LGPD -A importância de contratar um escritório de advocacia para adequar uma empresa

LGPD

Sumário

Cinthya Imano Vicente Ribeiro
Cinthya Imano Vicente Ribeiro
Natural de São Paulo – SP. Bacharel em Direito pela Faculdades Metropolitanas Unidas – FMU. Especialista em Direito Processual Civil pela Pontifícia Universidade Católica de São Paulo. Especializada em Direito Civil pela Escola Paulista de Direito. Mestrando em Direito Comercial pela Pontifícia Universidade Católica de São Paulo. Idiomas estrangeiros: Inglês e Espanhol.

Quando se fala em LGPD – Lei Geral de Proteção de Dados, o termo “lei” logo faz pensar na necessidade de advogado, contudo, ainda que se trate de uma norma jurídica, pode haver divergência na necessidade ou não de um advogado considerando o conceito do encarregado de dados (DPO) e, também, por se tratar de uma lei que trata de segurança da informação.

Assim, para que não restem dúvidas sobre a possibilidade de contratação de um escritório de advocacia para adequação da empresa à LGPD, trazemos o presente artigo esclarecendo não apenas a importância, mas como um escritório pode auxiliar na sua demanda.

Implementação da LGPD na empresa

Como já apontado em nosso artigo anterior (“Que tipo de empresa precisa de um DPO”) esclarecemos que tanto uma pessoa física quanto uma pessoa jurídica que tratam dados precisam se adaptar à LGPD, independentemente do porte da empresa, até que haja alguma dispensa específica pela Autoridade Nacional de Proteção de Dados.

Quando se fala em adequação à LGPD, a tendência é confundir apenas com a necessidade de DPO, ou concluir que bastaria pedir o consentimento dos titulares para estar em conformidade e, ainda, que um contrato padrão poderia ser apresentado com cláusulas pré definidas para que o controlador de dados esteja em conformidade com a lei.

Entretanto, estar adequado à LGPD demanda atenção em muitos outros aspectos e que sua efetiva implementação não ocorre em 24 horas ou em 7 dias, conforme o uso de algumas planilhas de adequação.

É preciso uma mudança da cultura da empresa e que esta seja entendida e aceita por todos os funcionários, independentemente do cargo que ocupe e que haja o exemplo dos de maior para os de menor hierarquia a fim de que reste consolidada na empresa a proteção de dados.

Da mesma forma que uma empresa tem sua missão, visão e valores muito bem estabelecidos, a cultura de proteção de dados deve passar por processo semelhante.

Para isso, não basta que haja a adequação e que sejam criadas as políticas internas e revistos os contratos ou que seja feito um relatório de impacto para depois de certo tempo, tudo prosseguir como antes.

Atender à LGPD é, antes de tudo, compreender a importância da proteção de dados e mudar toda a cultura da empresa.

Definição das Bases Legais

A fim de que haja a correta compreensão da LGPD, necessário se atentar aos conceitos e prática das novas figuras, quais sejam, o s titulares de dados, os operadores, os controladores, o encarregado de dados e a Autoridade Nacional de Proteção Dados.

Além disso, importante compreender os princípios que norteiam essa lei, bem como as bases legais.

As bases legais (para dados não sensíveis) indicam as possibilidades de tratamento e dados e são as seguintes:

  • Fornecimento de consentimento pelo titular;
  • Cumprimento de obrigação legal ou regulatória pelo controlador;
  • Execução de políticas públicas pela administração pública em relação ao tratamento e uso compartilhado de dados necessários, conforme
  • previsão em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  • Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • Exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • Proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Legítimo interesse do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • Proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Existem, portanto, pelo menos mais nove bases legais para trata os dados do que apenas o consentimento, e este vem sendo disseminado como se fosse a forma mais importante e única possível, sendo que compete à empresa ter a correta adequação dos seus contratos e atividades, consoante finalidade e necessidade para que não fique refém de um consentimento que pode ser revogado a qualquer momento.

Gestão do consentimento dos titulares de dados

O artigo 5º, inciso XII conceitua consentimento como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Apesar de a lei ter sua vigência há pouco mais de seis meses, já foi criado um mito em torno do consentimento, havendo o entendimento (errado) de que basta ao controlador de dados pedir o consentimento ao titular que estará automaticamente adequado à LGPD.

Contudo, como o próprio conceito estabelece, essa base legal não é tão simples de ser compreendida, bem como não traz segurança ao controlador de dados.

Para que o titular dê o seu consentimento, ele precisa estar devidamente informado para qual motivo dará os seus dados e o que será feito com ele, sem qualquer omissão ou uso indevido ou desviado do que foi informado originalmente,

Também deve ser dado o consentimento para cada finalidade da coleta, como por exemplo, se um formulário coleta dados do titular para que este participe de uma “live”, deve ser exclusivamente para isso e captando o mínimo necessário de dados do titular e não pode ser usado, posteriormente para o envio de “newsletter”.

Caso o controlador queria os dados para a participação na “live” e para o envio de “newsletter”, o titular deverá, de forma livre e inequívoca, consentir para cada uma dessas atividades e não ambas em uma mesma forma de manifestar o consentimento.

Neste caso, o consentimento deve ser granular, como diz a melhor doutrina sobre o tema, pois o titular deve consentir e aceitar dar seus dados para cada opção que o controlador oferecer.

Da mesma forma como o consentimento ocorreu de uma forma fácil e expressa, a sua revogação também deve ser, não sendo possível ao controlador dificultar ou solicitar outros dados a mais para proceder com a revogação de dados e, uma vez revogado o consentimento, não havendo o fundamento em outra base legal, este deve ser respeitado de imediato.

A importância da contratação de um escritório de advocacia para assuntos relacionados à LGPD

Um escritório de advocacia pode auxiliar de muitas formas na adequação à LGPD e ainda, de forma separada conforme a necessidade de quem a procura.

O escritório de advocacia pode auxiliar com toda a implementação da LGPD ao fornecer um encarregado atuando como “DPO as a service”, pode apenas elaborar ou revisar os contratos e políticas internas.

Pode, ainda, verificar a adequação dos sites e redes sociais, oferecer serviços em incidentes de segurança, implementar a política de compliance em proteção de dados, pode atuar apenas como fiscalizador do operador, auxiliar em treinamentos internos, entre outras opções.

Não obstante, o escritório de advocacia pode ter parcerias com os setores de Segurança de Informação voltados para a proteção de dados e em conjunto, oferecerem suporte completo a quem precisar, atuando em diversas frentes, conforme a necessidade do cliente.

Além da própria adequação da proteção de dados, é possível que um escritório de advocacia que atue em diversas áreas, segmente e faça a adequação apenas na área que envolva aspectos do Direito Trabalhista, como o RH e contratação de parceiros e funcionários, ou para a área de marketing, em relação ao Direito do Consumidor e E-Commerce, adeque os diversos contratos da empresa por meio de uma área Contratual específica ou, se for o caso, atue de forma contenciosa perante alguma demanda que envolva o controlador ou o operador.

Assim, um escritório não se limita a apenas implementar a LGPD ou atuar como um DPO externo.

É possível desmembrar a atuação conforme a necessidade do cliente.

A LGPD vista como Gestão de Riscos

Estar em conformidade com a lei de proteção de dados é atuar de forma preventiva, preparar-se para qualquer incidente, estando minimamente preparado para eventual risco; não se fala mais Se o risco pode acontecer e sim, quando.

Outra confusão comum é falar apenas em vazamento de dados, sendo que ele é apenas uma parte de possíveis incidentes que um controlador de dados pode sofrer.

Para um programa efetivo de gestão de riscos, necessário que haja um prévio e correto mapeamento de dados, a identificação de maior vulnerabilidade no sistema, a elaboração de um relatório de impacto de dados, procedimentos de elaboração de combate aos riscos com treinamentos e revisões constantes, adequação o que estabelecem as ISOs, governança de dados e, principalmente, assegurar que essa nova cultura de proteção de dados é seguida por todos os funcionários da empresa.

Leia também:

LGPD – Dicas práticas para sua empresa se adequar

Que tipo de empresa precisa de um DPO?

Siga nosso Instagram: @aphoffmannadv

LGPD
Compartilhe:
Compartilhar no facebook
Facebook
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima

E-Book Gratuito

Manual prático de como adequar uma empresa à LGPD

A LGPD está em vigor. Você sabe qual a importância de adequar sua empresa para que não receba uma multa?