A Lei Geral de Proteção de Dados Pessoais (LGPD) inaugura um “novo tempo”, provocando grande impacto em nossa sociedade. Poucos escapam do seu alcance. Por isso, muitas organizações (empresas em geral, consultórios, escritórios) já estão na “corrida” para adequarem suas atividades e práticas antes que sejam demandados pelas vias administrativas ou judiciais.
Vale dizer, desde logo, que a LGPD não vem para apenas empoderar o titular de dados, mas será um potencializador de resultados para quem estiver em conformidade com ela. Por exemplo, aquelas mensagens indesejadas que recebemos por e-mail, sms, whatsapp, às quais chamamos de “spam” ou “lixo eletrônico”, que é um artifício que algumas pessoas utilizam para a venda de produtos e serviços, não podem mais ser enviadas sem nenhum critério. Venda de cadastros com nomes e e-mails, então, nem pensar! Pois então, quem souber usar os canais com seus clientes de forma correta, ética, criando uma comunicação de qualidade certamente viabilizará resultados fantásticos. E esse é só “um” exemplo de tantos outros que ilustram essa nova fase que a LGPD estreia.
Com a LGPD surge a necessidade de criarmos uma nova cultura sobre privacidade e proteção de dados pessoais. As pessoas precisam entender que os dados pessoais são seus, e as empresas, profissionais liberais, órgãos públicos e quem mais utiliza esses dados em suas atividades devem compreender que os dados pertencem ao titular. Assim, a partir do momento em que o titular fornece seus dados a alguém, a finalidade do tratamento deve ser previamente informada, expressa. A relação entre titular e controlador (designação legal para quem trata dados) deve ser transparente.
Por exemplo, no final do mês de setembro de 2020, uma construtora paulista foi condenada a indenizar um cliente, porque este provou que ela compartilhara seus dados com parceiros que vendiam produtos relacionados à decoração de ambientes e outros serviços (ele havia adquirido um imóvel pouco antes de iniciar a série de importunações). Esse compartilhamento dos dados do cliente/titular dos dados não havia sido informado a ele prévia e expressamente, o que contraria a LGPD. O processo, embora iniciado antes da entrada em vigor da LGPD e julgado com base em outros dispositivos legais, fez menção expressa à nova Lei, sendo, então, um alerta à toda a sociedade de que uma mudança cultural é necessária e premente. Ou seja, precisamos imediatamente repensar e readequar muitas de nossas condutas, por mais “inofensivas” que elas possam parecer.
Pois bem, a LGPD vem regulamentar o tratamento de dados pessoais, em meios digitais e físicos, realizado por pessoas físicas e jurídicas, de direito público ou privado; e tratamento é toda e qualquer operação realizada com dados pessoais, tais como coleta, recepção, reprodução, armazenamento, processamento, compartilhamento, eliminação etc. Significa dizer: abrange todo o “ciclo de vida” de um dado pessoal, desde a recepção até a sua completa eliminação.
Para tanto, a LGPD estabelece 10 hipóteses nas quais o tratamento pode ser realizado. Nas atividades dos arquitetos, as mais utilizadas provavelmente serão o consentimento, o cumprimento de obrigação legal ou regulatória, quando necessário para execução de contrato, para o exercício regular de direitos e para atender seus interesses legítimos. É muito importante ressaltar que a finalidade do tratamento precisa ser estabelecida antes de ele ocorrer e deve ser sempre documentada; deve ser explícita e informada ao titular, sem possibilidade de tratamento posterior de forma incompatível; deve se limitar ao mínimo necessário, exigindo um especial cuidado quando se tratar de dados sensíveis, que são aqueles referentes, por exemplo, à origem racial ou étnica, à saúde ou à vida sexual, à genética ou biometria. Isso porque o controlador é responsável pelo uso indevido e inadequado dos dados, os quais, se sensíveis, acarretam consequências ainda mais desastrosas ao titular.
Considerando que a lei protege não só os dados pessoais que identificam uma pessoa (dados diretos, como os cadastrais e os de registro), mas também, em determinado contexto, os dados pessoais que possam identificar alguém (dados indiretos), recomenda-se que, ao implementar a lei nos escritórios, seja feita uma criteriosa análise acerca de todos os dados que transitam nos processos internos, inclusive aos riscos a que eles estão expostos. Aqui, uma especial atenção às imagens que, embora sejam o resultado de um trabalho de autoria do profissional, são capazes de identificar os clientes. A depender da situação, controlar e restringir o acesso pode ser uma boa prática a ser implementada, pois sabe-se que a grande maioria dos incidentes de segurança ocorrem por falha humana. Uma observação: quando se fala em incidente de segurança, não quer dizer apenas vazamento de dados de um sistema informatizado via internet. O fato de alguém levar indevidamente para fora do escritório dados pessoais em papel ou em uma pen drive, por exemplo, também caracteriza “incidente de segurança”.
Falando em segurança da informação, é preciso estar ciente de que não há segurança absoluta. Assim como em uma residência podemos instalar os mais modernos dispositivos de alarme e monitoramento e, ainda assim, estarmos vulneráveis à ousadia dos malfeitores, no mundo digital não é diferente. Vírus, ransomwares (arquivos que sequestram dados), malwares (arquivos espiões que capturam dados) são produzidos aos borbotões no mundo todo e a todo momento. Há redes corporativas de grandes empresas que possuem softwares e hardwares sofisticados de proteção que detectam centenas de tentativas de ataques todos os dias. E, em alguns casos, estas tentativas conseguem burlar todas as proteções e acessar os dados.
Mesmo assim, podemos listar algumas medidas básicas para sistemas mais simples que podem prevenir dores de cabeça com o roubo de dados. A primeira delas é ter softwares licenciados, principalmente o Sistema Operacional. Se estiver utilizando o Windows da Microsoft®, o recomendado é que seja a versão 10 ou superior, pois estas já têm arquivos de segurança. O antivírus também deve ser adquirido de alguma empresa de referência no mercado. Não é recomendado utilizar antivírus gratuito, pois eles podem demorar a atualizar os arquivos de proteção, e os vírus mais recentes, nesse meio tempo, virem a infectar o computador. Outra ferramenta importante é o firewall, que previne o computador ou a rede de ataques maliciosos. Há opções de firewall muito em conta para pequenos negócios. Podemos também recomendar soluções mais sofisticadas, como DLP, ISP e outras, mas essas seriam indicadas, devido ao custo, para escritórios maiores, com um número grande de estações de trabalho.
Outro ponto importante a ser observado é quando os dados são armazenados em nuvem. Os serviços de armazenamento em nuvem precisam ser seguros, pois ter os dados em nuvem é ter os dados no servidor (um local físico) de outra empresa. Logo, é necessário ter a garantia de que os dados estão protegidos também nesse servidor, documentar todo o processo de armazenamento, tráfego e segurança dos dados. Para isso, é dever do controlador analisar que tipo de nuvem armazena os dados, se é uma nuvem pública ou privada, qual o nível de confiabilidade do serviço. Ah, e se o servidor em nuvem estiver localizado em outro país, estaremos diante de uma transferência internacional de dados. A LGPD tem regras específicas para a transferência internacional de dados pessoais, e os registros de tratamento dentro do escritório precisam conter essa informação.
É preciso salientar que, independentemente do tamanho do escritório, a adequação à LGPD, no que tange à segurança da informação, é um processo complexo e vai muito além de instalar alguns softwares e hardwares. Também é complexa a implementação da lei no que diz respeito aos colaboradores (empregados, free lancers, estagiários). Até mesmo as relações com os parceiros precisam ser avaliadas, pois, muito embora a LGPD não se destine à proteção de dados de pessoas jurídicas, em algum momento haverá, inevitavelmente, o tratamento de dados pessoais. Além disso, avaliar e adequar os sites, o marketing, o compartilhamento de dados com escritórios de contabilidade, e assim por diante.
Vale alertar, também, que existem outras leis que “dialogam” com a LGPD e que precisam ser observadas em conjunto (Código de Defesa do Consumidor, leis trabalhistas, entre outras). Para estar em conformidade com a Lei, é preciso levar a efeito diversos procedimentos, tais como mapear e inventariar dados, documentar e registrar processos e atividades para que os dados pessoais sejam protegidos e tratados adequadamente, identificar riscos, treinar os colaboradores, revisar e aditar contratos com cláusulas que prevejam os dados coletados, a finalidade, o tempo e a forma de armazenamento, o modo de eliminação etc., atendendo, assim, às regras e aos princípios gerais e específicos da LGPD. Os contratos com terceiros também precisam ser aditados com a inclusão de cláusulas adequadas à LGPD, especialmente em relação às responsabilidades desses fornecedores.
Fazendo uma comparação com o mundo da arquitetura, o ideal é elaborar o melhor “levantamento de dados” possível. Fazer um estudo completo do que já existe no escritório e o que mais precisa ser implementado é a base de tudo. Um diagnóstico exato, com a identificação das deficiências e vulnerabilidades é o ponto de partida. Quanto mais cuidadosa for essa análise, melhor será o resultado final do projeto. Afinal, os profissionais poderão ser demandados tanto pelas autoridades fiscalizadoras como pelos próprios titulares, e estar com os dados estruturados, com toda a documentação “em dia”, será muito mais fácil atender às demandas, pois o prazo legal para respondê-las, de 15 dias, é bastante curto (senão impossível) para quem não está minimamente preparado.
Por fim, oportuno salientar que as atividades com dados pessoais são como um organismo vivo. A cada nova atividade ou a cada alteração das atividades existentes, será preciso (re)avaliar se estão em conformidade com a Lei. E ainda cabe um alerta: a depender da quantidade de dados e de processos internos, bem como do número de sistemas e de atividades de tratamento, a implementação da LGPD nos escritórios de arquitetura pode levar meses para ser concluída. Se vier a ocorrer um incidente de segurança, a primeira coisa que as autoridades irão questionar é o que está sendo feito pelo escritório para entrar em conformidade com a Lei, e isso será levado em conta na aplicação da penalidade.
Em se tratando de proteção da privacidade e dos dados pessoais, a única conduta não tolerável é a inação. A boa notícia é que a partir de uma análise preliminar é possível estabelecer um protocolo mínimo de condutas e ações, que já podem desde logo auxiliar na prevenção de incidentes e que dão um norte para a implementação de um projeto mais completo, que, com tempo e previsão orçamentária, o escritório terá condições de executar, a fim não só de se adequar à Lei, mas evitar danos materiais e reputacionais.
Gaysita Schaan Ribeiro
Bacharel em Ciências Jurídicas e Sociais pela Universidade do Vale do Rio dos Sinos / UNISINOS (1992). Especialista em Direito do Trabalho e Direito Processual do Trabalho pela UNISINOS (2009). Pós-graduanda em Direito Imobiliário Aplicado pela Escola Paulista de Direito / EPD (2020/2021). Pós-graduanda em Direito Digital pela Fundação Escola Superior do Ministério Público do Rio Grande do Sul / FMP (2020/2021). Gestora de Privacidade pela TIexames Consultoria e Treinamento (2020). Membro do Comitê Público da ANPPD®. Membro da Comissão Especial de Proteção de Dados e Privacidade da OAB/RS Subseção Canela/Gramado-RS. Consultoria e Execução de Projetos de Adequação à LGPD. Inscrita na OAB/RS sob n.º 31.724. Sócia de Schaan Advogados Associados S/S.
Orlando Stumpf
Bacharel em Informática pela PUCRS. Pós-Graduação em Administração de Empresas pela FACCAT. Curso de Extensão em Gerência de Projetos pela UNISINOS. Curso de Gestão de Projetos e Produtos com SCRUM, LEAN Software Development e Técnicas de Extreming Programming – XP pela Target Trust. Curso de Gestor de Riscos pela TIexames Consultoria e Treinamento. Profissional com ampla experiência em desenvolvimento de software, além de estratégias de elaboração e lançamento de produtos e serviços. Experiência de mais de 20 anos na área Administrativa, planejamento, implantação e controle das políticas comerciais e de recursos humanos. Expertise em parcerias comerciais, gerência financeira, administrativa na área de atendimento e consultoria. Participação ativa no estudo de viabilidade de projetos, no atendimento a demandas de grandes empresas, serviços de Revisão Tributária. Consultoria e Execução de Projetos de Adequação à LGPD.
