Vivemos em uma sociedade onde dado pessoal é sinônimo de poder!
Isso porque, os dados pessoais, além de identificarem pessoas, falam muito sobre elas. Identificam seus desejos, suas inclinações de consumo, suas vulnerabilidades, suas identidades político-ideológicas, etc.
Portanto, falar de proteção de dados na sociedade da informação é falar, em amplo espectro, de dignidade da pessoa humana e, objetivamente, de garantia da segurança do titular.
Dignidade da pessoa humana pelo fato dos dados pessoais revelarem a privacidade do titular, assim como por serem estes uma ferramenta de respeito ou discriminação, a depender de como sejam manejados. Segurança, por inúmeras razões, dentre as quais estão o assédio de consumo, a criação de armadilhas para golpes digitais, fraudes eletrônicas, dentre outros.
Dessa forma, observamos que o mundo inteiro se movimenta para garantir a proteção de dados pessoais, tornando este um requisito de sobrevivência no mercado e, também, um atributo de marca. Hoje, no Brasil, com a LGPD em vigor, a preocupação com a proteção de dados é, ainda, cumprimento de obrigação legal.
Empresas e instituições públicas que não estiverem, portanto, adequadas às exigências da LGPD – e das demais legislações de proteção de dados que alcancem as suas operações – correm riscos de sanções administrativas, condenações judiciais e perdas reputacionais de valor incalculável.
Além das sanções administrativas e condenações judiciais, falamos em perdas reputacionais pelo fato de um vazamento de dados ser, comprovadamente, causador de danos para a imagem da organização perante o mercado, o que no cenário atual de grande velocidade nas comunicações e alcance das redes sociais, representa considerável desvantagem competitiva para a realização e manutenção de relações comerciais. Parcerias que demandaram anos para serem consolidadas, podem ser abaladas ou até desfeitas em função da inadequação à LGPD.
Por este motivo, tanto para a prevenção das sanções previstas no Art 52 da LGPD, como das condenações judiciais indenizatórias pelos danos causados à privacidade dos titulares, as medidas de governança exigidas pela legislação representam verdadeiro cumprimento das obrigações legais, assim como ferramenta de prestação de contas hábil à demonstrar a boa-fé do controlador perante a Autoridade Nacional de Proteção de Dados (ANPD), a sociedade e às demais instituições do sistema de justiça.
Neste sentido, é importante reforçar que o processo de adequação à LGPD não se dá de forma automática ou mesmo unilateral e imediata. É preciso investir com seriedade e compromisso na segurança da informação, treinamento e conscientização de pessoas, adequação de contratos e implementação de políticas e termos para estabelecer novos compromissos para todos os agentes de tratamento.
No regulamento de dosimetria e aplicação de sanções administrativas, a ANPD enumerou como critérios:
- Gravidade e natureza das infrações e dos direitos pessoais afetados;
- Boa-fé do infrator;
- Vantagem auferida ou pretendida pelo infrator;
- Condição econômica do infrator;
- Reincidência;
- Grau do dano;
- Cooperação do infrator;
- Adoção de mecanismos e procedimentos internos capazes de minimizar o dano;
- Adoção de política de boas práticas e governança;
- Pronta adoção de medidas corretivas; e
- Proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Portanto, para demonstrar o cumprimento da legislação e adequação à LGPD ou, ainda, a existência de fatores atenuantes na dosimetria, é importante que se tenha como demonstrar a governança dos dados pessoais em tratamento, o que é feito através de documentos de evidência coerentes com a realidade da organização. Ou seja: mapeamento de dados, políticas, termos, contratos e treinamentos.