LGPD

SUMÁRIO:

1. INTRODUÇÃO
2. O QUE É A LGPD?
3. QUAL A IMPORTANCIA DA LGPD PARA A SUA EMPRESA?
4. O QUE A LGPD PROTEGE?
5. COMO FUNCIONARÁ A FISCALIZAÇÃO?
6. COMO É POSSIVEL ADEQUAR A SUA EMPRESA?
7. ÁREA JURÍDICA
8. ÁREA DA TECNOLOGIA DA INFORMAÇÃO
9. GOVERNANÇA CORPORATIVA
10. QUAIS SÃO OS GANHOS COM A ADEQUAÇÃO E QUANDO ENTRARÁ EM VIGÊNCIA?
11. PASSOS PARA IMPLEMENTAR A LDPD EM SUA EMPRESA

1. INTRODUÇÃO

Este documento foi elaborado afim de esclarecer a lei geral de proteção de dados (LGPD) e como adequar a sua empresa as novas normas sobre a manipulação de dados de terceiros. O documento ainda sugere como deverá ser formada a equipe multidisciplinar (Jurídico, TI e Governança) e suas principais atribuições para o ajustamento dos processos, pessoas e tecnologia. Tem que funcionar como um tripé organizacional, com plenas condições de implementar as devidas adequações da LGPD na sua empresa com segurança e autonomia.

A adequação de uma empresa aos critérios da LGPD é um processo complexo que envolve os ambientes de tecnologia, jurídico e governança. Seja um negócio ligado à produção de bens ou prestação de serviços, todos precisarão olhar para a segurança da informação e também revisar seus instrumentos contratuais observando cláusulas de tratamento de dados com clientes diretos, parceiros e colaboradores, tudo sob a ótica da governança corporativa.

2. O QUE É A LGPD?

Sancionada em 2018, a Lei n. 13.709/2018, Lei Geral de Proteção de Dados (LGPD) aumenta a privacidade e proteção de dados pessoais e define o poder das entidades regulamentadoras para realizar a fiscalização das organizações. Todas as empresas deverão adequar os mecanismos de interação com o titular dos dados e garantir segurança de tais informações de forma transparente, visa equilibrar a inovação e eficiência econômica com a preservação dos direitos do indivíduo. A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

3. QUAL É A IMPORTANCIA DA LGPD PARA A SUA EMPRESA ?

Toda empresa, independente do seu campo de atuação precisa dar a devida atenção à LGPD, a fim de evitar perdas decorrentes de infrações, sanções e multas. Diante disso, torna-se necessário saber sobre o que e como a nova Lei estabelece tal proteção.

4. O QUE A LGPD PROTEGE?

Os dados pessoais, isto é, toda informação que seja possível identificar ou associar à pessoa natural (titular) da qual se refere (art.5º, I, LGPD). É estabelecido uma base legal para o tratamento dos dados pessoais, o qual envolve desde sua coleta, armazenamento e descarte (art. 5º, X).

Nesse sentido, a Lei designa agentes de tratamento: controlador, responsável por tomar decisões; e, operador, incumbido a tratar os dados em nome daquele. Desta maneira, os agentes possuem o dever de realizar o tratamento, respeitando os direitos dos titulares, dos quais os previstos no art. 6º decorrem dos seguintes princípios:

1. Finalidade específica e informada explicitamente ao titular;
2. Adequação à finalidade previamente acordada e divulgada;
3. Necessidade do tratamento, limitado ao uso de dados essenciais para alcançar a finalidade inicial;
4. Acesso livre, fácil e gratuito das pessoas à forma como seus dados são tratados;
5. Qualidade de dados, deixando-os exatos e atualizados, segundo a real necessidade no tratamento;
6. Transparência, ao titular, com informações claras e acessíveis sobre o tratamento e seus responsáveis;
7. Segurança para coibir situações acidentais ou ilícitas como invasão, destruição, perda, difusão;
8. Prevenção contra danos ao titular e a demais envolvidos;
9. Não discriminação, ou seja, não permitir atos ilícitos ou abusivos;
10. Responsabilização do agente, obrigado a demonstrar a eficácia das medidas adotadas.

5. COMO FUNCIONARÁ A FISCALIZAÇÃO E QUAIS SÃO AS PERDAS ?

A Autoridade Nacional de Proteção de Dados (ANPD), foi criada pela Medida Provisória nº 869/2018, porém ainda não possui estruturação e composição prática. Compete à ANPD a regulamentação da LGPD, a fiscalização do cumprimento da Lei, instauração de processos administrativos e aplicação de sanções. O descumprimento à LGPD acarreta sanções que variam entre advertências ou multa até proibição parcial ou total do exercício de atividades relacionadas ao tratamento. A multa é por infração, no valor de até 2% do faturamento da empresa, limitado até cinquenta milhões de reais; e, pode ser diária (art.52, II; III).

Ademais, as sanções consistem na publicação da infração, bloqueio ou perda dos dados a que se refere a violação (art.52, IV-VI). Para empresas de pequeno porte, a multa aplicada será abaixo do limite previsto, em virtude do regime diferenciado (art. 170, IX; art.1°; 65-A, LC123/2006).

Sobretudo, se a LGPD for violada por qualquer empresa cuja atuação seja baseada em tratamento de dados, esta terá sua reputação e existência comprometidas. Tais fatos decorrem da possibilidade da publicação da violação cometida e do bloqueio da atuação, o que potencializará a perda de clientes; logo, de faturamento.

6. COMO É POSSIVEL ADEQUAR A SUA EMPRESA?

Com uma atuação conjunta de um time multidisciplinar que une expertises em soluções, por meio de um tripé formado por profissionais das áreas jurídica, tecnologia da informação e da governança corporativa (gestão de riscos e compliance), onde as suas principais ações serão nas Pessoas, Processos, e Tecnologias envolvidas no tratamento de dados que a empresa concentra. A seguir algumas das atividades relacionadas a cada área de conhecimento que poderá ser afetada na adequação, salientamos que as atividades sugeridas são primarias na adequação a LGPD, a complexidade das atividades aumenta na correlação com o tamanho da empresa e os segmentos de atuação (p.e.: educação, tecnologia, saúde, serviços etc.)

7. ÁREA JURÍDICA

1. Reestruturação da política de privacidade e termos de uso;
2. Criação de política de violação de dados com prazos de notificação.
3. Revisão dos contratos ou acordos de parceria com clientes e fornecedores, adequando-os ao novo momento, Afinal, a grande maioria deles não compreende a questão da responsabilidade e os limites de uso dos dados pessoais por terceiros. A LGPD enfatiza as transações de dados internacionais como criticas no tratamento, devendo o time jurídico mitigar todos os processos relacionados as transações internacionais afim da adequação as novas normas.
4. Acompanhamento do time jurídico em cada etapa do processo para direcionar as prioridades na adequação da empresa.

8. TECNOLOGIA DA INFORMAÇÃO

1. Conhecimento do fluxo de dados da empresa;
2. Nomeação do encarregado pelos dados (Data Protection Officer (DPO), pessoa física ou jurídica responsável em estabelecer a comunicação entre a ANPD e os titulares dos dados.
3. Melhorias no sistema de descadastramento, exclusão dos dados e notificação solicitada pelo titular dos dados.
4. Medidas técnicas para assegurar a proteção dos dados pessoais e mitigação dos riscos nos sistemas de armazenamento e tratamento dos dados.

9. GOVERNANÇA CORPORATIVA

1. A adoção de um programa de Boas Práticas de Governança (Ética e Compliance) auxilia na promoção de condutas compatíveis com a LGPD, pelo viés operacional e preventivo.
2. A Seção II : Das Boas Práticas e da Governança da LGPD, anuncia que os controladores poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
3. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado.
4. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados.
5. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil.

10. QUAIS SÃO OS GANHOS COM A ADEQUAÇÃO E QUANDO ENTRARÁ EM VIGÊNCIA ?

A conformidade à Lei potencializa vantagem competitiva; atração de investidores e de clientes; logo, aumento de faturamento e redução de riscos.

Vale ressaltar que, em caso de incidentes, a comprovação de boas práticas e governança é critério atenuante das sanções administrativas.

O período de vacatio legis das sanções da lei, prorrogado, por força da Lei nº 14/10/2020, para agosto de 2021. Todavia, isso não é motivo para adiar a adequação à lei, uma vez que decisões judiciais de 2019 demonstram que a proteção de dados pessoais já é uma realidade no Brasil. Esse sistema de proteção é estabelecido por meio da aplicação de regras do Marco Civil da Internet, da Lei 12.414/2011 e do

Código de Defesa do Consumidor. Portanto, fica evidente que as empresas precisam tratar a adequação à LGPD, não como um obstáculo, mas sim como oportunidade de permanecer e crescer no mercado.

11. PASSOS PARA IMPLEMENTAR A LGPD EM SUA EMPRESA

1- Estruturar o comité de proteção de dados (Alta Gestão, RH, TI , Legal , Produção, Fiscal, Comercial, etc.).

2- Indicação do DPO (Encarregado pela proteção de dados).

3- Sensibilização de todos os colaboradores do impacto da LGPD sobre o negócio da empresa.

4- Seção da LGPD no site da empresa.

5- Elaboração dos 7 documentos SGSI (Sistema de Gestão da Segurança da Informação).

1. Politica de Privacidade.
2. Politica de proteção de dados.
3. Código de conduta.
4. Formulário de notificação a ANPD ( Agência Nacional de Proteção de Dados)
5. Formulário para notificação do Titular.
6. Elaboração do RIPD ( Relatório de riscos e impactos a proteção de dados pessoais, exigência da LGPD) contendo descrição dos dados, Metodologia de coleta e segurança das informação, analise do controlador, salvaguardas e mecanismos de mitigação de riscos adotados para a proteção dos dados de todos os processos da empresa que envolvam tratamento de dados.
7. Elaboração do DPIA (Avaliação do Impacto a Proteção dos Dados) para cada processo envolvido contendo a fundamentação do processamento dos dados . Para efeitos de melhor compreensão, pode-se dividir um DPIA em 3 etapas:

1. Risk Assessment (Processo de avaliação de riscos)
2. Risk Management (Gerenciamento de riscos)
3. Entendimento da organização e processos envolvidos (contexto)

6- Data Mapping e registro de tratamento de dados.

7- Data Discovery, avaliação exploratória do ambiente sistêmico (mapa dos sistemas, banco de dados, aplicativos e repositórios, plataforma em nuvem etc.

8- Clausulas contratuais e termos de confiabilidade, proceder a atualização das clausulas dos contratos de NDA firmados com parceiros e fornecedores que realizam algum tratamento de dados pessoais, assim como os contratos firmados com funcionários.

9- Direito dos Titulares e comunicação a ANPD, estabelecer processos de gestão sobre o direito dos titulares e comunicação a agência em caso de incidente de segurança.

10- Programa de Governança de Privacidade

1. Reuniões ordinárias ou emergenciais do comité de gestão de proteção de dados para avaliação do SGSI.
2. Avaliação de relatórios de impactos a proteção de dados (DPIA).
3. Avaliação do relatório de impacto a proteção de pessoais (RIPD), em caso de algum incidente com a segurança dos dados que tenha sido detectado ou denunciado a empresa ou a ANPD.