A Lei Geral de Proteção de Dados Pessoais, conhecida pela sigla LGPD, é a lei que tem como objetivo estabelecer normas para o uso de dados pessoais em todos os setores da economia, de forma a garantir mais segurança em relação às informações compartilhadas pelas pessoas. Na prática, é uma lei que estabelece regras às empresas e organizações, modificando a forma como são coletados, armazenados, tratados e compartilhados dados pessoais.
A LGPD foi sancionada no Brasil em agosto de 2018, porém, somente agora é que passarão a vigorar punições a empresas e órgãos públicos que não se adaptarem à norma. A partir de 1º de agosto de 2021, as obrigações se descumpridas ou não cumpridas de modo adequado trarão a possibilidade de aplicação de penalidades que vão de advertências, multa simples ou diárias – que podem chegar a valores como R$ 50 milhões – até suspensão e proibição de tratamentos de dados, bem como a responsabilização civil dos agentes de tratamento por danos.
O que dizem os especialistas
A LGPD tem como objetivo garantir segurança jurídica ao armazenamento de informações, sejam estas digitais ou não, atribuindo proteção aos direitos fundamentais de liberdade e privacidade. Além disso, é uma lei que visa estimular o desenvolvimento econômico e tecnológico, reforça as relações jurídicas e de confiança do usuário no tratamento dos dados e ainda promove a concorrência e livre atividade econômica.
De acordo com os advogados do escritório Berton & Bortolotto, de Flores da Cunha, especializado em Direito Digital, Privacidade e Proteção de Dados, a adequação das empresas à LGPD é urgente e, para isso, se faz necessário que cada organização estabeleça internamente seus protocolos de como irá lidar com as informações de seus usuários, clientes e fornecedores, sempre adequando aos dispositivos da lei.
“As etapas necessárias para cumprir a nova legislação são muitas e, por vezes, bastante complexas. Costumam envolver a realização de diagnóstico e mapeamento de atividades de tratamento de dados pessoais, elaboração de inventário de dados pessoais, respectivos e fluxos, revisão de contratos junto a terceiros e fornecedores, gestão e prevenção de vazamento e de exposição indevida de dados pessoais e dados pessoais sensíveis”, explica Thomas Berton.
Conforme os advogados da área de Direito Digital, a adoção de medidas de segurança de dados aumenta a proteção contra situações indesejadas como ataques cibernéticos, acessos não autorizados ou vazamentos. “Além de ser imprescindível para a proteção de dados de colaboradores, clientes e fornecedores, a adequação à LGPD minimiza riscos de prejuízos financeiros e de imagem com o vazamento de informações, uma vez que a empresa responde caso ocorra algum vazamento”, reforça Guilherme Bortolotto.
Confira as principais dúvidas em relação à Lei Geral de Proteção de Dados Pessoais:
Que empresas precisam se adequar à LGPD?
Todas. Não raro nos deparamos com pequenas e médias empresas que ainda não estão adaptadas ou preparadas para enfrentar a vigência das sanções e até empresas que desconhecem o que é a LGPD. Entretanto, é nosso papel ressaltar que a LGPD não faz distinção entre portes de empresas; todas são tratadas da mesma forma e com o mesmo rigor legal.
As empresas precisam contratar um profissional especialista em LGPD?
A Lei prevê que as empresas adotem uma série de medidas de segurança, técnicas e administrativas para proteger seu banco de dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, ou qualquer forma de tratamento inadequado. Cada empresa terá que ter, em seu quadro de funcionários ou de forma terceirizada, um DPO ou um Encarregado de Dados – profissional responsável pela gestão dos dados e que atua como elo entre a empresa e os titulares dos dados coletados, também fazendo uma ponte com as autoridades reguladoras.
Como serão aplicadas as punições?
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por aplicar as punições. Entretanto a competência para punir casos do tipo não será exclusiva da ANPD. Isso porque a LGPD deixa claro que as violações de direitos dos titulares nas relações de consumo ou trabalhistas continuam sujeitas à legislação pertinente. Desta forma, as sanções previstas na lei poderão ser aplicadas apenas pela ANPD, mas os órgãos de defesa do consumidor, Ministério Público, Sindicatos podem judicializar questões de violação de dados. Neste sentido, tem-se a informação que entre janeiro deste ano e meados de junho, foram ajuizadas mais de 660 ações envolvendo conflitos de proteção de dados.
As empresas poderão se creditar dos investimentos para adequação da LGPD?
Recentemente houve uma decisão judicial que abriu um importante precedente ao considerar que tais investimentos possuem caráter obrigatório, tornando-os essenciais e relevantes para a atividade da empresa. Na ocasião, a Justiça Federal de Campo Grande proferiu sentença em um Mandado de Segurança reconhecendo o direito ao crédito de PIS e Cofins sobre os gastos com a implementação de ferramentas para atendimento à LGPD. O precedente dessa decisão pode beneficiar as empresas que tenham incorrido em gastos com investimentos relativos à LGPD relacionados a consultorias jurídicas, de segurança da informação, ferramentas e programas de segurança e gestão, qualificação dos profissionais, dentre outros necessários a estabelecer um conjunto de boas práticas e governança aptos a permitir cumprir com as regras da Lei. Entretanto é necessário salientar que se trata de entendimento pioneiro e ainda de primeira instância, sendo recomendado observar o tratamento que será dado ao tema pelos tribunais.
Como será comprovado que a empresa garante a proteção dos dados?
A comprovação de uma empresa acerca da proteção de dados se dá em diversos níveis, seja através de relatórios e mapeamento dos dados, seja por meio de políticas de privacidade e de segurança da informação, seja pelos procedimentos adotados pela organização no exercício de suas atividades. A adequação de uma empresa à Lei Geral de Proteção de Dados se dá através de ajuste de condutas que são documentadas no processo de adequação, mas que implicam em uma mudança cultural na organização, ficando visível aos clientes e ao mercado como um todo o comprometimento daquela organização frente aos dados de seus clientes e colaboradores no exercício de suas atividades corriqueiras.
Quais são as áreas (ou setores) que mais sofrerão com os impactos da LGPD dentro de uma empresa?
Em via de regra, os setores de RH e Comercial das empresas acabam sendo os setores que sofrerão mais impacto, vez que são os departamentos que possuem mais contato com os dados pessoais. Todavia, essa observação não é uma regra imutável, sendo sempre importante observar as particularidades de cada organização diante da execução de suas atividades, mapeando os setores específicos responsáveis pelo tratamento dos dados pessoais.
Quanto tempo leva para uma empresa se adequar 100% à LGPD? Quais são os passos?
Esta é uma resposta muito particular de cada organização, a qual sempre deve ser levado em consideração a quantidade de processos internos que tratam dados, bem como, as medidas de segurança que já estão sendo aplicadas na empresa. Para empresas de médio e pequeno porte, sugere-se que a adequação em todos os níveis ocorra no prazo de 06 meses. Podemos elencar como os passos principais para a adequação o mapeamento do fluxo de dados dentro da organização, para que se tenha o verdadeiro conhecimento e panorama acerca do tratamento realizado pela empresa. Após isso, deve ser realizado o enquadramento do tratamento dos dados de acordo com as bases legais e princípios expostos na LGPD.
Por fim, com essa primeira análise finalizada, se opera diretamente na atuação preventiva, através da criação de políticas internas, treinamentos e mapeamento e redução de riscos e vulnerabilidades relativos aos dados pessoais no desenvolvimento de cada atividade e/ou processo.
Fonte: Adri Silva Conteudo / Foto: Divulgação / Reprodução Internet