play_arrow

Podcast

Contextualização e aspectos jurídicos da LGPD

Vinícius Perrott 1 de agosto de 2021 4758 18 3


Background
share close

Olá! Seja bem-vindo à minissérie A Jornada da Privacidade.

Esse conteúdo foi idealizado e produzido junto com o time da HSBS Soluções em Tecnologia, uma empresa do grupo Nagem.

O objetivo dessa minissérie de seis episódios é explorar, trazer dicas práticas e valiosas que vão lhe ajudar a avaliar como anda a sua jornada para a adequação à Lei Geral de Proteção de Dados, além de responder as principais duvidas sobre o tema no âmbito jurídico e tecnológico.

No site do Papo Cloud, você vai encontrar a transcrição completa de cada episódio, proporcionando mais facilidade e comodidade para você, ouvinte da minissérie A Jornada da Privacidade. É exatamente isso. Você poderá ouvir, ler e reler quantas vezes quiser.

Além da transcrição, disponibilizamos um guia prático para você conhecer mais sobre a LGPD. O download do guia prático pode ser feito através do link que está na descrição desse episódio, no seu agregador de podcast favorito ou lá no site do Papo Cloud.

Eu sou Vinicius Perrott e neste episódio eu bato um papo com Júlia Medeiros, advogada especialista em Direito Digital.

Junte-se a nós nessa Jornada da Privacidade.

Doutora, seja bem-vinda ao Papo Cloud!

Júlia Medeiros: Olá. Fico muito feliz em estar aqui participando com vocês, com o Papo Cloud.

Vinicius Perrott: Doutora, só para criar um pano de fundo para quem está nos ouvindo entender um pouquinho do seu papel aqui na HSBS e sua função na empresa.

A Jornada da Privacidade 01 - Contextualização e aspectos jurídicos da LGPD - Julia Medeiros

Júlia Medeiros: Atualmente, eu sou especialista em Direito Digital e Proteção e Privacidade de Dados. Tenho certificação pela EXIN que é a especialização em LGPD. Atualmente, estou na HSBS com o projeto de adequação e trabalho com o projeto de adequação a LGPD nas empresas.

Perrott: Bacana, doutora. Vamos começar com a pergunta fundamental que criou o nosso conceito da A Jornada da Privacidade, até mesmo para entender um pouco mais do que é a LGPD, ou a Lei Geral de Proteção de Dados. Essa definição vai nos ajudar a construir um raciocínio todo da nossa minissérie. Então vamos lá, doutora. O que é a Lei Geral de Proteção de Dados?

Júlia: Hoje no mundo digital, com a coleta significativa de dados pessoais, com as informações passando muito rápido, foi necessário surgir essa lei para assegurar direitos e liberdades fundamentais para todas as pessoas físicas, pessoas naturais. A LGPD trouxe apenas para as pessoas físicas, não incluindo as pessoas jurídicas. Se bem que a gente já tinha esse direito à privacidade que não é de hoje desde a nossa Constituição Federal de 88. Existe esse direito à privacidade que é um direito fundamental a todos, a todas as pessoas. E também tem outras leis que abordavam sobre o direito à privacidade. Então a gente verifica que não é de hoje. Como, por exemplo, a Lei Carolina Dickemann, acho que todo mundo conhece, que foram as fotos íntimas da atriz que foram vazadas. E aí surgiu a lei para criminalizar esses CRACKERS, no caso. Existiam outras leis, como o Código Civil também que trouxe vários direitos para as pessoas físicas, como também a Lei do Cadastro Positivo. Enfim, existem varias outras leis. Então a Lei Geral surgiu para trazer essa ideia completa da proteção de dados que estava faltando, trazendo de forma ampla, por isso que se chama geral, ela é multisetorial, todas as opções, as possibilidades de um titular de dados que é o dono de dados fazer jus aos seus direitos. E aí também a lei trouxe várias sanções administrativas previstas no corpo do texto de lei que poderão ser aplicadas depois de um processo administrativo pela ANPD que é a Autoridade Nacional de Proteção de Dados.

Perrott: Doutora, um ponto que você comentou que me veio aqui agora, você citou diversas leis já existentes. Então, de uma forma para o leigo entender, como eu, a LGPD reuniu essas leis já existentes, consolidou e apresentou para o público de uma forma mais simples? Essa leitura que a gente pode fazer?

Júlia: Ela não apresentou de forma mais simples, mas ela trouxe mais direitos para os titulares, como eu havia falado. Ela consolidou todas as informações existentes nas outras leis, mas ela trouxe esses direitos a mais e trouxe bastantes sanções que podem ser aplicadas, como eu havia falado, que até então não existia. Então a gente estava à mercê das instituições, das empresas de utilizarem os nossos dados de qualquer maneira. Então essa LGPD, a Lei Geral de Proteção de Dados, veio para regulamentar esses direitos de uma forma geral, multisetorial, como eu havia falado. E aqui também abordando que não somos os pioneiros. Ao contrário, já estamos até um pouco atrasados. Existem outros países, bastantes países, na verdade, que já têm uma lei setorial nesse sentido, como, por exemplo, a Austrália, a própria África do Sul, México, a União Europeia no todo que tem uma forte regulamentação nesse sentido. Inclusive, a LGPD surgiu baseada na GDPR que é a General Data Protection Regulation que é da União Europeia. Então ela é bem reforçada quanto à proteção de dados. E lá, por exemplo, você só consegue fazer uma parceria… por exemplo, uma empresa daqui do Brasil consegue fazer uamá parceria com uma empresa da Europa se estiver adequada à regulamentação deles. Então a gente já estava até atrasada nessa situação.

Perrott: Doutora, um ponto que é importante a gente entender, a LGPD é uma lei, de certa forma, nova, mas dos sistemas de tecnologia de informação, já está há um bom tempo nas empresas. As empresas já vêm se informatizando desde a década de 80, 90, ganhou uma grande força. E aí chegou a lei. Como que o gestor, a equipe de TI e os gestores de negócios conseguem identificar, saber se eles já estão aptos ou não com os sistemas que eu tenho em casa ou com o que eu já investi dentro da minha área de tecnologia de informação?

Júlia: A segurança da informação trabalha juntamente com a LGPD. Quando a gente vai abordar uma empresa, a gente só sabe se ela está adequada depois de um projeto de adequação a ela. Então a gente passa por várias fazes. A inicial é fazer um mapeamento dos processos. A gente faz um treinamento, um workshop com todos os colaboradores, faz um mapeamento dos processos por todo aquele departamento que faz o tratamento de dados pessoais, então todos eles, independente de ser somente o setor jurídico, como muita gente aborda o setor jurídico ou tecnológico. Não, todos aqueles departamentos que tratam dados pessoais… quando eu falo tratamento, eu falo desde o momento da coleta, armazenagem, qualquer tipo de ação com o dado pessoal. Então tenho que fazer esse mapeamento de processos, verificar a base legal, se existe uma base legal. A LGPD trouxe dez bases legais para dados pessoais e restringiu a oito bases legais para dados pessoais sensíveis. Dados sensíveis são aqueles dados que trazem um poder maior de discriminação, então ele restringiu a oito. E aí verificando como está sendo tratado, se existe uma base legal para isso. Eu digo que a empresa está adequada a trabalhar com aquele dado pessoal e está adequado a LGPD. Então, vendo, verificando também se existiu um gap, se existiu um problema. A gente tenta mitigar esse risco apresentando plano de ação e, posteriormente, tem q     eu ser executado para ficar adequado a LGPD.

Perrott: Bacana. Então quer dizer que existem caminhos para serem seguidos para a gente conseguir identificar exatamente se eu já tenho algo a ser feito ou estou realmente zerado. De repente a minha empresa está muito atrasada nesse processo e tem mais coisas a ser feitas. Não é isso?

Júlia: Normalmente as empresas não estão zeradas. Elas já vêm trabalhando com segurança da informação e com a questão do direito à privacidade que é desde 88. Porém, a LGPD, como eu falei, trouxe esses novos direitos para os titulares e aí tem que ser verificado se realmente vão estar adequados às novas diretrizes da LGPD. Mas, via de regra, eles não estão zerados. Aí depende realmente da análise do projeto feito empresa a empresa.

Perrott: Doutora, quem é que deve participar desse processo de adequação a LGPD dentro das empresas?

Júlia: Todos que trabalham com dados pessoais, todos que tratam dados pessoais, todos os setores. Agora, tem as pessoas que são as pioneiras, as mais responsáveis que são desde a alta gestão, que aí a gente precisa conscientizar essa alta gestão. Elas realmente têm que ter vontade de fazer esse projeto. E a gente sugere, não é uma exigência legal, mas a gente sugere uma criação de um comitê de privacidade que aí depende do tamanho das empresas. A gente sugere que seja de cinco a sete pessoas. E aí vai de acordo com o departamento que utiliza mais dados pessoais, como, por exemplo, o jurídico, RH, o DP, o marketing. E aí a gente escolhe uma pessoa que tem o conhecimento total do processo para ela ajudar a disseminar essa cultura dentro da empresa. Além disso, também tem outro personagem muito importante que é uma obrigação legal que é o encarregado de dados, o chamado DPO, o Data Protection Officer. Ele é uma pessoa que é obrigatória inicialmente ter na empresa. Pode ser que, futuramente, a ANPD traga uma diretriz a respeito disso e venha restringir pelo tamanho da empresa a obrigação ou não, mas, atualmente, todas as empresas têm que ter um DPO na empresa, na instituição, e ele tem a função de monitorar todos os tratamentos de dados e fazer a comunicação com todas as solicitações que vêm de titulares e também da própria ANPD com o titular ou com o controlador que é a empresa. Então esses são os personagens principais, mas lembrando que todos trabalham com dados pessoais são responsáveis e tem que participar do processo de adequação a LGPD.

Perrott: Você falou numa palavra de… comitê. Esse comitê, obrigatoriamente, tem que ser formado pelo mesmo grupo ou jurídico ou de tecnologia? Quem deve participar é um comitê misto ou único, de um perfil único de profissionais?

Júlia: Nossa sugestão e nossa recomendação é que sejam de departamentos diferentes e aqueles que trabalham com mais dados pessoais, departamentos que trabalham com mais dados. Então a gente escolhe, a gente sugere a empresa escolher uamá pessoa que seja do marketing, que seja do RH, que seja do contas a pagar, contas a receber, que trabalham muito com dados pessoais. Então, de cinco a sete pessoas, dependendo do tamanho da empresa, mas não necessariamente ser do mesmo departamento. Ao contrário, a gente prefere que seja de departamentos diferentes.

Perrott: Agora para nos ajudar… duas palavras que são comuns nesse tema de LGPD, que nós ouvimos muito no mercado, uma é adequação e tem gente que fala implantação. A gente entende que implantar é algo mais temporário. Eu faço um esforço, implanto o meu projeto de LGPD e vou embora. Mas eu vejo muito você comentar na palavra de adequação. Consegue diferenciar aqui para gente o que é, de fato, uma adequação e o que é uma implantação? No cunho de LGPD?

Júlia: Por que eu falo muito adequação? Adequação porque LGPD não é uma coisa que eu vou conseguir fazer em três, quatro meses. Não. Eu tenho que realmente dar continuidade. Inclusive, é por isso que surge o papel do DPO, do encarregado, porque ele vai fazer um monitoramento das ações para a vida inteira. Então ad eternum eu vou ter que fazer essa adequação a LGPD dentro das empresas. Obviamente que existe aquela parte inicial de projeto, de start da empresa, mas nunca tem fim. Então é para um longo tempo, a vida inteira da empresa.

Perrott: Agora uma coisa que também o mercado acaba sempre se questionando em relação a LGPD eu só vou ter a segurança dos meus dados dentro do meu próprio data center. Isso é um mito, é uma verdade? Como você tem visto na prática?

Júlia: Não, é um mito. Eu gosto de falar que existem três pilares de adequação a LGPD. O tecnológico, que vai verificar os processos tecnológicos existentes na empresa. Nesse momento, também vai ser analisado o data center, como também vai ser analisado outros processos tecnológicos, como backup, firewall, enfim, todos os processos tecnológicos, não só o data center. Existe o jurídico que vai verificar os documentos, contratos, políticas, demais processos da empresa sob o ângulo de análise jurídica. E existe o de processos que é através do mapeamento de dados, com todos os setores da empresa que tratam dados pessoais, com os especialistas que vão ser contratados para fazer a adequação, vai verificar se existe um gap e se há necessidade de mudança de processos e atividades na empresa como um todo. Então eu digo ais uma vez que é um mito, eu ratifico aqui, porque vão existir três pilares de adequação a LGPD e vai ter que ser passado por todos os departamentos, por todos os setores, independente de ser somente o data center.

Perrott: Uma coisa que o mercado acaba enxergando como… também se é um mito ou verdade. A revisão desse meu processo. Ele tem que ser caracterizado anual, semestral? O que você vê de prática recomendada ou tem uma prática diferente por cada tipo de setor de empresa trabalhando?

Júlia: Aí realmente é verdade. É necessário ter a revisão sempre dos processos, fazer sempre o mapeamento, no mínimo de forma anual que é previsto pela ISO 27000. Então no mínimo de forma anual. E sempre fazendo mapeamento, sempre quando tem um processo novo, registrar esse processo no próprio mapeamento.

Perrott: E a lei foi criada quando mesmo?

Júlia: A Lei 13.709 foi criada em 2018 e entrou em vigor em setembro do ano passado. As sanções administrativas estão previstas para entrar agora em vigor em agosto. E existem dois projetos de lei, um que é para estender o prazo das sanções administrativas para o próximo ano e o outro que é para entrar em vigor agora imediatamente. Porém ainda não teve nenhum andamento quanto a isso. Então, no momento, estão previstas as sanções administrativas para entrarem em vigor em agosto de 2021. Lembrando que essas sanções administrativas são aquelas previstas na LGPD, na lei, no texto da lei. Porém os próprios titulares também têm direito de entrar com a ação judicial, se for o caso, com a ação civil, com pedido de reparação de dado patrimonial, extrapatrimonial ou até mesmo a reclamação trabalhista, se for um funcionário. E também existem outros órgãos fiscalizadores, como o próprio Ministério Público, sindicato, o próprio Procon que já vem atuando bastante baseado na LGPD. E o [Idec], por exemplo, que vem atuando bastante na LGPD que podem aplicar multas e demais sanções administrativas nesse sentido, baseadas na LGPD.

Perrott: Mito ou verdade: a LGPD é só para empresa grande, multinacional ou uma empresa pequenininha também tem que ter a sua atenção à adequação?

Júlia: Mito. A LGPD surgiu para que todas as pessoas, tanto físicas como jurídicas… físicas, desde que trabalhem com fins lucrativos, e jurídicos para todas aquelas tanto de direito público e privado, independente do seu tamanho, estarem adequadas às diretrizes do corpo do texto de lei.

Perrott: Bacana. Doutora, para a gente trazer uma palavra para o nosso episódio aqui que é a contextualização do aspecto jurídico e tecnológico.

Qual a palavra que você define o nosso episódio?

Júlia: Segurança. Com segurança, a gente consegue trazer o direito à proteção e à privacidade.

Perrott: Bacana também, doutora. Muito bem firme. Segurança é importante em todos os aspectos. A gente chegou no finalzinho do nosso episódio. Doutora, eu sempre faço uma pergunta para os meus convidados, nunca buscando o cunho nem certo nem errado, mas a sua experiência, a sua vivência, do que você ouve falar. Então vamos lá. Para Júlia Medeiros, o que é computação em nuvem?

Júlia: É um dos pilares da chamada Quarta Revolução Industrial. Realmente é um novo modelo de negócio e hoje quem não tiver está fora do mercado.

Vinicius: Então fica aqui o meu agradecimento à sua participação, doutora Júlia. E lembrando, para o ouvinte do episódio, toda a transcrição desse material consta no site do Papo Cloud com as ficas fáceis para você anotar, fáceis para você coletar as informações. Doutora Júlia, até a próxima oportunidade.

Júlia: Eu que agradeço e fico à disposição.

Perrott: O que achou do bate-papo? Tem alguma pergunta ou comentário? Mande lá no Instagram do time da HSBS Soluções. É @hsbssolucoes. Aproveite e faça o download do guia prático para você conhecer mais sobre a LGPD. O link você encontra na descrição desse episódio no seu agregador de podcast favorito ou no site do Papo Cloud.

Se você gostou desse episódio, compartilhe com os seus amigos nas suas redes sociais.

E aí?
Tá Na Nuvem?

Convido você a comentar lá no nosso grupo do Telegram: bit.ly/papocloudtelegram.

  • cover play_arrow

    Contextualização e aspectos jurídicos da LGPD
    Vinícius Perrott

Tagueado como: .

Avaliar a postagem
Episódios relacionados
Comentários (0)

Deixe um comentário

Seu e-mail não será divulgado.