LGPD – Dicas práticas para sua empresa se adequar

LGPD

Sumário

Cinthya Imano Vicente Ribeiro
Cinthya Imano Vicente Ribeiro
Natural de São Paulo – SP. Bacharel em Direito pela Faculdades Metropolitanas Unidas – FMU. Especialista em Direito Processual Civil pela Pontifícia Universidade Católica de São Paulo. Especializada em Direito Civil pela Escola Paulista de Direito. Mestrando em Direito Comercial pela Pontifícia Universidade Católica de São Paulo. Idiomas estrangeiros: Inglês e Espanhol.

Nos últimos tempos, um tema que tem tomado conta dos noticiários é o vazamento de dados e as atitudes das empresas envolvidas frente aos usuários.

O fato de esse assunto estar em voga envolve não só a privacidade das pessoas, como, também, a Lei Geral de Proteção de Dados, conhecida pela sigla LGPD, que trata da proteção de dados de todas as pessoas naturais e está vigente desde setembro de 2020, bem como referida lei traz algumas nomenclaturas, até então não abordadas em outras lei como controlador, operador, tratamento de dados, dados sensíveis, entre outros, o que desperta um pouco de desconfiança e de temor da parte de que em ainda não está familiarizado com ela.

Assim, para tratar da adequação da lei, nada como começar explicando sua importância.

A importância de se adequar à LGPD

Quando se fala em adequação à LGPD, necessário tratar antes de dois tópicos que a permeiam:

1 – Se a lei “vai pegar”;

2 – Só devo me preocupar a partir de agosto de 2021, quando as sanções passarem a ter vigência.

O primeiro ponto, apesar de parecer uma brincadeira jurídica, tem suscitado algumas dúvidas por parte de quem deverá implementar a lei em suas atividades, por se tratar de um tema que desperta controvérsias em vista de nomenclaturas novas e envolver toda a cultura e áreas das empresas.

Proteger os dados é o mesmo que se proteger e é fato que, para isso, precisa haver uma proteção da privacidade de cada um de nós, cidadãos e titulares de todos os tipos de dados como nome, endereço, CPF, geolocalização, biometria, dados sobre saúde, entre outros, assim como por quem trata dos nossos dados.

Assim, a importância da LGPD envolve a imagem que a empresa quer passar para seus fornecedores, parceiros, funcionários e consumidores, demonstrando, assim, não apenas que respeita os ditames da lei, mas acima disso, que se preocupa com ao dados que são tratados por ela e os cuidados com os titulares.

Necessário considerar, também, que a LGPD é baseada na GDPR – General Data Protection Regulation – e por essa razão, ao se adequar à LGPD, tem mais possibilidades de manter relações comerciais internacionais não apenas com a União Europeia, mas com diversos outros países que já legislam sobre o assunto, tornando apta a transferência internacional de dados.

No que se refere ao segundo ponto suscitado, sobre as sanções, ainda é comum que haja confusão sobre a vigência da LGPD, uma vez que as sanções somente passarão a viger a partir de 01 de agosto de 2021, sendo que esta data inicial á está em discussão, e pode confundir ainda mais os titulares e empresas, pois já está em trâmite o Projeto de Lei nº 500/2021 da Câmara dos Deputados apresentado em 19 de fevereiro de 2021 a fim de postergar, até o dia 1º de janeiro de 2022, aas multas administrativas pecuniárias.

Desta forma, há quem possa entender, erroneamente, que o fato da LGPD não ter as multas vigentes significa, também, que a lei em si não está, o que acaba por se tornar uma confusão jurídica que deve ser obstada desde já.

A LGPD está em vigor desde 18 de setembro de 2020 e já pode ser objeto de pedidos e fundamentos em discussões judiciais e administrativas, além do fato de permitir que demais órgãos, que não apenas a Autoridade Nacional de Proteção de Dados, zelem por sua aplicação, tais como o PROCON e Ministério Público.

Logo, quando as sanções passarem a viger, somente tornará o cenário mais preocupante para aqueles que ainda não iniciaram o processo de adequação à LGPD, visto que é um processo que poderá demorar alguns meses, conforme o porte da empresa.

Nesse sentido, vale esclarecer quais as sanções que a LGPD aponta em seu artigo 52:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total mencionado anteriormente;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Em um primeiro momento, o inciso II que trata de uma multa que pode atingir o vultoso valor de cinquenta milhões de reais costuma chamar a atenção, mas há que se atentar ao fato de que este não é o valor da multa em si, pois, na realidade, é calculada considerando o valor correspondente de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos.

Desta forma, esse valor, apesar de expressivo, não é o teto da multa para todas as empresas, devendo considerar o faturamento, a gravidade da infração cometida, o que foi feito para atenuar eventual incidente, além do faturamento do último exercício.

Mas este rol de sanções traz outras possibilidades que, apesar de não envolverem valores pecuniários, são mais preocupantes, pois, imagine uma situação em que uma empresa terá o bloqueio dos dados pessoais a que se refere a infração até a sua regularização?

Caso a empresa não tenha começado o processo de adequação e esse tenha a perspectiva de demorar algo em torno de um mês (exemplo meramente hipotético) para regularizá-la, a infração é traduzida na impossibilidade da empresa não usar esses dados por todo esse período, o que representaria perda significativa nas atividades da empresa, além do quanto apontado acima, da sua imagem perante o mercado.

Mais grave ainda é a sanção que impõe a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados que pode ser traduzida no fato de uma empresa precisar começar toda a sua atividade e tratamento de dados desde o início, como se nova fosse.

Assim, importante que sejam esclarecidas as situações que têm levado algumas empresas à confusão e à falsa ideia de que a LGPD não está em vigor ou que talvez não seja efetivamente aplicada no mundo jurídico, pois não se trata de um modismo e sim de uma lei concreta, vigente e que tem o potencial de mudar completamente as relações comerciais de todas aqueles que tratam dados em relação a todos os titulares de dados!

Dicas práticas de adequação à LGPD

Quando se fala em adequação de uma empresa à LGPD, há quem sustente que pode ocorrer em um prazo curto, de dias ou poucas semanas, entretanto, necessário se atentar ao fato de que a adequação de uma empresa passa, necessariamente, pela mudança de cultura da empresa e envolve todos os funcionários, independentemente do cargo que ocupe na empresa.

Desta forma, seguem algumas dicas simples que podem ajudar a sua empresa começar o processo de adequação e verificar a importância dessa nova lei:

  • Conscientização da empresa e mudança de cultura.
  • Para que haja a colaboração de todos os funcionários da empresa, ele precisam não só entender a lei, mas entender do que se trata a privacidade e a proteção de dados porque cada um é também titular de dados em relação a outras empresas.
  • Essa importância também deve ser aplicada a todos os funcionários, cargos, áreas e setores, sem exceção, de forma que todos possam entender a sua importância e aplicação no dia-a-dia, assim como o que pode ocorrer com a empresa no caso de algum incidente ou violação de dados. Ao entender como isso ocorre na empresa em que trabalha/presta serviços, a tendência é que cada funcionário entende a importância na sua vida prática em relação a outras empresas.

Entenda os termos da LGPD e seus pilares

Normalmente só é aplicável aquilo que é, de fato, entendido. Logo, não é possível que alguém entenda a importância de proteger dados e a quem de se reportar se não tiver estabelecido o mínimo necessário sobre a lei, ou seja, quem são as pessoas conceituadas na lei e quem elas representam na prática na empresa, as responsabilidades, o que significa tratar dados, quais os princípios que norteiam os dados e a que se referem as bases legais.

Importante deixar claro desde o início que pedir o consentimento do titular não é a única solução, tampouco resolve todo o tratamento de dados.

Criar um Comitê de Implementação

Quando falamos da necessidade de mostrar a importância da LGPD na empresa, esse Comitê de Implementação tem função primordial, pois pode reunir representantes de diversas áreas como Logística, Comercial, Recursos Humanos, Jurídico, Tecnologia da Informação, Segurança da Informação, Marketing entre outros e é esse comitê que irá atuar junto com o encarregado de dados.

Nomear o encarregado de dados (DPO)

O encarregado de dados será o responsável por, primariamente, fazer a conexão entre a empresa e os titulares de dados e a Autoridade Nacional de Proteção de Dados, além de trabalhar com o Comitê de Implementação e zelar pela empresa agir de acordo com a LGPD.

Esse encarregado tanto pode ser pessoa física quanto jurídica, devendo ter conhecimento da LGPD, das necessidades e desafios da empresa, das atividades realizadas e da regulamentação setorial da proteção de dados a ser aplicada, de forma que tanto pode ser alguém dentro da empresa quanto fora dela.

Caso seja escolhido um encarregado dentre os funcionários que já trabalham na empresa, este deve atuar de forma independente, ou seja, nada que causa conflito com o seu cargo anterior ou com as pessoas com quem trabalhou.

Realizar o mapeamento dos dados

A empresa deve mapear e classificar todos os dados, separando-os em dados pessoais, dados pessoais sensíveis, como são coletados, como são armazenados e quais as bases legais que as definem em relação à finalidade e necessidade da empresa.

Deve verificar, também, se já existe alguma proteção a esses dados e riscos em relação a eles, fase esta que pode ser uma das mais demoradas em um processo de adequação.

Organizar os documentos, políticas e site da empresa

A empresa precisará revisar ou criar uma política de privacidade de que aponte claramente para todos os funcionários e colaboradores como trata os dados, bem como revisar ou criar demais políticas conforme o segmento que atua, além de revisar os contratos que tenha com parceiros e fornecedores a fim de se adequar a eles.

Nesta fase e na anterior entra a etapa de verificar se os dados que a empresa tem se adequam à sua finalidade e necessidade, pois, apesar da LGPD ter vigência a partir do dia 18 de setembro de 2020, caso trate de algum dado que não tenha relação com os princípios estabelecidos, a empresa deverá descarta-los de forma adequada ou suprir essa questão.

Revisar a segurança da informação

A segurança da informação diz respeito às medidas que a empresa deve tomar para garantir a proteção dos dados contra eventuais ataques de terceiros, tentativas de acesso não autorizado, perdas, adulterações ou vazamentos de dados e se intencionais ou não, além da própria instabilidade e fragilidade do sistema.

Treinamento, revisão e conscientização constante da equipe

Como dito anteriormente, a adequação à LGPD é um processo que envolve a cultura e conscientização de todos que lá trabalham, independentemente da função e cargo que ocupem, por isso é importante que seja mantido de forma constante.

Não basta que haja apenas um treinamento inicial, devendo este se repetir a cada ano, pelo menos, a fim de verificar se não existe nenhum risco e se a empresa esta preparada caso isso aconteça.

A importância do encarregado de dados (DPO)

Como visto no tópico anterior, a LGPD determina que todo controlador de dados nomeie um encarregado de dados (DPO) que tem as suas funções estabelecidas no parágrafo 2º do artigo 41 da referida lei.

O encarregado é o responsável por verificar se a empresa está de acordo com a LGPD, além de ter a função preventiva, atuando na conscientização da empresa, em uma atuação positiva que contribuirá para que os usuários tenham a confiança de que a empresa escolhida trata com cuidado de seus dados.

Leia: DPO – Atuação do Encarregado pelo Tratamento de Dados Pessoais

Para que sua empresa esteja minimamente em conformidade com a LGPD, as dicas apontadas acima começam a estabelecer um início de todo o processo de implantação, bem como o encarregado de dados será uma figura central no processo.

Siga nosso Instagram: aphoffmannadv

LGPD
Compartilhe:
Compartilhar no facebook
Facebook
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima

E-Book Gratuito

Manual prático de como adequar uma empresa à LGPD

A LGPD está em vigor. Você sabe qual a importância de adequar sua empresa para que não receba uma multa?