Compliance Digital e a Lei Geral de Proteção de Dados - LGPD

Compliance de maneira sucinta, se traduz em regramento e junto ao tema digital, temos um conjunto de normas, normativas e regras que orientam o mundo digital.

Esta problemática não é simples e muitas vezes é sumariamente ignorada pela maioria das pessoas, pois pensam em primeiro lugar que o mundo digital é terra de ninguém, onde tudo pode, tudo seria liberado e em outros casos, que o mundo digital não conteria regras suficientes nem pessoal suficiente para fiscalizar eventuais quebras de conduta.

Por óbvio, temos muito ainda a avançar no cenário brasileiro sobre o que chamamos de virtual hoje, entretanto, as regras que já possuímos, aliadas a nova lei de proteção de dados trarão um mercado interessantíssimo aos advogados (internos de empresas e seus terceirizados) além de especialização específica de pessoas dentro das empresas para auxiliar nestes treinamentos.

Nosso maior exemplo atual é a lei já em vigor européia sobre proteção de dados que criou a necessidade de regramentos como o Data Protection Impact Assessment que se trata de regras específicas de compliance digital onde conterão as informações necessárias do impacto da proteção de dados na empresa e seus riscos, cuidados, entre outros.

Como já estamos acostumados a algumas regras de compliance, onde formamos comitês, preparamos pessoas para cuidarem das regras (Compliance Officers), na lei de proteção de dados teremos que ter estes e mais cuidados ainda.

Por quê mais cuidados?

Porque a regra da Lei Geral de Proteção de Dados é clara em seus princípios: Precisa haver o interesse legítimo a coleta e processamento do dado e que o detentor do dado permita o uso e processamento dos mesmos.

Vamos então pensar em algo simples, do dia a dia e que será amplamente impactado pela LGPD: Coleta de dados de pessoas para cadastro dentro das empresas.

A empresa coleta o dado para uso próprio e quiçá já tenha regras de compliance tradicional para cadastro, armazenamento em sistemas, permissões de acesso para os colaboradores, entre outros. 

E na ótica da LGPD? 

Houve consentimento para a coleta e uso destes dados?

Quem está analisando softwares, permissões de acesso, possibilidades de cópia, transferência e backups dos dados armazenados na empresa?

Percebam que estamos muito distante de comprar um software de segurança de dados, firewall e outros e resolver o problema. 

Temos aqui a clássica dicotomia: Gestão ou tecnologia? A resposta ao meu sentir é: AMBOS, mas primeiro a gestão, depois a tecnologia.

A lei obrigará uma adaptação maior do que foi necessária quando tivemos o compliance, pois o compliance digital ainda hoje é pequeno perto de outros regramentos e porque não temos inserida na nossa cultura atual uma cultura digital e uma cultura básica de proteção de dados.

Concordamos com quaisquer regras que os softwares nos imponham sem sequer pensar nos riscos envolvidos. Concordamos com qualquer um coletando nossos dados sem mesmo nos informar a finalidade de uso e onde serão armazenados, etc. Exemplo típico: Portaria de prédio. Porque coletar minha identidade, foto, CPF, endereço, BIOMETRIA (!), se bastava informar a sala aonde estou indo se posso ou não subir (se fui ou não convidado). Onde ficam estes dados? Já perceberam que de tempos em tempos eles perdem nossos dados e pedem tudo de novo? E se estes dados vazarem? De quem era a responsabilidade de coleta, guarda e uso dos mesmos?

Notório que para adaptar a LGPD as empresas temos que ter times multidisciplinares. Os advogados precisam trabalhar com engenheiros, com pessoal de TI, com pessoal de compliance, com equipes que pensem mais do que apenas uma lei ou um dado, estamos lidando com um ecossistema inteiro, com consequências diretas ou indiretas a toda a empresa, muito além das multas da lei.

Precisamos compreender que para evoluir no compliance digital e sua aplicabilidade na LGPD primeiro temos que estabelecer compliance digital que vai desde sistemas, pessoas, permissões de acesso, rastreabilidade das informações, entre outros para que quando pensar em dados, tenhamos ideias claras e objetivas sobre como agir com a coleta, como pegar o consentimento expresso e a guarda destas informações.

E ainda bem que vivemos num universo digital, posto que esta coleta, autorização e guarda podem ser obtidas num clique de concordância eletrônica, desde que para tanto tenhamos alguns elos digitais de segurança.

Assim, penso que usando a gestão como regra matriz, aplicando o compliance digital como forma de regramento da seara eletrônica como um todo (desde softwares até a uso e normas de redes sociais a colaboradores) e com olhar crítico, assertivo e direcionado a Lei Geral de Proteção de Dados, teremos como proceder numa implantação correta e segura as empresas dos regramentos necessários a adaptação da LGPD.