LGPD: Como adaptar sua empresa mesmo sem a regulamentação da lei pela ANPD?

Algumas pessoas vêm me perguntando sobre a adaptação de suas atividades à LGPD num universo em que a Autoridade Nacional de Proteção de Dados não regulamentou a lei e, ao mesmo tempo, estamos próximos ao prazo para que o mesmo órgão possa fiscalizar pessoas e empresas e aplicar multas pelo descumprimento da lei.

De início, é importante que pessoas e empresas entendam que a lei se aplica a todos, porém medidas devem ser tomadas por aqueles que recebem, compartilham e descartam os chamados dados pessoais, comuns ou sensíveis.

Ora, todos recebem esses dados: numa simples compra de um pão na padaria, ao indicar o CPF você está compartilhando seus dados. Porém, uma padaria, necessariamente, não precisará mudar todos os seus procedimentos para se adaptar para a LGPD, ou seja, não precisará que o consumidor assine um contrato com a padaria de compartilhamento de seus dados.

A lei alcança, efetivamente, pessoas e empresas que adquirem esses dados para fins comerciais, ou seja, tais dados são importantes para suas atividades, em maior ou menor grau.

Podemos exemplificar alguns casos: provedores de internet e do seu conteúdo; operadoras e corretoras de planos de saúde; empresas na área educacional, especialmente a de treinamentos corporativos; toda pessoa e empresa que compartilha, a titulo gratuito ou oneroso, dados pesoais; entre outros.

Ultrapassada essa fase, vem a pergunta: com a ausência de uma regulamentação clara a respeito, o que as empresas podem fazer neste momento?

Seguem algumas ideias que podem servir neste momento e já atendem, ao menos, as diretrizes básicas trazidas pela LGPD:

1. As pessoas que trabalham com dados, como o setor de RH, financeiro e compras, devem receber treinamento sobre o que é a LGPD e, principalmente, devem ser qualificados a discernir o que são dados pessoais e os cuidados básicos desde o recebimento até o descarte dessas informações.

2. Revisão dos contratos que a pessoa ou empresa trabalha com seus clientes ou fornecedores. A partir do momento em que tais dados podem ser recebidos, deve existir ao menos uma cláusula falando sobre a LGPD.

As duas sugestões acima valem para a grande maioria das pessoas ou empresas, de modo que, mesmo com regulamentação futura, a LGPD não será um “bicho de sete cabeças” nem teremos maiores problemas burocráticos na gestão do tema.

3. As pessoas ou empresas que têm como atividade principal receber ou compartilhar banco de dados devem se preocupar um pouco mais na gestão da LGPD, já que sua atividade é diretamente vinculada à lei. Neste caso, além dos itens acima, o setor de TI (Tecnologia da Informação) deve ser acionado para participar do processo de elaboração de políticas para a introdução da cultura da LGPD, ja que a proteção de dados também está diretamente ligada à segurança da informação ou cibersecurity, tão importante nos nossos dias.

Enfim, estamos a 3 meses de uma nova fase no processo de implantação da LGPD no Brasil, de modo que vale pensar no assunto e trabalhar com todos os colaboradores sobre a sua aplicação em pessoas e empresas.