Desafios da Lei Geral de Proteção de Dados para as empresas.

Lei Geral de Proteção de Dados

Sumário

Cinthya Imano Vicente Ribeiro
Cinthya Imano Vicente Ribeiro
Natural de São Paulo – SP. Bacharel em Direito pela Faculdades Metropolitanas Unidas – FMU. Especialista em Direito Processual Civil pela Pontifícia Universidade Católica de São Paulo. Especializada em Direito Civil pela Escola Paulista de Direito. Mestrando em Direito Comercial pela Pontifícia Universidade Católica de São Paulo. Idiomas estrangeiros: Inglês e Espanhol.

Apesar de a Lei Geral de Proteção de Dados estar vigente desde 18 de setembro de 2020, muitas empresas ainda não estão adequadas a ela e por diversos fatores: desconhecimento, custo, reflexos econômicos da pandemia, descrédito na eficácia da lei, entre outros.

Fato é que, sendo uma lei, deverá ser obedecida por todos aqueles que tratem dados e apenas as sanções não estão vigentes, por enquanto, até o dia 01 de agosto de 2021 ou caso seja aprovado algum dos Projetos de Lei em trâmite que pretendem seu adiamento para, pelo menos, janeiro de 2022.

As obrigações das empresas quanto ao manuseio e tratamento de informações pessoais

Com a vigência da LGPD – Lei Geral de Proteção de Dados – cada pessoa física ou jurídica que trate dados deverá se adequar ao quanto determina a lei. Para uma empresa, os desafios podem ser maiores, pois se trata, efetivamente, de uma mudança cultural da empresa que deve abarcar todos os funcionários desde o menor cargo até o alto escalão, com a devida consciência da sua importância.

Para entender melhor a Lei Geral de Proteção de Dados, deve haver uma compreensão também sobre privacidade e o quanto a sua adequação pode impactar diretamente na imagem da empresa perante os seus titulares, seus fornecedores e parceiros.
Primeiramente, deve haver a compreensão de que os dados são conceituados como dados pessoais e dados pessoais sensíveis da seguinte forma:

  • Dado pessoal – informação relacionada a pessoa natural identificada ou identificável;
  • Dado pessoal sensível – dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • O dado pessoal sensível, como o próprio nome diz, trata de informações que demandam maior cuidado por parte dos controladores.

Esse conceito é importante para que o controlador de dados possa identificar quais são os dados que trata, bem como quais deles se adequam à finalidade e necessidade da sua empresa, estando em plena adequação.

Com esses princípios bem definidos em relação aos dados, a empresa poderá começar a adequação à lei como um todo, identificando as bases legais que permitam o correto tratamento, lembrando sempre de que o consentimento não é a única e nem a melhor opção para a empresa.

O papel da ANPD – Autoridade Nacional de Proteção de Dados

A ANPD – Autoridade Nacional de Proteção de Dados – é definida no artigo 5º, inciso XIX como “órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional” e, além disso, é responsável por regulamentar algumas das disposições contidas na Lei Geral de Proteção de Dados.

Sua criação se deu por meio da Lei Federal 13.853 de 8 de julho de 2019 que incluiu o artigo 55-A e seguintes, definindo que a Autoridade faria parte da administração pública federal, integrante da Presidência da República, bem como dispôs sobre a estrutura do conselho diretor do órgão, sobre os cargos em comissão e tratou das suas competências, elencando vinte e quatro atribuições no artigo 55-J.

Mas mesmo com a vigência da LGPD, em 18 de setembro de 2020, a ANPD ainda não tinha nomeado os seus integrantes, o que veio a acontecer apenas em 06 de novembro, consolidando, nesta data, a vigência do órgão responsável por zelar, fiscalizar e incentivar a proteção de dados.

Em 27 de janeiro de 2021 a ANPD aprovou seu Planejamento Estratégico para os anos de 2021 a 2023, apresentando o conjunto de normas que será elaborado por ela, sua forma de aprovação, a priorização do tema e o cronograma previsto para cumprimento das metas da Agenda Regulatória.

No final de fevereiro, a ANPD emitiu um comunicado com orientações sobre incidentes de segurança, indicando quais informações devem ser prestadas à Autoridade e recomendando que após a ciência do incidente, e havendo risco relevante, a ANPD seja comunicada com a maior brevidade possível, sendo tal considerado a título indicativo o prazo de 2 dias úteis, contados da data do conhecimento do incidente.

Relatório de Impacto à proteção de Dados Pessoais

O Relatório de Impacto à Proteção de Dados – RIPD – tem seu conceito definido no artigo 5º, inciso VXII da Lei Geral de Proteção de Dados como sendo a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Competirá à ANPD determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Assim, como a própria Lei Geral de Proteção de Dados estabelece, é responsabilidade do controlador elaborá-lo e não do operador ou do DPO, mas este poderá analisar e emitir seu parecer sobre o RIPD, considerando seu conhecimento técnico para tanto.

É importante que o Relatório de Impacto seja elaborado de forma preventiva, ou seja, antes do controlador iniciar o tratamento de dados e já ciente de todo o ciclo de dados a ser tratado, de forma que deve indicar quais os dados tratados e quanto mais específico for, melhor o RIPD elaborado, como, por exemplo, se trata dados físicos ou digitais, quais os dados, se estes são compartilhados, qual o volume de tratamento, se são dados pessoais sensíveis ou não, se tratam dados de crianças ou adolescentes e, também, a relação com os princípios e bases legais.

O RIPD também deve indicar as medidas de segurança das informações e, por fim, quais as medidas previstas a serem tomadas em caso de incidente, com a análise pelo controlador em relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Como as empresas podem se adaptar à nova lei

De maneira geral, as empresas podem ser adaptar à LGPD seguindo os procedimentos:

1) Conscientizar todos os funcionários da empresa, de forma a mudar e adaptar a cultura sob a ótica da proteção de dados;
2) Entendendo os conceitos da LGPD, bem como seus princípios e bases legais, além das competências do encarregado de dados e do controlador;
e seus pilares;
3) Criar um Comitê de Implementação da Proteção de Dados;
4) Nomear o encarregado de dados (DPO);
5) Realizar o mapeamento dos dados, compreendendo todo o seu ciclo de tratamento;
6) Organizar os documentos, contratos, políticas, aviso e site da empresa;
7) Revisar ou implementar uma segurança da informação em relação à gestão de riscos;
8) Realizar treinamentos de forma constante, assim como promover a conscientização da equipe.

Leia também: LGPD -A importância de contratar um escritório de advocacia para adequar uma empresa

Siga nosso Instagram: @aphoffmannadv

LGPD
Compartilhe:
Compartilhar no facebook
Facebook
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima

E-Book Gratuito

Manual prático de como adequar uma empresa à LGPD

A LGPD está em vigor. Você sabe qual a importância de adequar sua empresa para que não receba uma multa?