LGPD
SUMÁRIO:
- INTRODUÇÃO
- O QUE É A LGPD?
- QUAL A IMPORTANCIA DA LGPD PARA A SUA EMPRESA?
- O QUE A LGPD PROTEGE?
- COMO FUNCIONARÁ A FISCALIZAÇÃO?
- COMO É POSSIVEL ADEQUAR A SUA EMPRESA?
- ÁREA JURÍDICA
- ÁREA DA TECNOLOGIA DA INFORMAÇÃO
- GOVERNANÇA CORPORATIVA
- QUAIS SÃO OS GANHOS COM A ADEQUAÇÃO E QUANDO ENTRARÁ EM VIGÊNCIA?
- PASSOS PARA IMPLEMENTAR A LDPD EM SUA EMPRESA
1. INTRODUÇÃO
Este documento foi elaborado afim de esclarecer a lei geral de proteção de dados (LGPD) e como adequar a sua empresa as novas normas sobre a manipulação de dados de terceiros. O documento ainda sugere como deverá ser formada a equipe multidisciplinar (Jurídico, TI e Governança) e suas principais atribuições para o ajustamento dos processos, pessoas e tecnologia. Tem que funcionar como um tripé organizacional, com plenas condições de implementar as devidas adequações da LGPD na sua empresa com segurança e autonomia.
A adequação de uma empresa aos critérios da LGPD é um processo complexo que envolve os ambientes de tecnologia, jurídico e governança. Seja um negócio ligado à produção de bens ou prestação de serviços, todos precisarão olhar para a segurança da informação e também revisar seus instrumentos contratuais observando cláusulas de tratamento de dados com clientes diretos, parceiros e colaboradores, tudo sob a ótica da governança corporativa.
2. O QUE É A LGPD?
Sancionada em 2018, a Lei n. 13.709/2018, Lei Geral de Proteção de Dados (LGPD) aumenta a privacidade e proteção de dados pessoais e define o poder das entidades regulamentadoras para realizar a fiscalização das organizações. Todas as empresas deverão adequar os mecanismos de interação com o titular dos dados e garantir segurança de tais informações de forma transparente, visa equilibrar a inovação e eficiência econômica com a preservação dos direitos do indivíduo. A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.
3. QUAL É A IMPORTANCIA DA LGPD PARA A SUA EMPRESA ?
Toda empresa, independente do seu campo de atuação precisa dar a devida atenção à LGPD, a fim de evitar perdas decorrentes de infrações, sanções e multas. Diante disso, torna-se necessário saber sobre o que e como a nova Lei estabelece tal proteção.
4. O QUE A LGPD PROTEGE?
Os dados pessoais, isto é, toda informação que seja possível identificar ou associar à pessoa natural (titular) da qual se refere (art.5º, I, LGPD). É estabelecido uma base legal para o tratamento dos dados pessoais, o qual envolve desde sua coleta, armazenamento e descarte (art. 5º, X).
Nesse sentido, a Lei designa agentes de tratamento: controlador, responsável por tomar decisões; e, operador, incumbido a tratar os dados em nome daquele. Desta maneira, os agentes possuem o dever de realizar o tratamento, respeitando os direitos dos titulares, dos quais os previstos no art. 6º decorrem dos seguintes princípios:
- Finalidade específica e informada explicitamente ao titular;
- Adequação à finalidade previamente acordada e divulgada;
- Necessidade do tratamento, limitado ao uso de dados essenciais para alcançar a finalidade inicial;
- Acesso livre, fácil e gratuito das pessoas à forma como seus dados são tratados;
- Qualidade de dados, deixando-os exatos e atualizados, segundo a real necessidade no tratamento;
- Transparência, ao titular, com informações claras e acessíveis sobre o tratamento e seus responsáveis;
- Segurança para coibir situações acidentais ou ilícitas como invasão, destruição, perda, difusão;
- Prevenção contra danos ao titular e a demais envolvidos;
- Não discriminação, ou seja, não permitir atos ilícitos ou abusivos;
- Responsabilização do agente, obrigado a demonstrar a eficácia das medidas adotadas.
5. COMO FUNCIONARÁ A FISCALIZAÇÃO E QUAIS SÃO AS PERDAS ?
A Autoridade Nacional de Proteção de Dados (ANPD), foi criada pela Medida Provisória nº 869/2018, porém ainda não possui estruturação e composição prática. Compete à ANPD a regulamentação da LGPD, a fiscalização do cumprimento da Lei, instauração de processos administrativos e aplicação de sanções. O descumprimento à LGPD acarreta sanções que variam entre advertências ou multa até proibição parcial ou total do exercício de atividades relacionadas ao tratamento. A multa é por infração, no valor de até 2% do faturamento da empresa, limitado até cinquenta milhões de reais; e, pode ser diária (art.52, II; III).
Ademais, as sanções consistem na publicação da infração, bloqueio ou perda dos dados a que se refere a violação (art.52, IV-VI). Para empresas de pequeno porte, a multa aplicada será abaixo do limite previsto, em virtude do regime diferenciado (art. 170, IX; art.1°; 65-A, LC123/2006).
Sobretudo, se a LGPD for violada por qualquer empresa cuja atuação seja baseada em tratamento de dados, esta terá sua reputação e existência comprometidas. Tais fatos decorrem da possibilidade da publicação da violação cometida e do bloqueio da atuação, o que potencializará a perda de clientes; logo, de faturamento.
6. COMO É POSSIVEL ADEQUAR A SUA EMPRESA?
Com uma atuação conjunta de um time multidisciplinar que une expertises em soluções, por meio de um tripé formado por profissionais das áreas jurídica, tecnologia da informação e da governança corporativa (gestão de riscos e compliance), onde as suas principais ações serão nas Pessoas, Processos, e Tecnologias envolvidas no tratamento de dados que a empresa concentra. A seguir algumas das atividades relacionadas a cada área de conhecimento que poderá ser afetada na adequação, salientamos que as atividades sugeridas são primarias na adequação a LGPD, a complexidade das atividades aumenta na correlação com o tamanho da empresa e os segmentos de atuação (p.e.: educação, tecnologia, saúde, serviços etc.)
7. ÁREA JURÍDICA
- Reestruturação da política de privacidade e termos de uso;
- Criação de política de violação de dados com prazos de notificação.
- Revisão dos contratos ou acordos de parceria com clientes e fornecedores, adequando-os ao novo momento, Afinal, a grande maioria deles não compreende a questão da responsabilidade e os limites de uso dos dados pessoais por terceiros. A LGPD enfatiza as transações de dados internacionais como criticas no tratamento, devendo o time jurídico mitigar todos os processos relacionados as transações internacionais afim da adequação as novas normas.
- Acompanhamento do time jurídico em cada etapa do processo para direcionar as prioridades na adequação da empresa.
8. TECNOLOGIA DA INFORMAÇÃO
- Conhecimento do fluxo de dados da empresa;
- Nomeação do encarregado pelos dados (Data Protection Officer (DPO), pessoa física ou jurídica responsável em estabelecer a comunicação entre a ANPD e os titulares dos dados.
- Melhorias no sistema de descadastramento, exclusão dos dados e notificação solicitada pelo titular dos dados.
- Medidas técnicas para assegurar a proteção dos dados pessoais e mitigação dos riscos nos sistemas de armazenamento e tratamento dos dados.
9. GOVERNANÇA CORPORATIVA
- A adoção de um programa de Boas Práticas de Governança (Ética e Compliance) auxilia na promoção de condutas compatíveis com a LGPD, pelo viés operacional e preventivo.
- A Seção II : Das Boas Práticas e da Governança da LGPD, anuncia que os controladores poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
- Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado.
- Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados.
- Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil.
10. QUAIS SÃO OS GANHOS COM A ADEQUAÇÃO E QUANDO ENTRARÁ EM VIGÊNCIA ?
A conformidade à Lei potencializa vantagem competitiva; atração de investidores e de clientes; logo, aumento de faturamento e redução de riscos.
Vale ressaltar que, em caso de incidentes, a comprovação de boas práticas e governança é critério atenuante das sanções administrativas.
O período de vacatio legis das sanções da lei, prorrogado, por força da Lei nº 14/10/2020, para agosto de 2021. Todavia, isso não é motivo para adiar a adequação à lei, uma vez que decisões judiciais de 2019 demonstram que a proteção de dados pessoais já é uma realidade no Brasil. Esse sistema de proteção é estabelecido por meio da aplicação de regras do Marco Civil da Internet, da Lei 12.414/2011 e do
Código de Defesa do Consumidor. Portanto, fica evidente que as empresas precisam tratar a adequação à LGPD, não como um obstáculo, mas sim como oportunidade de permanecer e crescer no mercado.
11. PASSOS PARA IMPLEMENTAR A LGPD EM SUA EMPRESA
1- Estruturar o comité de proteção de dados (Alta Gestão, RH, TI , Legal , Produção, Fiscal, Comercial, etc.).
2- Indicação do DPO (Encarregado pela proteção de dados).
3- Sensibilização de todos os colaboradores do impacto da LGPD sobre o negócio da empresa.
4- Seção da LGPD no site da empresa.
5- Elaboração dos 7 documentos SGSI (Sistema de Gestão da Segurança da Informação).
- Politica de Privacidade.
- Politica de proteção de dados.
- Código de conduta.
- Formulário de notificação a ANPD ( Agência Nacional de Proteção de Dados)
- Formulário para notificação do Titular.
- Elaboração do RIPD ( Relatório de riscos e impactos a proteção de dados pessoais, exigência da LGPD) contendo descrição dos dados, Metodologia de coleta e segurança das informação, analise do controlador, salvaguardas e mecanismos de mitigação de riscos adotados para a proteção dos dados de todos os processos da empresa que envolvam tratamento de dados.
- Elaboração do DPIA (Avaliação do Impacto a Proteção dos Dados) para cada processo envolvido contendo a fundamentação do processamento dos dados . Para efeitos de melhor compreensão, pode-se dividir um DPIA em 3 etapas:
- Risk Assessment (Processo de avaliação de riscos)
- Risk Management (Gerenciamento de riscos)
- Entendimento da organização e processos envolvidos (contexto)
6- Data Mapping e registro de tratamento de dados.
7- Data Discovery, avaliação exploratória do ambiente sistêmico (mapa dos sistemas, banco de dados, aplicativos e repositórios, plataforma em nuvem etc.
8- Clausulas contratuais e termos de confiabilidade, proceder a atualização das clausulas dos contratos de NDA firmados com parceiros e fornecedores que realizam algum tratamento de dados pessoais, assim como os contratos firmados com funcionários.
9- Direito dos Titulares e comunicação a ANPD, estabelecer processos de gestão sobre o direito dos titulares e comunicação a agência em caso de incidente de segurança.
10- Programa de Governança de Privacidade
- Reuniões ordinárias ou emergenciais do comité de gestão de proteção de dados para avaliação do SGSI.
- Avaliação de relatórios de impactos a proteção de dados (DPIA).
- Avaliação do relatório de impacto a proteção de pessoais (RIPD), em caso de algum incidente com a segurança dos dados que tenha sido detectado ou denunciado a empresa ou a ANPD.