Letícia Danielle Ferreira Sell*
Quando se fala em adequação à Lei Geral de Proteção de Dados Pessoais, muito se pensa em novos documentos que passam a fazer parte da empresa, tais como Políticas de Privacidade e cláusulas contratuais relacionadas ao uso de dados.
É inegável que uma adequação à LGPD deve, de fato, passar pela confecção e implementação de bons documentos na empresa, que retratem a realidade e os cuidados dessa no manuseio de informações pessoais. Porém, apenas a implantação desses não configura uma adequação, de fato, à lei e nem deve criar uma falsa sensação de que aquela empresa está realmente protegendo os dados pessoais.
A adequação à proteção de dados envolve muitas outras faces, além de uma adequação documental, passando por ajustes de rotinas e pela necessidade de implementação de uma nova cultura na empresa como um todo.
Um estudo realizado pela empresa de cibersegurança Kaspersky mostrou que quase metade dos funcionários brasileiros afirma ter acesso a informações pessoais de clientes cadastrados no banco de dados na empresa em que trabalham. Dentro do cenário, o Brasil é o país da América Latina que mais possui esse tipo de informação disponível para funcionários.
Ao analisarmos o contexto de uma empresa, podemos, obviamente, entender a necessidade que funcionários têm de acessar dados pessoais de clientes. Seja para entrar em contato para a prestação de algum serviço, para preenchimento de contratos ou cumprimento de alguma obrigação legal. Inúmeras são as possibilidades.
Porém, o questionamento que deve existir – e que é o ponto de atenção quando analisamos as empresas brasileiras – é: será que todos os funcionários precisariam, de fato, ter acesso aos bancos de dados dos clientes? E, ainda: será que precisariam ter acesso a todos os dados que estão ali armazenados?
Adequação à LGPD – Lei Geral de Proteção de Dados:
A Lei Geral de Proteção de Dados Pessoais já é uma realidade em nosso país. Muito embora grande parte das empresas ainda não esteja adequada a ela, algumas já começaram esse processo, seja buscando um programa de adequação completo, seja implementando, aos poucos, algumas medidas.
O problema reside no fato de que grande parte dessas, que já iniciaram a busca pela adequação à LGPD, não se atenta ao fato de que esse processo envolve, acima de tudo, a, já mencionada, mudança na cultura do uso dos dados.
Isso porque, ao observarmos, na prática, a realidade da maioria das empresas brasileiras, nos deparamos com o seguinte: existe um banco de dados em que ficam armazenados as informações pessoais dos clientes e, normalmente, esse banco é protegido por uma senha, a fim de evitar o acesso externo, tendo acesso a essa senha todos os funcionários da empresa ou pelo menos todos os funcionários de um setor.
Vamos pensar numa situação hipotética para exemplificar. Imagine uma construtora que tenha armazenado em um banco de dados contratos de seus clientes dos últimos 30 anos, e todos os funcionários do setor comercial e todos do setor jurídico têm acesso a esses contratos. Os demais funcionários da empresa não têm acesso.
Ainda que restrito a esses dois setores, você acha, mesmo, que é pertinente que todos esses funcionários tenham acesso a essas informações? E, ainda: existe a necessidade de acessar todas as informações que ali estão presentes?
Vamos seguir a análise, agora, focando somente no setor jurídico, que pode ser composto por vários advogados e estagiários, de determinadas áreas de atuação. Será que é necessário que os advogados do departamento trabalhista tenham acesso aos contratos comerciais firmados – e consequente acesso aos dados dos clientes?
É isso que pouco se questiona na prática.
Acesso segmentado:
Quando observamos a LGPD, mais precisamente, seus princípios, nos deparamos com o Princípio da Necessidade, que orienta que o tratamento deve ser limitado às finalidades a que ele* se destina. Assim, podemos concluir que somente devem ter acesso e utilizar dados aqueles que** sejam estritamente necessários.
Desse modo, torna-se dever da empresa fazer essa segmentação, a fim de que só tenha acesso a determinados dados pessoais aqueles funcionários que realmente precisam, evitando, assim, um excesso de acesso aos dados pessoais, o famoso “todo mundo tem acesso a tudo”, que é o que comumente acontece hoje – como foi mencionado no estudo.
Além dessa observância obrigatória ao princípio previsto na Lei, o acesso segmentado aos dados também pode ser entendido como uma boa prática, pois é capaz de reduzir a ocorrência de vazamento de dados.
Treinamentos e conscientização:
Outro ponto que também deve ser analisado, junto com essa prática de acesso a dados pessoais, é a necessidade de treinamento e conscientização dos funcionários a respeito do uso dos dados.
Segundo Roberto Rebouças, gerente-executivo da Kaspersky no Brasil, responsável pelo estudo mencionado, uma empresa com o treinamento de seus funcionários em dia consegue mitigar a ocorrência de incidentes de segurança relacionados a dados pessoais.
Isso porque são os funcionários que irão manusear os dados pessoais que a empresa tem em seus bancos de dados. Desse modo, são eles que vão colocar, na prática, as medidas de proteção que foram adotadas.
Por isso, de nada adiantará uma empresa fazer um programa de adequação, por melhor que seja, com a confecção dos melhores documentos, e não treinar e conscientizar as pessoas que irão trabalhar diretamente com os dados, pois se eles continuarem agindo da forma que era anteriormente adotada na empresa, essa não poderá se dizer adequada à LGPD, de fato, uma vez que a adequação envolve uma mudança de hábitos, tornando-se, indispensável, desse modo, que treinamentos sejam feitos com equipes, mostrando como seus trabalhos deverão ser feitos, a partir de agora, e o que não poderá mais acontecer.***
Assim, deve fazer parte do planejamento e da implementação do Programa de Adequação treinamentos periódicos, com toda a empresa e com setores e profissionais específicos, orientando e informando sobre a maneira pela qual eles deverão passar a trabalhar e quais são as responsabilidades e consequências daqueles que não se adaptarem.
Código de Conduta:
Da mesma forma, Códigos de Condutas podem e devem ser criados, de maneira a orientar a atuação dos funcionários – além de ser um registro para que a empresa se resguarde de que adotou as melhores práticas possíveis para total adequação à Lei.
Além disso, devem ser feitas análises periódicas de rotinas, a fim de avaliar se as equipes estão trabalhando em conformidade e se a empresa segue mantendo a adequação à proteção de dados. Caso sejam observadas algumas lacunas, deve-se programar e ministrar novos treinamentos e fazer os ajustes necessários.
A adequação à LGPD envolve, sobretudo, uma mudança de cultura organizacional e, como tal, demanda tempo para que seja absorvida e que hábitos sejam mudados. Não entender e respeitar esse processo fará com que a empresa não esteja, realmente, adequada aos ditames da lei e poderá ocasionar diversos problemas a ela.
Referências
*Artigo 6º, III, Lei 13.709/2018: “necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”.
**TEIXEIRA, Tarcísio; GUERREIRO, Ruth Maria. Lei Geral de proteção de Dados Pessoais. Comentada artigo por artigo. 4 ed. São Paulo: Saraiva Jur, 2022. p. 65: “O binômio necesidade-utilidade deve estar sempre à mente daquele que trata os dados, para que eles tenham a sua finalidade respeitada. O tratamento de dados pessoais deve estar adstrito à sua finalidade, sendo que a sua utilização além do que se presta acarretará responsabilização dos responsáveis do tratamento.”
***CARLOTO, Selma; GUERRA, Elaine. Manual Prático de Adequação à LGPD: com enfoque nas relações de trabalho. São Paulo: Ltr, 2021. p. 65: “Os treinamentos são indispensáveis para explicar e fomentar a cultura da Lei Geral de Proteção de Dados na empresa.”
Bibliografia:
ASICA, Nathalia. Kaspersky Dayli, 2022. Pesquisa: Impressões Digitais e sua relação com as pessoas e as empresas. Disponível em: https://www.kaspersky.com.br/blog/pesquisa-impressoes digitais/18906/. Acesso em 07 maio 2023.
BRASIL. Lei Nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso em 08 maio 2023.
CARLOTO, Selma; GUERRA, Elaine. Manual Prático de Adequação à LGPD: com enfoque nas relações de trabalho. São Paulo: Ltr, 2021. p. 65
FEBRABAN. Febraban Tech, 2023. LGPD está fora da realidade de 80% das empresas no Brasil. Disponível em: https://febrabantech.febraban.org.br/blog/lgpd-esta-fora-da-realidade-de-80-das empresas-no-brasil-diz-estudo. Acesso em 07 maio 2023.
HOMEWORK. Terra Notícias, 2023. Metade dos funcionários tem acesso a dados ‘secretos’ de clientes. Disponível em: https://www.terra.com.br/economia/metade-dos-funcionarios-tem-acesso a-dados-secretos-de-clientes,42ecd451a5f87ceffc6f6c1894ab9d6d7k7nsgbm.html. Acesso em 08 maio 2023.
TEIXEIRA, Tarcísio; GUERREIRO, Ruth Maria. Lei Geral de proteção de Dados Pessoais. Comentada artigo por artigo. 4 ed. São Paulo: Saraiva Jur, 2022.
Letícia Sell: Advogada, especialista em LLM em Proteção de Dados: LGPD e GDPR pela Fundação Escola Superior do Ministério Público e pela Faculdade de Direito da Universidade de Lisboa e em direito de empresarial. Consultora de Proteção de Dados de pequenas e médias empresas e atuação como DPO as a service; membro da Comissão de Proteção de Dados da OAB/MG e Sócia Fundadora da Vale e Sell Consultoria LTDA; ministra cursos e palestras com fins a divulgar informação sobre a importância da proteção de dados para pequenos negócios e profissionais liberais.
