A Lei Geral de Proteção de Dados, que entrou em vigor em 18 de setembro de 2020, é um marco legal que orienta e regula o uso, a proteção e a transferência de dados pessoais dentro do território nacional.
A LGPD (Lei 13.709/2018) garante maior controle dos cidadãos sobre suas informações pessoais, exigindo consentimento explícito para coleta e uso dos dados, e oferece opções para o usuário visualizar, corrigir e excluir suas informações, além de fazer com que as empresas adotem medidas de segurança da informação.
Porém, desde a vigência da lei, podemos observar interpretações equivocadas e/ou tendenciosas, abrindo caminho para falácias e mitos que aqui desmistificaremos. Vejamos a seguir os dez mitos da Lei Geral de Proteção de Dados Pessoais (LGPD).
1. “Não é necessário um profissional qualificado”
A LGPD exige que as empresas nomeiem o Encarregado de Proteção de Dados, também conhecido como Data Protection Officer (DPO), aquele que será o responsável pelo tratamento dos dados pessoais e que se comunicará com a ANPD (Autoridade Nacional de Proteção de Dados).
É muito importante, para o melhor desempenho das suas funções, o DPO se capacitar através de certificações internacionais como o EXIN®. Além disso, o DPO já é publicamente reconhecido pela Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD).
Não é somente um ombudsman, mas a pessoa responsável pela adequação e a aplicação da LGPD. Outrossim, o DPO também será responsável pela orientação e conscientização a respeito das práticas de proteção de dados, sejam funcionários ou até o dono da empresa. Para isso, todos os profissionais devem estar devidamente preparados (Art. 41, §2º, III – LGPD).
2. “É possível adequar uma empresa em 24 horas”
Muitas empresas de consultorias, estão vendendo a adequação à LGPD em 24 horas. Elas ofertam e vendem documentos que são meros templates para documentos e que a empresa deveria criar. Isso não é adequação à LGPD.
Não se trata de documentos, e a própria lei deixa claro que o encarregado, seja ele jurídico ou técnico, necessita adotar medidas capazes de proteger os dados pessoais. Ou seja, de nada adianta uma empresa comprar um “kit de templates milagrosos de LGPD” e essa documentação não mostrar a governança interna da empresa sobre a adequação.
Para Marcelo Martins, sócio da DPOnet, consultoria especializada em LGPD, de nada adianta uma empresa estar adequada apenas no papel e não ter nada técnico capaz de impedir um ataque hacker que roube dados pessoais. Isso fala sobre a adoção de medidas técnicas e administrativas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas (Art. 6, X – LGPD).
3. “Somente um advogado pode trabalhar com a LGPD”
A LGPD não restringe a advogados o profissional que atuará com a LGPD. Pelo contrário, é uma lei que veio para regulamentar uma área técnica, tendo a governança e processos como elo.
Muitos empresários acreditam que, por se tratar de uma lei, basta contratar um advogado. Entretanto, os conhecimentos envolvidos com a LGPD envolvem o domínio da segurança da informação para proteção de dados. Inclusive, para o profissional responsável, o DPO/Encarregado, havia uma condição na lei para o DPO: a exigência de que o profissional possuísse conhecimento jurídico-regulatório.
Isso foi vetado por contrariar o interesse público, na medida em que se constitui em uma exigência com rigor excessivo, que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.
Em resumo, todos os empresários podem e devem contar com os profissionais (DPOs) das áreas de tecnologia da informação, segurança da informação, além de advogados.
4. “Ao adquirir um software de LGPD, a empresa já está em conformidade”
Muitas empresas, ao buscarem aderir à LGPD, se deparam com um software que serve para adequação à lei. Entretanto, os empresários deveriam saber que a simples compra de uma ferramenta não garante o compliance à norma.
Primeiramente, a empresa deve mapear os seus processos que lidam com dados pessoais para depois iniciar a adequação. Existem diversas boas soluções no mercado, que auxiliam no processo de conformidade.
Entretanto, toda ferramenta deve ser escrava do processo (ou contexto de tratamento). Ou seja, se não se conhece o cenário, corre-se o risco de, em vez de proteger dados pessoais, apenas automatizar o caos (Art. 6º, II – LGPD).
5. “Basta comprar um selo LGPD”
Não existe um selo LGPD oficial emitido por um órgão especializado. A LGPD é uma lei, e a adequação é um processo contínuo, em constante mudança. Logo, não se pode selar algo que não seja fixo.
Em todo tempo haverá a necessidade de revisão em seus processos e procedimentos: é o que salienta o especialista Henrique Palma, DPO especializado em gestão de TI. Entretanto, existem boas certificações corporativas (como a ISO-27701), capazes de checar se a empresa dispõe de controles internos mínimos alinhados com a lei.
Porém, tais certificações devem validar evidências, ou seja, não apenas ficar na documentação ou em “selos”, pois a empresa deve ter implementado medidas técnicas e administrativas para proteção dos dados e demonstrar que essas são eficazes (melhoria contínua) (Art. 6, X – LGPD).
6. “Criptografar tudo resolve”
Aplicar uma medida somente técnica não resolve, pelo contrário, por melhor que seja o uso da criptografia. Seu uso não planejado pode acarretar lentidão aos sistemas devido a sobrecargas dos hardwares.
Para o professor Angelo Souza, especialista em segurança cibernética e mestrando em administração com foco em TI pela Florida Christian University, nos Estados Unidos, também existem riscos que podem provocar vazamento de dados e fogem da área técnica, como o roubo de papéis físicos. A LGPD não é somente técnica, começa com L de lei e termina com D de dados. Portanto, o jurídico e o TI precisam trabalhar juntos. (Art. 46 – LGPD).
7. “A LGPD não vai pegar”
Desde o vigor da lei, mesmo que a autoridade de proteção de dados ainda não tenha dado uma multa, órgãos como Procon, BACEN e o Poder Judiciário — que já estão decidindo causas envolvendo LGPD — podem aplicar sanções ou decidir uma causa em prejuízo às empresas.
Acesse o Portal de Violações LGPD, da ANPPD, um serviço gratuito de consulta pública que reúne as autuações relacionadas com privacidade de dados (sob a ótica da LGPD e outras normas relacionadas ao tema) impostas por diversos órgãos brasileiros, uma vez já tornadas públicas e publicadas nos portais eletrônicos destas entidades.
Caso alguém ainda acredite mesmo assim que a LGPD não vai pegar, confira os seis motivos que farão de 2023 o ano da LGPD. (Art. 52 – LGPD).
8. “A LGPD veio para impedir o crescimento das empresas”
Em um mundo cada vez mais globalizado e conectado, a LGPD veio para dar segurança às pessoas. Para Thiago Rosa, bacharel em direito e diretor da ANPPD, a LGPD também foca em promover a mudança cultural no quesito proteção de dados e permitir que as empresas no Brasil atuem no mercado exterior, onde existe a exigência de seguir a normativa vigente na Europa, que é o GDPR (Regulamento Geral de Proteção de Dados, na sigla em inglês).
No processo de adequação, também são tomadas precauções para que a marca, produto ou serviço não tenha uma mancha em sua reputação por causa de um ataque virtual ou falha de algum funcionário que exponha dados pessoais.
9. “A LGPD não é nossa prioridade”
A LGPD obriga todas as empresas a investirem em segurança da informação por meio de medidas técnicas e administrativas capazes de proteger os dados pessoais de todas as empresas que coletem o nome, RG, CPF, endereços, telefone etc.
Entretanto, com o fim da pandemia, diversos setores estão com demandas represadas. Espera-se que em 2023 haja um consumo elevado e aumento da conectividade (devido ao 5G e à expansão da inteligência artificial).
Por consequência desta combinação, existe o cenário perfeito para o aumento dos ataques cibernéticos. Entre os antídotos estão as leis de proteção de dados pessoais, uma prioridade mundial, porque o Brasil já é o sétimo país mais digitalizado do mundo. Com isso, já aumentaram os ataques cibernéticos em 700%.
O mundo está buscando hoje o ESG (meio ambiente, social e governança), e a adequação a leis de proteção de dados fazem parte da governança corporativa, requisito almejado por empresas do mundo todo.
Em resumo, mesmo que os clientes ainda não tenham questionado a sua empresa sobre a LGPD, é obrigação de todas no Brasil seguirem a LGPD, correndo risco de multas de até R$ 50 milhões, fora o descumprimento de exigências contratuais ou danos à reputação ou marca.
10. “A LGPD é só para empresas grandes”
A lei se aplica a todas as empresas que utilizam dados pessoais, independentemente do porte. O que mais impacta é o nível de risco para o titular referente ao tratamento realizado pela empresa.
Ou seja, existem muitas empresas pequenas que lidam com dados pessoais mais sensíveis do que muitas empresas grandes. Nestes casos, mesmo que haja flexibilização das medidas de segurança, a LGPD vem para colaborar para que essa empresa tenham a consciência de que deve proteger os dados dessas pessoas. É o que salienta o professor Umberto Correia, diretor do Comitê de Governança da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD).