A Lei Geral de Proteção de Dados Pessoais, diferente do que todos esperavam, já começa a valer agora em setembro. Como se adaptar a tantas mudanças e evitar sanções dos órgãos de controle? Os desafios das empresas são muitos e o tempo estimado para esse processo de implementação varia de 4 a 14 meses
EQUIPE DE COMUNICAÇÃO
Após cerca de oito anos de debate, a LGPD finalmente vai começar a vigorar no Brasil. Aprovada em 2018, a lei tem como base a legislação européia que trata da proteção de dados, o “General Data Protection Regulation” e visa proteger direitos fundamentais garantidos pela Constituição de 1988, como o direito à liberdade, à privacidade e ao livre desenvolvimento da personalidade da pessoa humana. Mas, olhando para a realidade em que vivemos hoje, podemos observar que a importância da LGPD vai além: ela garante segurança jurídica para o consumidor e para as próprias empresas.
De acordo com uma pesquisa feita pela IBM, ⅔ dos brasileiros afirmam que já sofreram vazamentos de dados e 81% dizem ter perdido o controle sobre como os seus dados pessoais são usados. A LGPD garante ao indivíduo a ingerência sobre essas informações, determinando que o uso de dados só pode acontecer com consentimento do titular e estabelecendo regras e limites para empresas a respeito da coleta, armazenamento, tratamento e compartilhamento de dados. E, os que pensam que “a lei não vai pegar” devem ficar atentos, já que foram definidos critérios de responsabilização e ressarcimento de dados considerados bastante rigorosos e criadas estruturas de fiscalização para garantir que a nova legislação seja cumprida.
Há 6 tipos de sanções administrativas previstas para o descumprimento da LGPD, que vão desde advertência com indicação de prazo para a adoção de medidas corretivas e multas que podem chegar a até R$ 50 milhões ou 2% do faturamento da empresa por infração ou incidente. Apesar das multas só começarem a ser aplicadas em 2021, Cláudia Giacomazi, advogada do EGS, reforça a importância das empresas correrem contra o tempo para fazerem as adaptações necessárias, já a partir da vigência da lei, que entra em vigor ainda este mês, os órgãos de controle poderão receber denúncias e fazer diligências nas empresas. “A publicização da infração pode trazer graves prejuízos tanto para a imagem da marca e quanto para o seu faturamento”.
Além disso, Cláudia enfatiza que o prazo para uma empresa conseguir se adaptar às mudanças trazidas pela LGPD pode variar de 4 a 14 meses, dependendo da quantidade de verba disponível para a empresa investir, a maturidade da estrutura de cybersecurity e o comprometimento da gestão. “O principal desafio das empresas para implantação da LGPD será o tempo, na verdade, a falta dele. Se não houver comprometimento, a empresa não vai conseguir finalizar o processo no tempo necessário e o prejuízo será grande”, afirma a advogada. A Lei Geral de Proteção de Dados Pessoais vale para todos, desde órgãos públicos, até microempreendedores individuais e multinacionais. Por ser nova e dar ao consumidor maior controle sobre todo o processamento dos seus dados, desde a coleta, armazenamento, até o tratamento e divulgação, além de todas as sanções previstas as empresas ainda vão ter que lidar com um grande risco de judicialização.
“A gente lembra aqui de quando o Código de Defesa do Consumidor foi implementado. Houve uma enxurrada de processos contra as empresas. Nada garante que o mesmo não vai acontecer agora, com a vigência da LGPD. O consumidor é titular de seus dados e a qualquer momento pode fazer uma denúncia de que eles estão sendo mal utilizados. Como a lei é nova o risco de judicialização é muito grande” – CLAUDIA GIACOMAZI, ADVOGADA EGS.
Para reduzir os riscos é importante que as empresas sejam rápidas e corram para se adaptar. O processo de implementação inicial vai exigir investimento, treinamento e a criação de planos de governança, de canais de comunicação com o cliente e estratégias sólidas de cybersecurity. Os gestores terão que identificar quais dados eles têm dos clientes, onde esses dados estão e como vem sendo utilizados. Hoje em dia, estamos hiperconectados e quase todos os setores das empresas lidam com dados pessoais e sensíveis, desde o rh e do financeiro, até o marketing, o que faz com que o processo não seja simples. Além disso, é preciso pensar que os dados são dinâmicos e que essa estrutura montada deve ser capaz de manter o processamento correto, de acordo com os padrões determinados pela LGPD, de forma contínua e permanente.
É muito importante que os gestores procurem estar bem assessorados, tanto por uma equipe de TI especializada em segurança digital, para ajudar nos processos de criptografia e anonimização dos dados, quanto juridicamente. Para estar de acordo com a LGPD será necessária não só a reorganização da empresa e a adoção do tratamento dos dados existentes, mas uma revisão de contratos com fornecedores e parceiros. Estes também terão que estar adaptados à nova legislação para evitar problemas com a Justiça. “Não adianta a empresa estar de acordo com a lei se os parceiros não estiverem. Se houver qualquer incidente de vazamento de dados por esses parceiros, a empresa responde solidariamente”, orienta a jurista.
Recomendações EGS
Visando a adequação à legislação em referência, sugerimos algumas ações básicas:
- Buscar o envolvimento dos executivos no plano de adequação à legislação de proteção de dados para que o tema ganhe a força e o engajamento necessários.
- Estabelecer ações e um líder para o plano.
- Criar um programa de governança em proteção de dados com a elaboração de medidas e controles para o acompanhamento da implantação de padrões que estejam em conformidade com a LGPD.
- Estruturar a área com a indicação do Encarregado da Proteção de Dados (DPO).
- Elaborar e rever documentos jurídicos com a realização de eventuais adendos aos contratos existentes para a adequação aos padrões de proteção de dados, principalmente para aqueles que envolvam o tratamento e compartilhamento de dados pessoais.
- Garantir o exercício dos direitos dos titulares, mediante a confirmação da implementação das medidas técnicas e organizacionais.
- Realizar treinamentos internos para a apresentação das novas políticas de proteção de dados pessoais e disseminação da cultura empresarial sobre o tema.
O que são dados pessoais?
Dado pessoal, de acordo com a LGPD, é toda informação relacionada à pessoa natural identificada ou identificável. São exemplos de dados pessoais sensíveis informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Assim a LGPD traz um conceito bem amplo e aberto pois qualquer dado, que isoladamente (dado pessoal direto) ou agregado a outro (dado pessoal indireto) possa permitir a identificação de uma pessoa, deve ser tratado como sensível. Como por exemplo, dados cadastrais, data de nascimento, profissão, dados de GPS/localização, identificadores eletrônicos (IP, por exemplo), nacionalidade, gostos pessoais, interesses e hábitos de consumo.
Os dados não são considerados como pessoais quando passam por um processo de anonimização ou quando são usados com interesses não econômicos, ou seja, são utilizados para fins jornalísticos, artísticos, acadêmicos, de segurança pública, de defesa nacional, de atividade de investigação ou de repressão de infrações penais.
A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.
O que a lei quer dizer com tratamento de dados pessoais?
A LGPD define como tratamento de dado pessoal toda operação realizada com esses dados e apresenta um grande rol de ações que são consideradas como tal: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O tratamento de dados pessoais somente poderá ser realizado mediante o fornecimento de consentimento pelo titular, que é a pessoa natural a quem se referem os dados. Esse consentimento deve ser específico, ou seja, referente a uma finalidade determinada. Autorizações genéricas para tratamento de dados pessoais serão consideradas nulas, de acordo com a nova legislação.
Além disso, o consentimento do titular pode ser revogado total ou parcialmente a qualquer momento mediante manifestação expressa, de forma simples e gratuita, através dos canais de comunicação que devem ser criados e disponibilizados pelas empresas.
Quais são os direitos dos titulares dos dados?
Quais são as principais obrigações e medidas a serem tomadas pelas empresas?
Quais as principais etapas de aplicação da LGPD?
I. INDICAÇÃO DPO
A lei prevê e exige que existam encarregados da proteção de dados pessoais (DPO) nas organizações. Recomenda-se que haja uma equipe composta por especialistas jurídicos, especialistas em segurança da informação e DPO com certificação internacional. Tal equipe poderá ser terceirizada.
II. MAPEAMENTO DE DADOS
Elaborar e rever documentos jurídicos com a realização de eventuais adendos aos contratos existentes para a adequação aos padrões de proteção de dados, principalmente para aqueles que envolvam o tratamento e compartilhamento de dados pessoais. Exame analítico e pericial que acompanha o desempenho do tratamento dos dados na empresa, que tem por objetivo averiguar se elas estão de acordo com as disposições planejadas e/ou estabelecidas previamente e se foram implementadas com eficácia e se estão adequadas.
III. MEDIDAS TÉCNICAS
Um processo aprofundado de estudo, análise e avaliação das informações e documentos dos diversos setores de uma empresa. O gerenciamento de vulnerabilidades é uma prática
de segurança especificamente projetada para reduzir ou impedir de forma proativa a exploração de vulnerabilidades de TI existentes em um sistema ou organização. O processo envolve a identificação, classificação, solução e mitigação de várias vulnerabilidades em um sistema.
IV. RELATÓRIO DPIA
Elaborar o relatório DPIA (Data Protection Impact Assessment) que deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Saiba mais sobre a LGPD no Manual LGPD EGS x DZ
Dado pessoal, de acordo com a LGPD, é toda informação relacionada à pessoa natural identificada ou identificável. São exemplos de dados pessoais sensíveis informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Assim a LGPD traz um conceito bem amplo e aberto pois qualquer dado, que isoladamente (dado pessoal direto) ou agregado a outro (dado pessoal indireto) possa permitir a identificação de uma pessoa, deve ser tratado como sensível. Como por exemplo, dados cadastrais, data de nascimento, profissão, dados de GPS/localização, identificadores eletrônicos (IP, por exemplo), nacionalidade, gostos pessoais, interesses e hábitos de consumo.
Os dados não são considerados como pessoais quando passam por um processo de anonimização ou quando são usados com interesses não econômicos, ou seja, são utilizados para fins jornalísticos, artísticos, acadêmicos, de segurança pública, de defesa nacional, de atividade de investigação ou de repressão de infrações penais.
A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.
I. INDICAÇÃO DPO
A lei prevê e exige que existam encarregados da proteção de dados pessoais (DPO) nas organizações. Recomenda-se que haja uma equipe composta por especialistas jurídicos, especialistas em segurança da informação e DPO com certificação internacional. Tal equipe poderá ser terceirizada.
II. MAPEAMENTO DE DADOS
Elaborar e rever documentos jurídicos com a realização de eventuais adendos aos contratos existentes para a adequação aos padrões de proteção de dados, principalmente para aqueles que envolvam o tratamento e compartilhamento de dados pessoais. Exame analítico e pericial que acompanha o desempenho do tratamento dos dados na empresa, que tem por objetivo averiguar se elas estão de acordo com as disposições planejadas e/ou estabelecidas previamente e se foram implementadas com eficácia e se estão adequadas.
III. MEDIDAS TÉCNICAS
Um processo aprofundado de estudo, análise e avaliação das informações e documentos dos diversos setores de uma empresa. O gerenciamento de vulnerabilidades é uma prática
de segurança especificamente projetada para reduzir ou impedir de forma proativa a exploração de vulnerabilidades de TI existentes em um sistema ou organização. O processo envolve a identificação, classificação, solução e mitigação de várias vulnerabilidades em um sistema.
IV. RELATÓRIO DPIA
Elaborar o relatório DPIA (Data Protection Impact Assessment) que deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Saiba mais sobre a LGPD no Manual LGPD EGS x DZ