Por Maysa Machia Rodrigues Zardo *
Antes de qualquer discussão sobre as principais preocupações advindas com a aprovação da legislação sobre proteção de dados, algumas reflexões precisam ser feitas.
Uma dessas reflexões é se minha empresa coleta, armazena ou processa dados pessoais. Também é preciso avaliar o grau de sensibilidade das informações e se, de fato, é necessária a coleta da quantidade de dados que minha empresa efetua.
Por serem os dados pessoais as informações relacionadas a pessoas naturais identificadas ou identificáveis, o fato de minha empresa coletá-los, armazená-los ou processá-los, as obrigações previstas na legislação deverão ser observadas.
Ainda que pudéssemos aplicar as exceções previstas na Lei às empresas de venda direta, como essas empresas fazem um uso bastante amplo dos dados pessoais dos empreendedores, é recomendável (i) o consentimento prévio de cada empreendedor para a coleta; (ii) a descrição da finalidade desta coleta; (iii) a garantia de segurança e do sigilo das informações; e (iv) o acesso livre aos empreendedores para que eles possam não apenas cancelar facilmente o consentimento como também possam solicitar a correção ou atualização dos dados armazenados.
Além do cumprimento das exigências citadas acima, o grau de sensibilidade dos dados que minha empresa coleta, armazena ou processa deve ser sempre avaliado.
Na hipótese de as informações contemplarem informações sobre a religião dos empreendedores ou de qualquer outro dado sensível, a legislação será ainda mais exigente em relação a sua coleta, que deverá ser consentida pelo titular de forma específica, destacada e para finalidade específica.
De qualquer forma, o que se deve avaliar é se minha empresa precisa coletar, armazenar e processar todos os dados coletados. É possível dizer que, dentre os dados coletados, nem todos são usados para a finalidade que minha empresa descreveu em seus termos aceitos/assinados pelo empreendedor?
Se a resposta for sim, cabe aqui uma nova avaliação sobre o que minha empresa precisa coletar.
Isso porque, caso seja possível minimizar a coleta de dados pessoais aplicando os princípios necessidade e proporcionalidade, não há motivos de minha empresa coletar tantos dados pessoais, coletar dados sensíveis ou, dependendo do caso, coletar dados de menores de idade, cujas regras são ainda mais específicas.
Como não será possível fugir da aplicação da Lei e considerando que, após tantas notícias sobre vazamento de dados, os próprios usuários estarão mais atentos, importante que criemos mecanismos para adaptarmos as nossas empresas às exigências da legislação que entrará em vigor em fevereiro de 2020.
Dentre os mecanismos podemos citar a criação de um grupo multidisciplinar em minha empresa para as reflexões sugeridas neste material e posterior criação de planos de ação e de processos de segurança da informação.
Tais planos e processos, após implementados, deverão ser frequentemente atualizados para evitar não apenas as sanções previstas na Lei, mas, principalmente, riscos à imagem de minha empresa.
* Lei nº 13.709 de 14 de agosto de 2018.
* Maysa Machia Rodrigues Zardo atua no Derraik & Menezes Advogados