Muitas empresas não aderem à LGPD porque seus líderes desconhecem a responsabilidade que a própria Lei Geral de Proteção de Dados Pessoais (LGPD) lhes atribuiu. E, como em grande parte das situações, seus líderes são, em última instância, seus «controladores» de dados, não investir na adaptação de suas empresas é uma decisão a respeito da qual serão inevitavelmente responsabilizados. Entenda.
Por Lucas Ferreira.
―
Legale, n. 856.
Desde a publicação da Lei Geral de Proteção de Dados Pessoais (LGPD), o tema tem ganhado cada vez mais espaço nas mídias, no vocabulário corporativo e nas «listas de tarefas» de muitos profissionais bem-intencionados, mas muitos executivos ainda subestimam a urgência crescente de investir sua atenção no tema, justificados pela sensação de impunibilidade.
Contra essa resistência, nossa experiência tem revelado, porém, que muitas oportunidades internacionais estão sendo comprometidas. No âmbito internacional, essa inércia já está frustrando muitos negócios.
Além disso, a procrastinação tem cobrado um preço cada vez maior: muitos líderes de empresas estão se dando conta de que deviam ter «começado antes». Que a demora tem frustrado os profissionais que estão dispostos a assumir a responsabilidade de liderar a mudança e que o acomodamento e a aceitação da inércia estão tornando os colaboradores mais resistentes à mudança. Em outras palavras, a exaustão da mudança acaba acontecendo antes da mudança e a transformação se arrasta indefinidamente, sem perspectiva de conclusão.
Muitos líderes de empresas
desconhecem sua responsabilidade
É difícil compreender esse tipo de negligência em parte significativa dos empreendedores considerando os impactos positivos que uma política bem implementada de proteção de dados costuma ter sobre o valor das marcas, da percepção dos clientes, dos investidores e até mesmo sobre o engajamento dos colaboradores.
Uma das razões dessa inércia ― talvez a razão mais elementar de todas ― pode ser justamente a falta de conhecimento desses líderes a respeito das responsabilidades que a Lei 13.709, de 14 de agosto de 2018, estabeleceu para eles.
Para que a LGPD fosse exequível, os legisladores definiram, expressamente, alguns papéis: o «titular», o «controlador», o «encarregado», o «operador» e a «autoridade» oficial de proteção de dados.
Em geral as empresas estão na posição de «controlador» e os representantes legais que as lideram possuem um papel crucial nesse teatro ― e um conjunto de responsabilidades extremamente sensível. Portanto, a fim de se compreender o papel e as responsabilidades do «controlador» ― e distingui-lo do «operador» e do «encarregado» ―, é fundamentar ter em mente a ideia de «tratamento de dados».
Segundo a Lei Geral de Proteção de Dados Pessoais (Artigo 5°, inciso X), se chama «tratamento de dados» toda operação «realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração». (Lei 13.709, de 14 de agosto de 2018).
Logo, compreendemos que «tratar um dado» engloba toda a corrente pela qual o dado percorre até encontrar sua finalidade, e que a palavra «tratamento» possui um significado estendido, não se limitando a um manejo pontual. O tratamento de dados envolve, portanto, como prevê a lei, uma cadeia, um fluxo de procedimentos que abrange desde a coleta até a exclusão do dado pessoal.
Então, quem é o responsável último pelo tratamento?
O «controlador»
de dados
/ Segundo a LGPD, possui o papel de «controlador», a «pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais» (Artigo 5°, inciso VI). O «controlador», portanto, é a pessoa física ou jurídica que detém o poder de decisão no tratamento dos dados e é o responsável último por delimitar o tratamento, apontando o que pode ser feito e quais são os limites do tratamento ao longo da cadeia. Desse modo, dentre todos os agentes de tratamento, o «controlador» é o agente que possui o papel de maior responsabilidade perante a Autoridade Nacional de Proteção de Dados (ANPD), justamente por ser o responsável por direcionar a forma do tratamento dos dados em sentido amplo, conforme a descrição do inciso X do Artigo 5º.
/ O «operador» é «a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador» (Artigo 5°, inciso VII). Em outras palavras, é o responsável imediato por realizar (operacionalizar) o tratamento de dados em nome do «controlador» e sob os limites de suas ordens.
/ O «encarregado» é a pessoa indicada pelo «controlador» para atuar como canal de comunicação entre o «controlador», os titulares dos dados e a Autoridade Nacional de Proteção de Dados» (inciso VIII). Seu papel consiste em adequar e fiscalizar internamente a cadeia de tratamento, além de ser a ponte entre o «controlador» e o titular de dados, e entre o «controlador» e a ANPD, além de atuar como consultor do «controlador» em todos os negócios que envolvam tratamento de dados pessoais.
Distinções
importantes
Em razão de suas responsabilidades, portanto, o «encarregado» deve possuir conhecimento técnico e prático distinto dos demais agentes, por sua responsabilidade, por exemplo, de notificar e apurar vazamentos, bem como por sua competência para esclarecer toda e qualquer dúvida que o titular de dados possa eventualmente levantar a respeito do tratamento de seus dados pessoais. Também conhecido como Data Protection Officer (DPO), sua atuação pode ser interna ou externa («DPO as a service»).
Além disso, diferente do «controlador» e do «operador», a figura do «encarregado» deve ser apresentada de maneira claramente pública: o «controlador» deve apontar quem é o seu «encarregado» de maneira visível, informando expressamente seu nome e o meio de comunicação adequado para que o titular dos dados possa fazer contato, tirar suas dúvidas e manifestar suas solicitações.
Sua visibilidade pública, por si mesma, no entanto, não emparelha sua responsabilidade com a responsabilidade do «controlador». O «encarregado» não possui poder diretivo ou decisório na cadeia de tratamento, mas age como um consultor, apresentando ao «controlador» qual seria o meio mais adequado, nos termos da lei, para agir em seus processos, cabendo ao «controlador» acatar ou não o que foi apontado.
O custo financeiro
da negligência
O papel do «controlador», portanto, é extremamente delicado e polariza, no centro do palco, com o «titular» dos dados pessoais.
Curiosamente, não é rara a desproporção, em muitas empresas, entre a criticidade desse papel e a pequena envergadura dos esforços e cuidados que os líderes de negócios costumam lhe dispensar. E, como em grande parte das situações, os tomadores de decisões são, em última instância, os «controladores», não investir na adaptação de suas empresas é uma decisão a respeito da qual serão inevitavelmente responsabilizados.
Por fim, essa desproporção também é curiosa por outra razão: à medida em que as autuações estão cada vez mais próximas, à medida em que cada vez mais os negócios são fechados com cláusulas sobre proteção de dados ― e a proteção de dados é reconhecida, cada vez mais, como um valor ―, mais onerosos se tornam os projetos de compliance de proteção de dados pessoais. Maiores e mais concentrados se tornam os custos da mudança.
―
Conheça o nosso hub de Inovação, Direito Digital e Cibersegurança >
―
Sócia da Área: Amanda Pesciutti Duarte >
―
Pessoas e Comunidade >
Conheça os nossos líderes >
Prêmios, Selos e Reconhecimentos >
Notícias: conteúdo de qualidade no nosso portal >
―
Tributário >
Corporativo >
Relações do Setor Automotivo >
Prevenção e Resolução de Conflitos >
Relações de Trabalho, Mobilidade Global e Gestão de Pessoas >
ESG, Ambiental e Sustentabilidade >
Inovação, Direito Digital e Cibersegurança >
Propriedade Intelectual >
Infraestrutura, Imobiliário e Construção Civil >
Direito Administrativo, Direito Público e Regulatório >
―
Temos um time incrível de especialistas em compliance de proteção de dados pessoais (Lei Geral de Proteção de Dados & General Data Protection Regulation), com habilidade em liderança de equipes multidisciplinares de adequação legal, tecnológica e de processos; mapeamento de pontos críticos (gap analysis); avaliação de riscos (assessment); elaboração de políticas e de documentos corporativos; implantação de medidas de controle e de monitoramento de incidentes; facilitação de workshops sobre boas práticas e medidas de proteção de dados; assessoria legal em casos de incidentes de segurança e elaboração de «Relatórios de Impacto à Proteção de Dados».
―
Nossas publicações têm o objetivo de comunicar a perspectiva legal dos acontecimentos e prover contexto aos fatos jurídicos mais relevantes que podem influenciar companhias e organizações. Casos em concreto demandam atenção técnica personalizada sobre os fatos, e devem obter assessoria jurídica sob medida antes da adoção de qualquer providência legal ou paralegal. Se você, sua empresa ou o conselho de acionistas de sua organização precisam de aconselhamento, entre em contato com o advogado de sua confiança.
«Legale», «Painel Tributário», «Temas Tributários» e «Notícias & Alertas» são informativos periódicos e constituem uma prestação de serviços à comunidade empresarial sobre legislação, atualizações normativas e agenda tributária. Na forma de notas curtas, alertas ou artigos, os conteúdos podem dispor de links para websites oficiais, a fim de facilitar o acesso dos nossos seguidores e assinantes aos serviços e publicações referidos. Não nos responsabilizamos (e nem teria como!), entretanto, pela integridade destes websites governamentais, que podem apresentar problemas como indisponibilidade de acesso em razão de falhas em seus servidores, acidentes nos sistemas de rede, fragilidades em seus mecanismos de segurança, entre outros.
―
Fale com o Editor >
―
+55 19 3252-4324
Barão de Itapura, 2323
8° andar, Guanabara
Campinas, SP
Brasil
