Cumprimento da LGPD será fiscalizado por toda a sociedade, entenda

Cumprimento da LGPD será fiscalizado por toda a sociedade, entenda

Associações de defesa do consumidor como a PROTESTE terão papel fundamental na garantia da proteção dos dados pessoais, diz advogado

As empresas terão de estar cada vez mais atentas à segurança dos dados pessoais dos seus clientes quando a LGPD entrar em vigor. Isso porque, além do órgão regulador que vai fiscalizar eventuais vazamentos, a sociedade vai fiscalizar o cumprimento da LGPD na figura dos Procons estaduais, o Ministério Público e as associações de defesa do consumidor, como a PROTESTE.

Quem diz isso é o Advogado especializado em Direito Digital, Privacidade e Proteção de Dados, Direito da Tecnologia e Inovação e vice-presidente da Comissão de Direito Digital OAB/SC, Gustavo Xavier Camargo, em entrevista para o ConectaJá.

Camargo, que também é mentor das aceleradoras Baita, de Campinas – SP, e Spin, de Jaraguá do Sul – SC, fala ainda sobre as empresas que trabalham com bancos de dados de inadimplentes, a figura do encarregado da proteção de dados pessoais (DPO, na sigla em inglês) e o papel do desenvolvedor e das empresas que prestam serviços de software. Gustavo Camargo será um dos professores do curso de LGPD que a PROTESTE está em vias de lançar.

Gustavo Camargo: fiscalização do cumprimento da LGPD de forma ampla

Leia abaixo a entrevista completa:

Como ficam em relação à lei as empresas que trabalham com banco de dados de inadimplentes e comercializam esses dados?

Existe uma hipótese legal para uso de banco de dados de inadimplência, que é para defesa do consumidor. Nesse sentido, a Lei do Cadastro Positivo é complementar à LGPD. Ela dá o contorno do limite do uso de dados pessoais nesse campo. O artigo sétimo, inciso décimo da LGPD diz que o tratamento de dados pessoais poderá ser utilizado para proteção do crédito, inclusive quando ao disposto na legislação pertinente, que é a Lei do Cadastro Positivo. Mas tem que fixar a finalidade. Não pode usar outros esses dados para outros fins além desse.

Como fica o trabalho do desenvolver de sistemas no contexto da LGPD?

Você tem que analisar como é o trabalho desse desenvolvedor. Se ele simplesmente faz para um cliente externo e este é que faz o tratamento de dados pessoais, é uma situação. A outra são empresas que fornecem serviços de software, que é o que chamamos de SaaS (software como serviço, na sigla em inglês). Nesse caso, é muito importante que as empresas entendam a sua posição no tratamento de dados. Ou seja, se ela usa os dados para fins próprios, se ela tem algum ganho efetivo financeiro ou se ela simplesmente é um operador desses dados a mando de outra empresa.

De qualquer forma, o desenvolvedor é uma figura muito importante nesse processo?

Sim, pois mesmo que ele não faça o tratamento de dados, ele tem papel muito importante. Ele está na ponta do desenvolvimento do sistema e sabe onde tem tratamento de dados pessoais. Então ele pode agir de forma a facilitar a vida do cliente dele. As empresas (de SaaS) que souberem dar o melhor suporte para o seu cliente para que ele esteja em conformidade com a LGPD terão um diferencial. É uma das diversas oportunidades que se abre com a LGPD.

Como o órgão regulador vai identificar no ambiente tecnológico vazamentos de informações no dia a dia das empresas?

Um dos princípios que regula a Lei é a responsabilização das empresas que fazem tratamentos de dados e a necessidade de essas empresas prestarem contas. As empresas terão que provar que estão fazendo tratamento de dados dentro da lei. A ANPD vai definir em que periodicidade as empresas terão que prestar essas informações. Mas não é só a ANPD quem vai buscar o cumprimento da lei. Os Procons estaduais, o MP e as associações de defesa de consumidor terão um papel muito importante. E não só nas relações de consumo, mas nas de emprego também. Afinal, as empresas também fazem tratamento de dados pessoais dos seus funcionários.

Quais seriam as boas práticas e a governança recomendadas pela Lei?

A LPGD ainda é muito genérica no que se refere à governança. O importante é que as empresas tenham o controle dos dados pessoais que são tratados e segurança da informação para tratamento dos dados pessoais. Esses são os dois pontos principais para que as empresas tenham uma governança efetiva para o tratamento de dados. Ou seja, elas têm de conhecer exatamente quais as operações de tratamento de dados existentes para garantir que elas estejam lícitas e garantir a segurança da informação desses dados.

cumprimento da LGPD
Além do Relatório de Impacto quais são os documentos obrigatórios para estar adequado à Lei?

O relatório de impacto é um documento por si só. A ideia é que você consiga identificar nesse documento quais são os dados que são tratados, a base legal para o tratamento deles, a origem e a garantia da proteção de dados pessoais a partir desse tratamento de dados. Uma das hipóteses previstas na lei é o legítimo interesse do controlador de dados pessoais de terceiros. A empresa pode ter o legítimo interesse de fazer o tratamento de dados pessoais. Assim, ela pode justificar como vai usá-los. Não dá mais para ter tratamento de dados sem uma justificativa.

O Encarregado de proteção de dados deve ser um profissional versado em leis ou um profissional de tecnologia?

Essa pergunta está em aberto. O presidente Jair Bolsonaro vetou um parágrafo que falava sobre a necessidade de o encarregado da proteção de dados pessoais ter conhecimento regulatório. No entanto, é evidente que esse profissional terá de ter esse conhecimento. A tendência é que o encarregado seja alguém da área jurídica e que tem um conhecimento da área de segurança de informação e tratamento de dados adquirido posteriormente. Até por isso, é um profissional que tem uma perspectiva de remuneração bastante alta.

Curso online com tudo que você precisa saber sobre a Lei Geral de Proteção de Dados (LGPD). Conheça agora arrow_right_alt