LEI No 13.709, DE 14 DE AGOSTO DE 2018
A entrada em vigor do GDPR na União Europeia marcou uma nova era na forma como as empresas tratam os dados pessoais armazenados em seus arquivos.
No Brasil, a lei 13.709 de 14 de Agosto de 2018, a Lei Geral de Proteção de Dados, estabelece preceitos muitos similares. Nos próximos 18 meses, até a efetiva entrada em vigor das novas normas, as empresas terão que se adequar sob pena de multas elevadíssimas de até 50 milhões de reais por dia.
A maioria das empresas já está se adequando no seu relacionamento com seus clientes, solicitando permissão para coleta de informações e envio de material promocional, informando sobre o uso de “cookies” nos sites, entre outros. As áreas de comunicação, vendas e marketing estão enfrentando estas mudanças na legislação e mudando a forma com que tratam os clientes. Evidentemente que as áreas de cybersecutiry e IT como um todo, também estão extremamente envolvidas na adequação de seus processos para atendimento às mudanças introduzidas pela regulamentação. Outras áreas, entretanto, não estão fazendo os esforços que deveriam, seja por ignorância do impacto que podem sofrer ou porque não sabem como fazer o correto assessement da situação.
Veja por exemplo o caso do departamento de RH. Existe uma quantidade enorme de informações pessoais dos colaboradores sob a guarda deste departamento. Um amigo estava concorrendo a uma vaga em uma grande empresa de logística e me mostrou o formulário que o RH desta empresa estava pedindo para ele preencher para concorrer à vaga: pediam números de CPF e RG, comprovante de endereço, nomes dos pais, entre outras informações pessoais, tudo isso antes da entrevista. Qual a necessidade de recolher e manter estas informações?
Outro aspecto muito importante da nova legislação é que o indivíduo tem o direito de solicitar ter suas informações pessoais excluídas das bases de dados, em um processo de eliminação, ou ainda o direito de revogar o consentimento ao tratamento dos dados. Isso quer dizer que o departamento de crédito e cobrança pode de uma hora para outra perder toda a informação daquela pessoa? Como a área financeira está se preparando para esta nova realidade?
A lei também garante o livre acesso dos titulares aos seus dados. Isso pode requerer um esforço enorme para a construção de canais de atendimento ao consumidor, especialmente em negócios que tenham grande quantidade de clientes, como serviços de compras online, por exemplo.
Outro aspecto muito importante é a exigência de comprovação de que os princípios legais estão sendo cumpridos, e isso exige processos estabelecidos para avaliar sistematicamente a adequação à lei e também gerar evidências de que estes processos estão sendo seguido e são eficazes. As empresas maiores certamente irão criar uma área específica para atender a estes requisitos, onde se sentará o Encarregado de Proteção de Dados Pessoais, figura também criada na lei, mas como as empresas menores enfrentarão este desafio?
As mudanças são tão impactantes que afetam inclusive a portaria dos prédios comerciais, onde atendentes coletam seu RG e nome para permitir acesso aos andares.
Assim, recomendo que as empresas que armazenam e tratam dados pessoais – ou seja: praticamente todas as empresas – treinem suas equipes sobre a proteção de dados pessoais, e façam uma boa análise contra a legislação para determinar se todos os departamentos envolvidos estão preparados para a entrada em vigor da lei.
Preparei um checklist para verificar a adequação dos processos em relação à Lei Geral de Proteção de Dados. http://mennta.com.br/cheklist-lgpd-2/
Longe de tentar exaurir o tema, o checklist serve como uma primeira análise do situação atual com relação à nova legislação.