Por quê empresas Brasileiras com negócios na UE devem se adequar a LGPD?
LGPD – Regulamentação Brasileira e relacionamento com negócios advindos da União Européia.
A primeira coisa importante antes de responder a essa pergunta é compreender o núcleo central da LGPD (lei 13.709/2018 - lei geral de proteção de dados) sendo esse o de efetivamente equalizar dois importantes valores: (a) “Proteção de dados pessoais” e (b) “desenvolvimento sustentável e econômico das empresas”. Dito isso, as empresas brasileiras que possuem relacionamento comercial com empresas pertencentes a união europeia sejam elas, investimento, parcerias, fornecimento de insumos e etc, serão rigidamente impactadas pelas novas exigências advindas da EU (União Européia). Essa mudança legal, ocorrerá através de pressões mediante novas orientações contratuais, revisões e a necessidade de novas adequações de conformidades junto a LGPD.
Más por que isso tudo? Bem, isso ocorre uma vez que na União Européia, em 2016 estabeleceu a nova lei conhecida como GDPR (Regulamento Geral sobre a Proteção de Dados) que tem o papel de regular a matéria da proteção dos dados pessoais de titulares pertencentes a união europeia. Entre as diversas previsões, envolve o manejo de informações e privadas de pessoas singulares todos titulares (cidadãos da união Européia) a exemplo temos explicitado na GDPR nos art. 4 e itens (1), conceito de “dados pessoais”, (11) trata dos aspectos do consentimento dos titulares “ausência de consentimento”, (12) “hipótese de violação de dados pessoais” e “(15) dados relativos a saúde”., art. 7 (ausência de consentimento), item (1), art. 9 item (1) dados sensíveis dos titulares (identificação da cor e da etnia) e entre tantos outros dispositivos legais de igual importância.
O efeito pretendido sobre os indivíduos segundo a lei é o de possibilitar mecanismos de tratamento e de processamento dos dados pessoais que operem em conformidade com o regulamento legal vigente, de forma coerente com o respaldo tecnológico, gerencial e principalmente orientados pelo cumprimento da “compliance” junto a governança.
Poucos anos depois, aqui no Brasil observamos o nosso legislativo estabelecendo algo parecido e com a mesma finalidade, “saindo do forno” em meados do ano de 2018 a LGPD é criada e aprovada no congresso nacional e agora estabelecendo as bases legais no âmbito Brasileiro.
Deste modo, empresas brasileiras com esse mesmo perfil estão sujeitas ao processo de adequação e conformidade a LGPD notadamente com ligação as previsões de regulação originadas nas bases legais da GDPR. A sinergia existente entre ambos os regramentos está no fato de ambas preverem a proteção aos direitos da privacidade dos dados pessoais, intimidade, personalidade respaldados por convenções internacionais e etc. Além disso, na aplicação das conhecidas boas práticas no campo da gestão organizacional e tecnológica, objeto de normas e regulamentos subdivididos para cada setor de atuação do modelo de negócio empresarial. A exemplo, temos normas de segurança da informação, a implementação de mecanismos de gestão, processos, procedimentos, controle, técnicas de auditoria, gestão de riscos e etc. Em outro prisma, encontramos preceitos legais como o conceito de dado pessoal, ciclo de vida dos dados, Governança de dados e etc. Isso posto, estamos diante de uma profusão de áreas afetadas dentro das empresas dentre elas a governança, estratégia, gestão, compliance e aspectos de organização tecnológica.
de para se manter os contratos com empresas internacionais será necessário se adequar e esse processo envolve ajustes na organização, revisão do funcionamento dos serviços e sistemas, treinamento de pessoal, profissionalização de pessoal especializado, consultoria e adequação jurídica dos instrumentos e contratos assim como dos recursos de âmbito tecnológico.
A LGPD irá impactar positivamente nas empresas reduzindo desde os riscos decorrente dos aspectos legais até os principais riscos presentes no funcionamento operacional da infraestrutura da TI que envolve os aspectos tecnológicos.
Entre as inúmeras exigências da LGPD temos as previstas a de avaliação de impacto sobre a proteção de dados presente no artigo 35, itens 1, 3, (a),(b),(c) e art. 9, nº 1 e considerandos, 58, 84, 90 e 91 da GDPR. Aqui a legislação retrata quando da necessidade de implementação de um novo processo na empresa, em que estejam suscetíveis a implicar um alto risco para os direitos e liberdades dos titulares singulares, restando configurada a obrigatoriedade da realização da AIPD (avaliação de impacto sobre a proteção de dados) por parte do responsável pelo o tratamento (controlador) antes do início do processamento.
A inteligência do artigo 35 do GDPR entende ser necessário a obrigatoriedade da avaliação de impacto, quando configurados: (a) Tratamento de dados automatizados ligados a avaliação sistemática de dados de pessoas singulares onde haja o perfil de pessoas singulares e decisões corporativas nos desdobramentos dos mesmos; (b) Operações de tratamento de dados sensíveis e em grande escala (exemplo os dados de condenação penal); (c) Controle sistemático de zonas acessíveis ao público em grande escala (exemplo monitoramento de câmeras e imagens onde haja a captação de imagens). Então, se a empresa não o faz está sujeita a uma irregularidade perante a legislação vigente. Isso quer dizer que em hipótese de vazamento de dados, perda, exclusão e etc. o Controlador responsável legal da empresa irá responder pelos os danos decorrentes desse incidente. Perguntas como, e o departamento da IT, gestão e etc eles também não respondem? Nessa hipótese, mediante procedimentos administrativos a depender da extensão dos danos podendo chegar até mesmo à abertura de inquéritos policiais onde ambas as partes deverão responder perante a justiça e a terceiros.
Bem, agora que entendemos esse cenário devemos responder a pergunta, como a conformidade da lei irá proporcionar menores riscos para a empresa? Do ponto de vista jurídico a resposta está no fato do cumprimento de exigências contratuais com lastro nos ditames legais da proteção de dados pessoais, nas alterações necessárias no funcionamento do modelo de negócio e como resultado garantir a vida dos contratos em andamento. Não fazer isso significa, correr o risco real de comprometer a continuidade desses contratos e sem falar nas receitas decorrentes já previstas no fluxo de caixa das empresas.
Do ponto de vista de funcionamento operacional, tecnológico, muitas empresas operaram durante anos sem investimentos e o mínimo de preocupação na adequação mínima e necessária em sua infraestrutura para atender aos quesitos de normas de segurança da informação a exemplo a ISO 27001 e 27002. Então, isso oportunizou um ambiente operacional propício a criação de brechas, vulnerabilidades a serem exploradas no quesito da segurança dos dados e informações digitalizados. Aqui estamos falando a grosso modo de empresas tradicionalmente, renomadas, sem o mínimo e necessário para se proteger de os chamados incidentes de violação de segurança provocados por Hackers. Incidentes como esses tem levado empresas a saírem da sua normalidade, provocando paradas em seu funcionamento, perda de dados, prejuízos muitas vezes difíceis de serem medidos pois além dos financeiros podem gerar a perda da clientes, perda de receitas, comprometimento de imagem, rompimento de contratos estratégicos entre tantos outros. Então do ponto de vista tecnológico quando adequamos a empresa a lei, atingimos dois aspectos importantes o da proteção legal e sistêmica. Isso corresponde a reduzir os riscos de incidentes de segurança que por sí só constituem danos imediatos e ao mesmo tempo em paralelo a isso possuem rígida penalização por parte da lei específica para essa finalidade. Nesse último caso existem sanções que vão desde multas, penalidades, paralização legal de funcionamento da empresa e também a ações judiciais que tenham como objeto o descumprimento de direitos previstos em lei e que possam explodir em ações volumosas uma vez que a LGPD tem intima ligação com o CDC (código de defesa do consumidor). Isso quer dizer que o despreparo com a adequação representará na seara consumerista altos gastos com demandas na justiça e desde demandas individuais e podendo chegar a demandas coletivas.
Autor: Estéfano Fonseca - Advogado especialista em Direito digital / DPO e LGPD
