Impactos da LGPD em Due Diligence de Terceiros

Due Dilligence de terceiros e a LGPD

A Lei Geral de Proteção de Dados Brasileira, a Lei 13.709/2018, foi publicada em 18 de Agosto de 2018, e entrará em vigor após 18 (dezoito) meses após sua publicação. Esta legislação dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Esta é uma tendência global, e uma necessidade. Basta olharmos para quantos vazamentos de dados de empresas como Facebook, Google e Yahoo já ocorreram. E mais assustador ainda é imaginar o que pode ser feito com os dados vazados.

Já vivemos uma situação concreta, que foi o compartilhamento indevido de dados de usuários do Facebook, vazados através de um quizz, para a empresa de consultoria Cambridge Analytica. Há alegações de que o número de contas vazadas pode ter chegado a 87 milhões de informações pessoais. E o mais assustador são as alegações que estes dados foram utilizados para manipular informação com o objetivo da eleição do Trump.

Caminhando para um mundo onde aparentemente não teremos mais direito à nossa privacidade, me parece primordial termos uma legislação que nos proteja contra o uso indevido e não autorizado de informações pessoais com fins totalmente questionáveis, ou ainda com objetivos absolutamente perigosos, como foi o caso da eleição americana; e também o mesmo tipo de manipulação que pode ter havido com o plebiscito do BREXIT, a saída do Reino Unido do bloco Europeu.

As mudanças propostas pela LGPD

Como em todo artigo que partilho, este não tem intenções acadêmicas, e nem de esgotar o assunto. Então, passemos aos principais pontos da lei.

O primeiro ponto é saber quais são os dados considerados pessoais. O conceito adotado é amplo; pode ser qualquer informação que identifique a pessoa, ou que de forma cruzada com um outro dado, permita identificar o individuo, pessoa física.

Exemplos destes dados são nome, sobrenome, documentos pessoais como CPF, RG, Título de Eleitor, entre outros. Dados como a etnia, raça, religião, estado civil, escolaridade, sexualidade, opinião pública são caracterizados como “sensíveis” porque podem servir de base para usos indevidos, e também recebem proteção.

Um dado anonimizado (quando não identifica diretamente um titular) também pode ser protegido, dependendo do contexto que será utilizado. Lembremos que estes dados são aqueles utilizados para fins de propaganda e para criação de perfis comportamentais.

Exemplo destes dados anonimizados são aqueles que buscamos uma passagem para Londres, e de repente aparece na nossa timeline do Instagram ou do Facebook várias ofertas de companhias aéreas contendo valores de vôos para aquele destino.

Consentimento e Interesse Legítimo

Dois importantes pilares da lei são o consentimento e o interesse legítimo para a captura de dados pessoais. E é neste ponto que irá afetar diretamente os sistemas de Due Diligence de um programa de Compliance.

Quem atua na área tem como um forte aliado o background check. No entanto muitas vezes para que esta checagem seja feita precisamos levantar dados não somente de empresas, mas também de pessoas. E é neste ponto que já vi alguns comentários no sentido de que a LGPD iria criar mais um entrave para a realização de due diligence.

Pessoalmente, não vejo desta forma. No entanto, a maneira como a obtenção de dados é feita, deverá sofrer impacto direto e gerar responsabilidades caso feito de forma que viole a lei.

Due Diligence X LGPD

Na prática, qualquer empresa que faça uso de dados pessoais terá de se submeter à LGPD. Ou seja, terá que pedir prévia autorização e esclarecer o porque de estar coletando tais dados, o modo e a finalidade da coleta, bem como a forma que estes dados ficarão armazenados, por quanto tempo, e com quem serão compartilhados, se for o caso.

Empresas com Sistemas de Due Diligence e as consultorias de background check terão que se submeter e se adaptar para utilizar os dados recolhidos de forma correta.

Programas Globais que precisam fazer background check de indivíduos de várias nacionalidades devem ficar atentos à legislação dos países que estes pertencem, pois se estes países tiverem legislação específica sobre proteção de dados individuais, estas também deverão ser respeitadas.

A questão do armazenamento também deverá ter uma especial atenção, pois várias empresas usam armazenagem em nuvem ou em servidores fora do território nacional e a LGPD determina que o tratamento dos dados seja feito em território nacional.

Conclusão

A Lei Geral de Proteção de Dados coloca o Brasil dentro do rol de países que possuem esta regulamentação bem definido sobre disposição e armazenamento de dados pessoais, a forma como é feita, e como é tratado. Aqui fica a importância da boa-fé e transparência no uso dos dados, procurando penalizar excessos e abusos através da definição da responsabilidade e do dever de indenizar.

E caso a pessoa que você esteja fazendo sua due diligence se recusar a oferecer tais dados, este fato é uma imensa Red Flag, e já vai sinalizar a você problemas futuros.

Congresso Internacional de Proteção de Dados

Texto de Maria Maximina Cartaxo.

Imagem: Freepik