Veja como sua empresa pode se adequar à LGPD

Veja como sua empresa pode se adequar à LGPD
A Lei Geral de Proteção de Dados Pessoais (LGPD –Lei nº13.709, de 14/08/2018) que entrou em vigor em 16 de agosto de 2020, trouxe diretrizes importantes e obrigatórias para o tratamento de dados pessoais, tanto no meio físico, quanto digital e aqui cabe trazer parte do texto da lei, pois assim compreenderemosem sua amplitude, o que vem a ser realmente o tratamento:
toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento,arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”
Lei essa que tem como objetivo proteger os direitos fundamentais de liberdade e privacidade da pessoa natural.
Há um novo marco legal na sociedade, que é uma realidade e que precisa ser entendida e cumprida desde cedo por todo aquele que trate dado pessoal, quer seja uma empresa, quer ser seja um órgão público.
As pessoas que atuam na área de proteção de dados pessoais e privacidade, alertam que independentemente das sanções administrativas, que incluem desde a simples advertência, passando por multas (de até R$ 50.000.000,00) e podendo até mesmo ocorrer a proibição parcial ou total do exercício de atividades relacionadas a tratamento dedados pessoais, que serão executadas a partir de agosto de 2021, é importante se adequar o quanto antes, em relação às novas –não tão novas assim –regras sobre proteção de dados pessoais, porém, não apenas organizações, mas também para pessoais físicas,tais como, profissionais autônomos, liberais, entre outros, contudo cabe informar que se os dados pessoais de terceiros forem utilizados para fins exclusivamente particulares e não econômicos, conforme artigo 4º, inciso I, a lei não é aplicável.

Nesse cenário de legislação, é importante citar que o Brasil passou a ter um órgão para cuidar e tratar desse assunto, que é a Autoridade Nacional de Proteção de Dados (ANPD), que constituída em 06/11/2020 tem a missão institucional de assegurar a correta observância da LGPD e zelar pela proteção de dados pessoais dos cidadãos. Destacamos a seguir algumas atividades já realizadas e que fazem parte do Planejamento Estratégico da ANPD para 2021-2023 que foi divulgado em 01/02/2020:

  • Tomada de subsídios pararegulamentação da aplicação da LGPD para microempresas e empresas de pequeno porte, no dia 29/01/2021 e
  • Disponibilização no sítio eletrônico sobre reclamação do titular dos dados pessoas contra o Controlador; dúvidas; Ouvidoria e pedido de acesso a informações –SIC, no dia 05/02/2021.

Dica:acesse o site da ANPD para acompanhar as atividades:https://www.gov.br/anpd/pt-br) e fique por dentro do que está acontecendo!

O que muda com a LGPD?

Quase tudo –ou praticamente tudo -, a LGPD surge para regulamentar as práticas de tratamento de dados pessoais, que em algumas situações, infelizmente, são feitas sem o conhecimento do próprio titular dos dados pessoais. Desde da análise do seu comportamento nas redes sociais, da coleta da sua localização conforme se desloca na cidade, seu nome, sua data de nascimento, até seu endereço e telefone.

A intençãodessa nova lei é fazer com que qualquer organização, seja ela da iniciativa privada ou da iniciativa pública faça o tratamento dos dados pessoais das pessoas físicas, sem o devido respeito legal, isto é utilizando, pelo menos, uma das bases legais para esse tratamento, como, por exemplo, o seu consentimento explícito, inequívoco e expresso, além de trazer garantias para o titular dos dados pessoais, quer seja na figura de um usuário de algum serviço, cliente de alguma organização e, como também, o funcionário de qualquer organização, que pode exercer diversos direitos.

Esses direitos são, por exemplo, solicitar que seus dados pessoais sejam deletados e aqui cabe um alerta: nem sempre esse direito poderá ser exercido em sua plenitude, pois a LGPD respeita as outras legislações, que por ventura determinam que esse dado pessoal seja “guardado” para fins de aposentadoria, por exemplo, revogar um consentimento, entre outros direitos.

É importante frisar que o tratamento do dado pessoal deve ser feito também levando em conta os princípios, a saber: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

Como podem perceber, o assunto demanda especial atenção por parte de todos nós e aqui não temos a pretensão de esgotar esse tema, mesmo porque seria pouco provável, dada a expressiva quantidade de variáveis, que se fazem necessárias para aplicação em cada caso, cada contexto e em cada cenário de tratamento de dados pessoais.

Lembrem-se: não existe solução única para essa questão de adequação à LGPD e sim um conjunto de medidas, sejam elas técnicas, físicas e organizacionais queirão proporcionar um ambiente adequado para o tratamento do dado pessoal.

Veja por que as organizações devem se adequar à LGPD:

Sanções administrativas
A multa simples por não conformidade com a lei pode chegar até a 2% do faturamento da organização, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$50.000,000,00 por infração.
Dependendo da situação, a organização poderá sofrer outras sanções, tais como, por exemplo: suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
É importante que tais sanções acima citadas não afastam a aplicação de sanções administrativas, civis ou penais definidas na Lei 8078 (Código de Defesa do Consumidor) e, em legislação específica, como por exemplo: Lei 12.529/2011 (Sistema Brasileirode Defesa da Concorrência).
Os titulares dos dados pessoais podem entrar na justiça
As pessoas que se sentirem prejudicadas de alguma forma com o uso dos seus dados pessoais poderão entrar com ação de indenização contra quem que não estiver cumprindo os requisitos da LGPD. As pessoas têm o direito de saber como e para que os seus dados pessoais são tratados.As informações devem ser prestadas de maneira bastante clara e transparente. Qualquer negligência nesse sentido poderá representar uma violação à LGPD, isto é não viabilizar o exercício dos direitos dos titulares dos dados pessoais.
O comércio digital aumentou por causa da pandemia
Se alguma empresa ainda não estava no meio digital, muito provavelmente com a chegada da pandemia do covid-19 acabou ficando conectada. Muitas pesquisas apontam o aumento do consumo via e-commerce, pois quem antes não comprava online, começou a fazer, por questões de segurança e para quem tem condições de ficar em casa, os protocolos sanitários recomendam que as pessoas se mantenham em casa.
Proteger o titular dos dados pessoais, é proteger sua empresa
Quem cuida do titular dos dados pessoais, quer seja na figura do seu cliente ou de seu funcionário, também cuida do seu negócio. Demonstrar que está em conformidade com a lei e com as boas práticas desegurança da informação, que proporcionam o nível de proteção, faz com que seja criado um nível de confiança perante os clientes, funcionários, acionistas, fornecedores, que, por consequência, poderá ser revertido em bons negócios e, principalmente:
Preservar a imagem e reputação de sua organização!

Para auxiliar no início desta jornada de adequação perante a LGPD, conheça algumas etapas que poderão te ajudar nesse assunto, pois temos sempre que lembrar que os projetos devem respeitar as particularidades de cada organização e as etapas servem como uma diretriz nesse projeto e, em alguns casos, essas etapas poderão ocorrer em paralelo.

Conheça as 10 etapas para um projeto de adequação ser bem-sucedido:

  1. Apoio da Alta Direção: estabelecimento da missão, visão e valor em relação à LGPD;
  2. Diagnóstico inicial (análise de gap): envolvendo pessoas, processos e tecnologias;
  3. Mapear e identificar as leis, regulamentos pertinentes à privacidade e proteção de dados pessoais, além da LGPD;
  4. Elaboração do fluxo do dado pessoal (ciclo de vida do dado pessoal);
  5. Inventário de dados pessoais (onde estão? com quem estão? como estão?);
  6. Programa de governança de dados pessoais: papéis e responsabilidades;
  7. Elaboração e revisão dos documentos pertinentes ao assunto LGPD;
  8. Estrutura para atendimento aos direitos do titular dos dados pessoais;
  9. Treinamento e conscientização de todos –do Presidente ao Porteiro;
  10. Programa de melhoria contínua –análise crítica, revisão, criação de indicadores e métricas.

Como material complementar, fizemos umaMatriz Cruzada da LGPDx as normasISO 27701, ISO 27001 e 27002, que tem como objetivoajudar você a entender na prática os artigos de uma lei e como seguir as normas correspondentes pode ser uma tarefa complexa, permitindo uma visualização fácil para o entendimento dos pontos comuns da lei.

Interessado em Conhecer o programa de formação EXIN DPO? ACESSE AQUI!
Artigo publicado originalmente no blog Daryus em 04/06/21
Pós-graduado em Gestão de Segurança da Informação e Gestão de Riscos e Continuidade de Negócios, Atua na área de negócios e atendimento aos clientes da Daryus Consultoria. Possui mais de 17 anos de experiência em projetos relacionados à Gestão de Riscos, Compliance, Governança, Políticas de segurança da informação, revisão de processos e prevenção a fraudes. É instrutor credenciado no EXIN Institute nos cursos: Exin Privacy and Data Protection Essentials (LGPDP); Exin Privacy and Data Protection Foundation (GDPR); Exin Privacy and Data Protection Practitioner (GDPR); Exin Information Security Foundation based on ISO IEC 27001; Auditor Líder ISO 27001 e Lead Implementer ISO 27701. É o principal instrutor do curso para formação do EXIN DPO (atendimento ao GDPR) desde 2018 no IDESP.