Após muitos sinais, ao longo de 2023, de que em breve teríamos a primeira conclusão dos processos administrativos sancionadores instaurados pela Autoridade Nacional de Proteção de Dados (ANPD), no dia 06 de julho de 2023 foi publicada a primeira sanção administrativa por descumprimento à Lei Geral de Proteção de Dados Pessoais (LGPD). O que mais chamou a atenção foi o recado implícito: as penalidades foram direcionadas à empresa Telekall Infoservice, uma empresa individual – a mais simples dos tipos empresariais possíveis. Ou seja, as sanções não ficarão reservadas apenas para os gigantes da tecnologia.
Diante desse novo contexto, uma vez que a LGPD se aplica para todas as pessoas jurídicas, de direito público ou privado, é importante o movimento no sentido de iniciar um processo de adequação às empresas, pois a prevenção tem lugar de destaque na legislação, sendo um dos princípios norteadores e, ainda, figurando como uma atenuante das multas que forem aplicadas.
Com efeito, para quem não sabe por onde iniciar essa jornada de adequação de pessoas e processos dentro de uma governança de privacidade e proteção de dados, a resposta é: o primeiro passo é o mapeamento dos dados, sendo, inclusive, uma obrigação específica da legislação a criação de um registro do fluxo de dados pessoais dentro da empresa – e fora dela, em caso de compartilhamento.
Fazer o mapeamento de dados demanda uma imersão no operacional da empresa por parte do profissional que está conduzindo esse processo, permitindo identificar tratamento de dados que passam despercebidos na rotina de trabalho: não fomos ensinados a olhar para isso – até agora! A oportunidade de análise de forma macro desse comportamento, nos defronta com o dever de atribuir uma finalidade e uma base legal para cada tratamento de dado pessoal existente, e também nos convida a refletir: eu preciso desses dados? É necessário, de fato, para alcançar a finalidade atribuída? Por quanto tempo essa informação permanecerá aqui? Como eu protejo essa atividade de guarda?
Ainda, a construção de um mapeamento de dados também leva a diagnosticar as vulnerabilidades existentes dentro da empresa para, após, criar um plano personalizado e factível, com a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Na prática esse documento acabará sendo um mapa do encarregado – pessoa dentro da instituição que será a interface entre titular de dados, ANPD e a empresa – que deverá também ser o responsável por manter a cultura e o estado de conformidade após a finalização do processo de adequação.
Lembre-se: não existirá mais vida empresarial sem LGPD, ela não retrocederá. E precisamos olhar para isso com bons olhos, pois a evolução do ecossistema digital beneficiará a todos, eis que antes de sermos empresários, somos titulares de dados, e também desfrutaremos desse contexto regulado.
Angeline Kremer Grando