho/20 e junho/19.

Pesquisa da Gartner aponta que 40% dos Conselhos de administração deverá ter um Comitê de segurança cibernética até 2025. Com isso, o investimento em segurança da informação não será uma questão de necessidade, mas de sobrevivência dos negócios, principalmente diante da crescente onda de ataques de Ransomware.

Conforme relatório da Kaspersky, na América Latina ocorrem cerca de 5 mil ataques diários. Representando um prejuízo médio de US$ 700 mil por empresa, 46% desses ataques são registrados no Brasil. Qualquer empresa pode ser vítima, e a porta de entrada é a ausência de uma política de segurança da informação (isso ainda não é uma cultura do brasileiro).

Essas são as perspectivas que teremos para os próximos meses e anos envolvendo o tema da LGPD. Com toda certeza, minimizar a LGPD como sendo algo temporário, uma intervenção exagerada do Estado, ou querer excluir determinadas categorias profissionais do alcance da LGPD, demonstram apenas o desconhecimento da matéria.

Não se adequar é decisão que opera contra qualquer modelo de negócio.

Fonte: Texto de responsabilidade total do autor.

Fabio Leandro Rods Ferreira

Advogado, membro do Comitê Avançado de Segurança da ANPPD, integrante do Grupo de Segurança e Privacidade de Dados da ASSESPRO RS. Possui certificação em DPO pela ASSESPRO RS e ISO27001 pela EXIN

Artigos relacionados

Botão Voltar ao topo
X