PLANEJAMENTO DE ADEQUAÇÃO À LEI GERAL DE PROTEÇÃO DE DADOS PARA ESCRITÓRIOS DE ADVOCACIA

RESUMO: O presente artigo inicia tratando sobre questões gerais da Lei Geral de Proteção de Dados Pessoais, apresentando alguns elementos básicos da lei. Em seguida, realiza-se a contextualização destacando a importância da proteção de dados pessoais aos escritórios de advocacia, que por dever ético já possuem a responsabilidade de manutenção de sigilo sobre as informações que são tratadas em sua rotina. Após, evidencia-se o que a legislação entende por tratamento de dados pessoais, destacando as bases legais para tratamento, também em relação aos dados sensíveis e dados pessoais de crianças e adolescentes. Todo este caminho é percorrido para se chegar ao planejamento de adequação de conformidade à LGPD, passando pela importância de se organizar um Comitê e de envolver todos os colaboradores do escritório como fator indutor de mudança cultural. Após, demonstra-se a importância de se realizar um diagnóstico amplo do ciclo de vida dos dados pessoais dentro do escritório de advocacia, e de se mapear os fatores de risco, que envolvem os equipamentos e sistemas, as políticas e procedimentos e o pessoal para que seja possível, então, elaborar um plano de ação no qual serão definidas as prioridades de adequação e a cotação de investimentos necessários à conformidade. Na conclusão, reforça-se a importância de estar em conformidade à nova cultura de proteção de dados pessoais.

Palavras-chave: Legislação. Proteção de dados pessoais. Escritórios de advocacia. Planejamento.

Sumário: 1. Introdução; 2. Contexto e importância da LGPD para escritórios de advocacia; 3. Conceito de tratamento de dados e bases legais para tratamento, 3.1. O que é tratamento de dados, 3.2. Fundamentos legais para o tratamento de dados; 4. Planejamento de adequação, 4.1. Estruturação de Pessoal, 4.2. Mapear os dados, 4.3. Mapear os fatores de risco, 4.4. Elaboração de um plano de ação; 5. Conclusão.

1. INTRODUÇÃO

Editada em 14 de agosto de 2018 a Lei Geral de Proteção de Dados (LGPD), com forte influência da legislação de proteção de dados da comunidade europeia (GDPR), é uma legislação de interesse nacional e observância obrigatória pela União, Estados, Distrito Federal e Municípios e de alcance extraterritorial, ou seja, mesmo fora do território brasileiro pode gerar efeitos. Esta lei traz um impacto na sociedade como poucas normas antes trouxeram, criando uma nova abordagem sistemática para o uso de dados pessoais no Brasil, seja online ou offline, em meios físicos ou digitais, em todos os setores da economia e impulsionando uma mudança cultural em relação ao tema da proteção de dados pessoais no Brasil.

Seus objetivos principais são a transparência em relação ao tratamento dos dados pessoais, proteção dos direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. E seus princípios fundamentais, estampados na legislação, passam pelos princípios da boa-fé, que deve reger todas as relações jurídicas, da finalidade, no sentido de que o tratamento dos dados deverá ter propósitos legítimos, específicos, explícitos e informados ao titular, limitando-se o mínimo necessário para a realização de sua finalidade, da transparência que deve garantir ao titular informações claras, precisas e de fácil acesso sobre o tratamento realizado e sobre o agente de tratamento que o realizou e da responsabilização e prestação de contas pelos agentes de tratamento da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, dentre outros princípios também muito relevantes.

A Lei não pretende proibir o tratamento de dados, mas sim regulamentar de forma rigorosa a proteção de dados pessoais evitando, assim, o uso, o compartilhamento e a comercialização de forma abusiva, sob pena incorrer em sanções administrativas diversas que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados, observados, sempre, os princípios do contraditório e da ampla defesa. Contudo, convém ressaltar que as sanções administrativas não afastam a possibilidade de responsabilização em relação a incidentes envolvendo dados pessoais nos âmbitos cível, penal, trabalhista, mas certamente a pior punição possível está relacionada ao dano à imagem e à reputação da empresa ou do profissional. E aqui arriscase a afirmar que o principal fiscal será o próprio titular!

Dentre os principais impactos práticos que se verificam pela nova legislação estão a consolidação de direitos e garantias para os titulares dos dados pessoais que poderão obter do controlador a qualquer momento e mediante requisição diversas atividades relacionadas aos seus dados, tal como confirmação de existência, acesso, correção, portabilidade, revogação de consentimento, etc.; o surgimento de novas obrigações aos agentes de tratamento de dados em atendimento aos direitos e deveres expressos na legislação; e a formalização de uma nova função profissional que surge pela figura do encarregado de proteção de dados ou DPO (Data Protection Officer) como é chamado na legislação estrangeira, que basicamente possui a responsabilidade de incentivar e zelar pelo cumprimento da lei.

A LGPD traz em seu artigo 5º uma série de definições legais cujo conhecimento e compreensão tornam-se a partir de agora imprescindíveis, tais como a definição do que é “dado pessoal”, “dado pessoal sensível”, “tratamento de dados”, “agentes de tratamento”, “titular de dados” são exemplos desses conceitos.

A lei coloca em evidência a necessidade de seguir várias obrigações legais, que antes eram apenas boas práticas no trato da informação e daí surgem as principais vantagem de se estar em conformidade com a legislação, passando pela redução do risco de sua atividade e das possibilidades de vazamento de dados pessoais, com a definição clara de quem serão os responsáveis nestes casos, e principalmente pela transmissão de maior confiança e credibilidade aos clientes, o que gera uma vantagem competitiva no atual cenário econômico, consolidando posição no mercado e abrindo novas oportunidades de negócios para aqueles que estiverem adaptados.

2. CONTEXTO E IMPORTÂNCIA DA LEI GERAL DE PROTEÇÃO DE DADOS PARA ESCRITÓRIOS DE ADVOCACIA

Os dados são ativos muito importantes nos escritórios de advocacia. Todo dado tratado se transforma em informação. E a análise correta destas informações, além de ser uma ferramenta de negócios poderosíssima, pode gerar diversas novas formas de atuação para os escritórios de advocacia auxiliando na construção do negócio do próprio cliente. Um escritório sério que preza pela sua reputação no mercado, se preocupa com a sua base de dados. E isto porque o dano decorrente da exposição pública de informações confiadas ao advogado, que em sua essência já possuem o caráter de sigilosidade como obrigação ética, é incalculável podendo acarretar prejuízos enormes para o escritório, não só financeiros, mas afetando irreversivelmente a credibilidade e reputação do profissional. Nesse contexto resta evidente a fundamental importância da Lei Geral de Proteção de Dados (LGPD) para os escritórios de advocacia.

A lei dita normas sobre tratamento de dados pessoais apenas de pessoas físicas, porém, possui uma abrangência ampla e atinge diretamente todos os advogados, independentemente da área em que atuam e do porte do escritório. A proteção de dados pessoais, sob a guarida da LGPD, vai envolver as relações entre os parceiros de negócios, clientes e colaboradores.

É evidente que toda mudança traz resistência e as medidas que um escritório de advocacia deve adotar para estar em conformidade com a Lei Geral de Proteção de Dados Pessoais não são tão simples e, a depender da complexidade da estrutura do escritório, o processo pode ser realmente trabalhoso e intricado, mas o resultado a longo prazo certamente vai ser positivamente surpreendente. Cada escritório terá seus próprios desafios. Não existe um roteiro pronto a ser seguido. A trilha da conformidade é um caminho continuado, é um processo a ser seguido e sempre revisitado e não se encerrará do dia para noite. Ademais, tão importante quanto estar em conformidade com a legislação é se manter em conformidade, e por isso se diz ser um programa a ser implementado dentro da organização.

Algumas premissas devem ser consideradas ao longo da fase de planejamento de adequação à lei, dentre elas, talvez hoje o elemento mais importante, deva ser o foco na mudança de cultura. A lei preceitua a necessidade de se construir uma cultura de valoração dos dados pessoais. Está-se diante de um novo paradigma. A conscientização sobre a importância e necessidade de se proteger tais dados exigirá uma mudança cultural e comportamental, evidenciando a necessidade de abandonar velhos hábitos e adquirir outros novos. Cultura é a totalidade de padrões aprendidos e desenvolvidos pelo ser humano – ou seja, não é algo inerente ou imutável, mas sim algo que pode ser modificado, segundo conceito da antropologia. E para que seja possível modificar a cultura organizacional é necessário, de forma básica, idealizar a nova cultura, compartilhar esta visão com toda a equipe e começar a implementação da mudança de forma efetiva.

Será importante ao profissional investir nos canais de comunicação com o público para manter um diálogo aberto e possibilitar o gerenciamento das demandas do titular de dados, principalmente ao se considerar que dentre as garantias do titular expressamente previstas na legislação está o direito de ter acesso aos dados, exigir correções e revogar o consentimento de uso. E nesse sentido, também para esse fim de comunicação com o público, a utilização da tecnologia deve ser maximizada como fator de indução de mudanças.

Outra premissa que deverá ser observada pelos escritórios é o foco no risco do negócio, cabendo aos “agentes de tratamento” a realização de um inventário sobre o ciclo de vida dos dados pessoais desde a sua entrada no escritório até o seu descarte, elaborando um inventário detalhado de como a lei impacta no seu dia a dia. Entender os riscos da quebra de privacidade da atividade do escritório vai auxiliar na definição de prioridades e no discurso para conscientização e engajamento de todos os colaboradores.

3. CONCEITO DE TRATAMENTO DE DADOS E BASES LEGAIS PARA TRATAMENTO

3.1 O QUE É TRATAMENTO DE DADOS

A legislação [BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasilía, DF:Presidência da República [2019].  define de forma bem genérica o conceito de tratamento em seu art. 5º, inciso X abrangendo, assim, as diversas possibilidades de ação em relação aos dados pessoais. “Tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”

Assim, como exemplo, toda atividade que envolva a coleta de dados, desde o início do atendimento do cliente com a obtenção de dados pessoais para cadastro, elaboração de contrato ou de procuração, passando por todo o ciclo de vida destes dados dentro do escritório até o fim do contrato de prestação de serviço advocatícios deve ser objeto de conformidade com a legislação. Também os dados pessoais coletados de colaboradores, parceiros e fornecedores que sejam objeto de utilização, acesso, reprodução ou compartilhamento devem ser objeto de conformidade com a legislação.

Importante destacar que o descarte, o armazenamento, o arquivamento e a guarda de dados pessoais, ainda que em arquivo morto, seja em meio físico ou digital, também se incluem no conceito de tratamento.

O término do tratamento de dados pessoais ocorrerá quando a finalidade for alcançada ou quando verificado que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; quando houver o fim do período de tratamento; quando houver a comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público; ou ainda mediante determinação da autoridade nacional, nos casos de violação legal.

Após o término do tratamento dos dados estes deverão, em regra, ser eliminados autorizada a conservação para o cumprimento de obrigação legal ou regulatória pelo controlador; o estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; a transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos em Lei; ou para uso exclusivo pelo controlador, vedado seu acesso por terceiro, e desde que os dados sejam anonimizados.

Portanto, pelo conceito amplo da lei, toda ação realizada com os dados pessoais, tratados de maneira provisória ou permanente, estão protegidos pela LGPD.

3.2. FUNDAMENTOS LEGAIS PARA O TRATAMENTO DE DADOS

De acordo com a lei, o tratamento de dados pessoais somente poderá ser realizado com base nas seguintes 10 hipóteses legais:

• mediante o fornecimento de consentimento pelo titular, que deverá ser fornecido por escrito, e neste caso, deverá constar de cláusula destacada das demais cláusulas contratuais, ou por outro meio que demonstre a manifestação de vontade do titular;
• para o cumprimento de obrigação legal ou regulatória pelo controlador;
• pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
• para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, e nesse caso somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam ao apoio e promoção de atividades do controlador; e a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais; ou
• para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Nos casos de amparo do tratamento de dados pessoais na base legal do consentimento, se o escritório ou o profissional, na posição de controlador, desejar comunicar ou compartilhar os dados pessoais com outros advogados, como por exemplo os advogados credenciados (se na posição de controladores), deverão obter consentimento específico do titular para esse fim.

Quanto ao consentimento, mister ressaltar que deverá referir-se a finalidades determinadas, sendo vedado o tratamento de dados pessoais mediante vício de consentimento e consideradas nulas as autorizações genéricas, e nulo o consentimento quando as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca, ou se houver mudanças da finalidade para o tratamento de dados pessoais que não compatíveis com o consentimento original.

Contudo, a base legal do consentimento dentre as outras 9 é a mais frágil, pois o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, razão pela qual orienta-se a sua utilização de forma excepcional e somente após descartadas as demais possibilidades de embasamento nas outras hipóteses disponíveis.

Destaque-se, ainda, que quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular deverá ser informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os seus direitos, sendo aconselhável a inclusão de cláusula específica sobre este ponto nos contratos que vierem a ser firmados pelo escritório ou profissional.

3.3. FUNDAMENTOS LEGAIS PARA O TRATAMENTO DE DADOS SENSÍVEIS

Conforme definição legal são considerados dados sensíveis os dados relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. E conforme definição legal, por merecerem uma proteção especial, aqui a situação se inverte, devendo ser o consentimento a principal base legal de proteção do tratamento, que deverá de forma específica e destacada e para finalidades específicas. O tratamento destes dados somente será possível sem o consentimento e em determinadas situações específicas e somente quando for imprescindível, conforme definido no art. 11 da LGPD:

• cumprimento de obrigação legal ou regulatória pelo controlador;
• tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
• realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
• exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral,
• proteção da vida ou da incolumidade física do titular ou de terceiro;
• tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
• garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Em relação aos dados de crianças e adolescentes o tratamento poderá se dar somente em seu melhor interesse. E quando os dados pessoais tratados forem de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, salvo quando forem utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o referido consentimento. A finalidade do tratamento sem o consentimento é justamente obter esse consentimento. É um fim em si mesmo.

Especificamente nesses casos as informações sobre o tratamento de dados deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

4. PLANEJAMENTO DE ADEQUAÇÃO

Planejamento consiste na tomada antecipada de decisões. Trata-se de decidir agora o que fazer antes que ocorra a ação necessária. Não se trata de previsão das decisões que serão tomadas no futuro, mas da tomada de decisões que produzirão efeitos e consequências futuras [CHIAVENATO, Idalberto. Gestão de Pessoas e o Novo Papel dos Recursos Humanos nas Organizações. Rio de Janeiro: Elsevier, 2004.].

O planejamento tem como objetivo prever e minimizar os fatores que podem inibir o resultado e prever e potencializar os elementos facilitadores durante o processo, garantindo assim que a tomada de decisão seja mais assertiva. É o projeto básico no qual se definem os objetivos e traçam se as metas de como atingi-los.

Para entrar em conformidade são necessários alguns passos iniciais, conforme preceitua a doutrina:

(…) para iniciar a implementação dos requisitos de conformidade à LGPD, o primeiro passo é a realização de um levantamento. Ou seja, deve-se fazer uma análise de diagnóstico para identificar como a instituição está no tocante aos indicadores de conformidade e o que falta para atender aos controles exigidos. Para tanto, a primeira atividade é fazer o inventário dos dados pessoais (quais são e onde estão). Depois, deve-se montar a matriz de tratamento dos dados pessoais (quais os tipos de tratamento e para que finalidades). Em seguida, como está sendo feito o controle de gestão de consentimentos. Com este panorama, é desenvolvido o mapa de risco e elaborado o plano de ação, que permite fazer a cotação dos investimentos necessários às conformidades, implementadas, em geral, em quatro níveis: no nível técnico (ferramentas), documental (atualizar normas, políticas, contratos), procedimental (adequar a governança e a gestão dos dados pessoais) e cultural (realizar treinamentos e campanhas de conscientização das equipes, dos parceiros, fornecedores e clientes) [3 PINHEIRO, Patricia Peck. Proteção de Dados Pessoais: Comentarios a Lei n. 13.709/2018 (LGPD). 2ª Ed. São Paulo: Saraiva Educação, 2020.].

Em um escritório de advocacia, independentemente do tamanho que tenha, o primeiro passo para planejar um programa de implementação de adequação à lei geral de proteção de dados é envolver todos os colaboradores.

4.1. ESTRUTURAÇÃO DO PESSOAL

4.1.1. Criar um Comitê de Crise e Definir as Atividades de Cada Membro

O primeiro passo é compor um comitê com pessoas responsáveis que tenham competência para adotar medidas operacionais, sistêmicas, estratégicas e jurídicas na maior brevidade possível. Nesta equipe é fundamental que um dos membros tenha poder decisório e acesso a todos os níveis hierárquicos dentro do escritório. A equipe deve ser composta por pessoas com conhecimentos multidisciplinares que envolvam a parte jurídica, conhecimentos em tecnologia da informação e segurança da informação. Além de familiaridade com questões relativas à proteção de dados, reputação digital e compliance. É necessário definir dentro deste comitê a responsabilidade de cada membro em relação condução do programa de adequação.

4.1.2. Nomear um Encarregado de Proteção de Dados (EPD)

Considerando que a LGDP determina de forma incondicionada a necessidade de indicação por todas as empresas da figura do Encarregado de Proteção de Dados, ou DPO, cujas informações devem ser divulgadas publicamente, com clareza e objetividade no site do controlador, é mister que seja indicada uma pessoa pelo escritório que tenha condições de exercer tal função, devendo ter habilidades para interagir entre diferentes áreas. Por definição legal, encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. Esta função, em razão da ausência de maiores definições por parte da Autoridade Nacional de Proteção de Dados (ainda não instituída formalmente), pode ser exercida por uma pessoa destacada desta mesma equipe (pessoa física) ou por um prestador de serviço externo (pessoa jurídica). Em linhas gerais, o encarregado será a pessoa dentro da empresa responsável por zelar pela aplicação da lei e disseminar boas práticas em relação ao tratamento de dados.

De acordo com a LGPD (art. 41, § 2º), esse profissional será responsável por:

• orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• receber comunicações da autoridade nacional e adotar providências;
• executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Não há na legislação a exigência de que o encarregado seja um bacharel em Direito ou detentor de conhecimento jurídico-regulatório. Contudo, esta função deve ser ocupada por quem tenha qualificação suficiente de forma a garantir que o escritório consiga entrar em conformidade com a lei.

4.1.3 Colaboradores

Além do encarregado de proteção de dados, o escritório de advocacia preparado para LGPD deve contar com a colaboração de toda a equipe que deve ser capacitada e alinhada aos conceitos legais. E isto porque nem o comitê, nem o encarregado sozinho, são capazes de implementar um plano efetivo de conformidade à LGPD, considerando que o negócio jurídico envolve muitas nuances.

De nada adianta estruturar toda a atividade de adequação à lei se os demais profissionais envolvidos no dia a dia do escritório não sabem como agir e reagir diante dela. Por esta razão é tão relevante que os responsáveis pelo programa de adequação à LGPD trabalhem no sentido de capacitar os demais colaboradores do escritório.

Algumas opções são os treinamentos de fácil compreensão sobre a lei, além da realização de cursos com conteúdo direcionado para cada área do escritório, tal como os recursos humanos, financeiro, administrativo e marketing.

A capacitação deve ser mais completa para os profissionais que lidam diariamente com as carteiras de clientes e processos onde haja maior interface com os dados pessoais.

Uma dica interessante, que visa documentar a capacitação dos colaboradores é a realização de testes de conhecimento antes e após os cursos realizados, medindo, assim, a evolução do conhecimento aplicado.

4.2. MAPEAR OS DADOS

O próximo passo no planejamento de adequação à Lei Geral de Proteção de Dados é o diagnóstico dos dados. Inicialmente deve-se visualizar onde e como ocorre a coleta e o uso de dados pessoais, ou seja, qual é o ciclo dos dados dentro do escritório. Entender, por exemplo, como os dados circulam, quem lida com eles e para onde são encaminhados. Este é o momento de avaliação inicial, em que se deve efetuar o levantamento e coleta de material prévio, tal como amostras dos contratos com clientes, colaboradores fornecedores, etc. Este é o momento de se conhecer qual a natureza dos dados, qual a finalidade dos dados tratados, qual a base legal do processamento, qual a sua forma de coleta, qual a sua forma de armazenamento e qual dado pode ser descartado, etc. E aqui se inicia a composição da tabela de prazos prescricionais para armazenamento dos documentos. Deve-se verificar nesse momento qual a importância e necessidade de se manter certos documentos em meio físico ou em formato digital.

Em regra, como exemplo, em um escritório de advocacia os dados pessoais circulam por meio de contratos; fichas cadastrais; e-mails; boletos de pagamento; nos processos; formulários; arquivos de mídia. As pessoas que tratam esses dados são estagiários, assistentes, recepcionistas, colaboradores, advogados, credenciados, peritos, prestadores de serviços. Os tipos de tratamentos de dados realizados são o envio de mensagens; arquivamento de conteúdos; anexação de documentos nos sistemas; consulta de dados; emissão de relatórios; cópias em dispositivos. Os dados pessoais ficam em contas pessoais de e-mail; sistemas especializados; bases de dados na nuvem; servidores locais; discos rígidos de desktops e notebooks; pendrives, CDs e DVDs; Backups.

Cumpre relembrar que a lei define a existência de dados considerados sensíveis, que podem gerar danos imediatos em casos de incidentes de segurança. Estes dados requerem cuidados especiais e só devem ser solicitados para finalidades específicas. Também o tratamento de dados de crianças e adolescente deve ser alvo de atenção especial, pois requer cuidados adicionais e só podem ser tratados com consentimento específico do responsável.

4.3. MAPEAR OS FATORES DE RISCO

Depois de compreender a lógica de circulação dos dados pelo escritório, chega a hora de mapear os riscos. Nesse ponto a noção de risco está diretamente ligada às chances de uma informação vazar, de ser conhecida por quem não deveria, serem modificados em sua integridade, ou seja, sofrerem modificação indevida de seu conteúdo, ou ainda sofrerem abalo em sua disponibilidade, podendo ser excluídos ou encriptados – como faz o ransomware. Incidentes de dados pessoais são uma espécie de Incidentes de Segurança da Informação. A perda da Confidencialidade, Integridade e Disponibilidade pode ser causada por fatores humanos ou não, acidentais ou não. Neste momento deve-se repensar os processos de dentro para fora do escritório, propondo ajustes nas falhas e riscos internos e na relação do escritório com os demais parceiros de negócio, fornecedores e interessados. Com base neste mapeamento de riscos será possível efetuar a cotação dos investimentos necessários à conformidade. Existem vários fatores de riscos num escritório, mas geralmente se delimitam em torno de quatro pontos principais: (i) equipamentos e sistemas; (ii) políticas e procedimentos; (iii) pessoas.

4.3.1. Equipamentos e Sistemas

Neste momento é oportuno verificar se a rede, computadores e demais equipamentos estão protegidos adequadamente com firewall, armazenamento em nuvem, backup automático, a atualização de sistemas, manutenção de equipamentos, e outros dispositivos de segurança. Trabalhando em conjunto com o profissional de tecnologia da informação, o gestor do escritório deverá avaliar a sua infraestrutura de equipamentos e sistemas, a fim de identificar a complexidade do seu ambiente tecnológico e verificar possíveis vulnerabilidades. Com base nestes elementos poder-se-á estabelecer uma política de segurança de tecnologia efetiva, que variará de acordo como nível de segurança exigido por cada tipo de escritório, revisando política atual em contraste com as normas da Lei Geral de Proteção de Dados Pessoais. Para este ponto é recomendável a contratação de profissional especializado em tecnologia da informação e segurança da informação, que poderá sugerir o nível de segurança adequado.

4.3.2. Políticas e Procedimentos

Uma das exigências mais importantes da Lei Geral de Proteção de Dados é a exigência de manutenção de registros escritos e procedimentos claros. Nesse aspecto é fundamental o entendimento das políticas e procedimentos internos que são adotados pelo escritório visando definir novas regras em conformidade com a LGPD. E aqui fica o alerta de que tudo deverá ser documentado, desde a orientação mais simples ao colaborador sobre organização de mesa e a geração e utilização de senhas, até a modo sobre como agir em caso de constatação de algum incidente de vazamento de dados pessoais. Deve-se coletar também neste momento, por exemplo, as informações sobre como tem sido as orientações repassadas às recepcionistas sobre como se portar ao receber determinada documentação, como devem ser registradas as informações de um novo prospect ou cliente e como vem sendo eliminados os documentos impressos.

Com base nesta verificação será possível diagnosticar e prescrever como deverão ser ajustadas as regras relacionadas às políticas e procedimentos do escritório.

Em especial, quando o escritório efetuar o tratamento de dados sensíveis e de crianças e adolescentes, deverá formalizar seus próprios termos de procedimentos para obter consentimento para uso de tais dados pessoais, sejam nos contratos ou nos instrumentos de procuração, relembrando aqui que, em regra, se houver o compartilhamento de tais com outros controladores, como pode ser o caso de advogados credenciados, deverá haver registro expresso desta situação, inclusive quanto a previsão de descarte após o cumprimento da finalidade específica.

O mais importante é identificar as várias situações em que será necessário a obtenção de consentimento específico ou a necessidade de inclusão de cláusula especial dos contratos e instrumentos de procuração para que sejam adotadas as medidas necessárias.

4.3.3. Pessoas

Via de regra, as pessoas são os elos mais frágeis de uma cadeia de segurança a melhor forma de lidar com esta questão é a capacitação. E a capacitação deve abranger desde as informações mais básicas até os elementos mais complexos sobre a conformidade com a Lei Geral de Proteção de Dados. Além disso, as pessoas devem ser sistematicamente avaliadas. A VOLUME 5 199 legislação traz várias exigências sobre este tema, valorizando a adoção de medidas neste sentido, inclusive como critério atenuante de penalidade. A lei preceitua a necessidade de se construir uma cultura de valoração dos dados pessoais!

5.ELABORAÇÃO DE UM PLANO DE AÇÃO

Os dados todos coletados durante a fase de diagnóstico devem ser todos registrados, conforme metodologia de data mapping definida pela lei, devendo manter-se tal registro até a sua exclusão em toda e qualquer atividade de tratamento de dados pessoais, indicando (i) quais dados serão coletados, (ii) a base legal que autoriza seu uso, (iii) as suas finalidades, (iv) o tempo de retenção, (v) as práticas de segurança de informação implementadas no armazenamento, e (vi) com quem os dados podem ser eventualmente compartilhados. Ou seja, o trabalho consiste em detalhar, organizar e manter registros dessas operações. Com base no diagnóstico efetuado até então deve-se agora estruturar o plano de ação. Este plano permitirá a priorização das medidas e a cotação de investimentos necessários à conformidade. Este plano deverá contemplar também a gestão do compliance de fornecedores e parceiros de negócios, bem como a gestão de crise em caso de vazamento de dados; deverá prever a revisão dos mecanismos adotados pelo escritório sobre a coleta de dados pessoais e sobre a obtenção de consentimento para tratamento de dados sensíveis e de crianças e adolescentes. Agora será hora de revisar o tratamento de dados, a obtenção de consentimento, as políticas de uso e privacidade. É importante que o plano de ação contenha cronograma com fases, metas e prazos bem definidos. E o mais importante de tudo é manter-se a avaliação sistemática do programa em prol da cultura de proteção de dados pessoais.

6. CONCLUSÃO

Grande parte das empresas de pequeno e médio porte relatam terem sofrido em 2019 ao menos 1 incidente de vazamento de dados, sejam eles relacionados ao furto ou roubo de dispositivos móveis, sejam relacionados aos ataques às redes ou ainda relacionados a simples remessa de e-mail contendo dados pessoais de clientes para o destinatário errado. Pesquisas demonstram, ainda, que incidentes de segurança muitas vezes partem de pessoas internas à própria organização.

Em recente pesquisa realizada em 2020 pela CISCO com mais de 2800 profissionais de segurança em organizações de vários tamanhos em 13 países obteve-se o relato de que 70% dos entrevistados perceberam benefícios empresariais como resultado dos investimentos em privacidade de dados, em especial em relação a maior confiabilidade do cliente. 82% dos entrevistados entendem que Certificações de Privacidade de dados pessoais estão se tornando um fator importante no momento da escolha de um fornecedor de produto ou serviço. Por fim, destaca-se que, dentre os entrevistados, verificou-se que em média a cada um dólar investido obteve-se o retorno de 2.7 dólares na operação.

Esta nova era de proteção de dados pessoais é permanente e o único caminho possível é o da adequação à Lei Geral de Proteção de Dados. Aqueles que perceberem que estar em conformidade com a legislação de proteção de dados pessoais é mais do que simplesmente a imposição de novas obrigações ao escritório, compreendendo a importância da proteção dos dados pessoais, estarão à frente da concorrência e terão a possibilidade os novos nichos de mercado que estão surgindo em decorrência desta nova era de cultura de proteção de dados pessoais advindos da edição da LGPD.

REFERÊNCIAS BIBLIOGRÁFICAS

BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasilía, DF:Presidência da República [2019].

CHIAVENATO, Idalberto. Gestão de Pessoas e o Novo Papel dos Recursos Humanos nas Organizações. Rio de Janeiro: Elsevier, 2004.

PINHEIRO, Patricia Peck. Proteção de Dados Pessoais: Comentários a Lei n. 13.709/2018 (LGPD). 2ª Ed. São Paulo: Saraiva Educação, 2020.

 

Autoras:

Patrícia Gonçalves dos Santos Advogada, pós-graduada em Estado Democrático de Direito pela Fempar, pós-graduanda em Direito Penal e Direito Processual Penal pela LFG. Membro da Comissão de Inovação e Gestão da OAB/PR.

Rafaela Vialle Strobel Dantas Advogada. MBA em Direito da Economia e da Empresa pela FGV/RJ. Especialização em Direito Administrativo pela UNICURITIBA. Liderança integral pelo Integral Leadership Program – ILP – FAE/NOVA School of Business and Economics de Lisboa. Tributação de Negócios da Economia Digital, pela FGV/SP. Membro da Comissão de Inovação e Gestão da OAB/PR. rafaela@strobeldantas.adv.br

 

Publicado em https://www.oabpr.org.br/wp-content/uploads/2021/10/e-book-direto-e-inovacao-vol-5.pdf