A LGPD, Lei Geral de proteção de dados foi aprovada em agosto de 2018 e tem sua vigência programada para agosto de 2020.
Ela trará grandes mudanças na forma como as empresas coletam, armazenam e manipulam dados pessoais de clientes, funcionários e terceiros.
Fique com a gente que vamos explicar nesse artigo como essa lei vai “chacoalhar” os ambientes corporativos de todas as empresas do Brasil, inclusive a sua!
Que problema a LGPD tenta resolver?
Antes de mais nada, temos que entender o que é um dado pessoal.
A definição mais aceita define como dado pessoal qualquer informação que identifique diretamente ou torne identificável uma pessoa natural, um ser humano, capaz de exercer direitos e cumprir obrigações.
A lei geral de proteção de dados nasceu da preocupação das autoridades com os constantes casos de vazamento e má utilização de dados pessoais, tanto no Brasil como em casos notórios nos EUA e Europa.
Fato gravíssimos como esses vêm acontecendo com frequência e na grande maioria das vezes a coleta, a utilização e o compartilhamento desses dados foram feitos sem o conhecimento ou consentimento das pessoas.
Efeitos colaterais
Outro problema é que em muitas situações de vazamentos desses dados as empresas que os detinham sequer avisaram o público e as autoridades sobre o vazamento ou se fizeram, o fizeram muito tempo depois do fato.
Diante desse contexto complicado onde as pessoas são claramente a parte fraca na relação com as empresas a LGPD vem regulamentar os procedimentos relativos à coleta, armazenamento, manipulação e compartilhamento dos dados pessoais.
"7 características de um backup eficaz"
O que é a LPGD na prática?
A LGPD carrega muitas influências da GDPR, a lei europeia de proteção de dados que foi publicada no início de 2018.
A GDPR é uma das mais robustas leis nesse sentido e protege os países pertencentes à união europeia.
Para ler a lei na integra acesse esse link.
A LGPD envolve de forma direta 3 pilares nas empresas: Jurídico, processos e tecnologia.
Vamos analisá-los um a um.
Jurídico:
O departamento jurídico (ou um profissional contratado para esse fim) deverá elaborar a documentação que rege as relações da empresa com os clientes, colaboradores e terceiros, de modo que fique explicitamente claro nos contratos, as autorizações para coletar, armazenar e manipular dados pessoais, bem como deem transparência sobre como eles serão armazenados e utilizados.
Processos:
Nem todas as empresas tem um departamento de processos, mas na prática mesmo que não tenham um, as ações para cumprir a LGPD vão envolver todos os departamentos de forma geral.
As mudanças nos processos envolverão a revisão das formas de coleta, armazenamento, compartilhamento e manipulação das informações para que o acesso às mesmas seja restrito aos colaboradores da empresa que realmente necessitem acessá-las e manipulá-las.
Envolverá ainda a criação de processos para que as pessoas com os quais a empresa mantém relações possam conhecer as informações que a empresa detém e de poder revogar a autorização de armazenamento e manipulação.
Baixe o manual de boas práticas em segurança digital!
Tecnologia:
O departamento de TI foi um dos mais injustiçados à época da promulgação da LGPD.
Muitos empresários e gestores com uma visão então superficial da lei atribuíram à TI a missão de implantar a LGPD.
Mas como visto a conformidade com a nova norma envolve toda a empresa, desde o topo até a base.
Logo a TI não está sozinha nesta.
Esse departamento deverá providenciar os dispositivos tecnológicos necessários à proteção dos dados, bem como monitorá-los para garantir o sigilo, a confiabilidade e a privacidade das informações pessoais dos clientes, mantidas pela empresa.
Além da parte formal que esses departamento executarão as empresas terão que criar uma cultura de boas práticas na proteção de dados, para que esses procedimentos se perpetuem muito além de um mero cronograma.
“Guardião” dos dados
Um outro detalhe importante é que a lei prevê em seu art. 41 a criação do cargo de encarregado pelo tratamento de dados pessoais, no mercado esse cargo tem o charmoso nome de DPO (Data Protection Officer).
Em linhas gerais a empresa deverá estabelecer que um funcionário ou um consultor externo, seja pessoa física ou jurídica exerça o papel de zelar pelo cumprimento da LGPD na organização.
Esse encarregado terá como atribuições:
• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• Receber comunicações da autoridade nacional e adotar providências;
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A lei diz ainda que a autoridade nacional (Uma agência chamada ANPD, criada na lei) poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Particularmente achamos que a lei vai flexibilizar o papel desse encarregado em micro e pequenas empresas, afinal seria um encargo quase proibitivo de ser mantido pela grande maioria delas.
Não que isso abrisse brechas para que as pequenas empresas não cumpram a lei, mas criar um mecanismo que elas cumpram a lei sem oneração excessiva.
Guarda das informações não se restringe ao digital
Aqui tem um detalhe absurdamente importante sobre a nova lei.
Ela regulamenta a coleta, guarda e uso das informações pessoais de modo geral e não apenas as informações digitais.
Então quando um cliente assina uma ficha de papel para abrir um cadastro no crediário por exemplo, a LGPD protege aquela informação do mesmo modo que protege a informação que ele digitou num site.
Isso traz um desafio extra às empresas com relação ao modo de operar seus arquivos físicos.
Quem deverá cumprir a LPGD?
Todas as pessoas físicas que coletem dados pessoais de clientes para a realização de negócios, empresas nacionais e empresas estrangeiras que mantenham negócios no Brasil, ainda que não tenham sede no país.
Quais são as punições previstas pela lei?
As multas previstas na lei de proteção de dados podem chegar a até 2% do faturamento, dependendo do tipo e do grau de violação, sendo o valor máximo de R$ 50 milhões.
Sob qualquer ponto de vista é uma multa pesada, independentemente do porte da empresa.
Quais são algumas das obrigações impostas às empresas pela LGPD?
Como demonstrado a lei terá impacto na rotina operacional das organizações.
Ela estabelece que os titulares podem solicitar o acesso e/ou revisão a seus dados mantidos pelas empresas, portando a criação de mecanismos para atender a essas solicitações será necessária.
Será também necessário o estabelecimento de rotinas para a exclusão de dados nas situações em que o titular requerer a revogação do consentimento de uso.
Outro ponto de forte repercussão entre as empresas está a obrigação da auto-denúncia, ou seja, em caso de vazamento de dados a empresa deve comunicar a ANPD, que é agência reguladora, bem como aos seus clientes e demais terceiros envolvidos que houve o vazamento dos dados, necessitando inclusive detalhar que tipos de dados vazaram.
Essas e outras possibilidades de tratamento dos dados aberta aos titulares vão exigir das empresas o estabelecimento de processos operacionais específicos.
Como se organizar para a LGPD?
Com a lei programada para entrar em vigor em agosto de 2020 as empresas (que ainda não se prepararam) tem que fazer um planejamento para adequação.
Contar com uma assessoria jurídica com certeza será importante.
Outros passos envolvem formar um comitê na empresa que envolva os departamentos diretamente impactos.
Esse comitê deverá elaborar ações que preparem a empresa para o cumprimento da LGPD, tais como:
• Adaptação dos sistemas e dos processos operacionais
• Revisão de contratos e políticas
• Prover meios de que garantam a proteção dos dados contra vazamentos, ataques de vírus, ataques de hackers, sequestros e outros riscos digitais
• Definição do perfil e contratação do encarregado de proteção de dados se for o caso.
• Criação de treinamentos e ações de engajamento dos funcionários com relação à proteção das informações.
Enfim é muito trabalho à vista e não recomendamos que as empresas deixem isso para a última hora, afinal assim como na Europa já é uma realidade, tudo indica que a LGPD veio para ficar.
Participe do nosso webinar gratuito sobre a LGPD
Sabemos que tudo isso é muito novo para as empresas, por isso a Unimake Software, em conjunto com a EarlySec, empresa de segurança de dados e a Advocacia Yuri Mundin promovem no dia 19 de novembro as 19h30 o webinar gratuito “Como implementar a LGPD na prática”.
Para se inscrever clique neste <<link>>, o evento não tem custo e vai ajudá-lo a entender melhor os impactos dessa nova lei, e as ações que devem ser tomadas para manter a empresa em regularidade.
Gostou desse artigo? Assine nossa newsletter para ficar por dentro dos assuntos sobre segurança digital.
Obrigado e até a próxima.