Agosto de 2021 chegou e as multas e sanções pela Lei Geral de Proteção de Dados (LGPD) já começaram a valer oficialmente.
Mesmo que as punições antes já pudessem ocorrer, através de aplicação de multa pelo Procon, agora as multas e sanções são ainda mais altas, podendo chegar até R$ 50 milhões, o cálculo será sobre o faturamento anual.
Toda empresa lida com dados, independente do tamanho ou do ramo. Portanto, estar por dentro da lei e adequar os processos a ela é fundamental para garantir a segurança e privacidade de clientes, colaboradores e fornecedores e ainda evitar o prejuízo das multas.
O que é a LGPD
A lei Nº 13.709, ou LGPD, foi aprovada em agosto de 2018 e determina novas normas para a forma como os dados de pessoas devem ser coletados, tratados, armazenados e protegidos dentro do território nacional. Alinhando as diretrizes de privacidade destes dados, orientando os cidadãos e regulamentando empresas.
A LGPD, regulamentada pela Autoridade Nacional de Proteção de Dados (ANPD), considera dois tipos de dados: o dado pessoal, aquele capaz de identificar ou tornar identificável o titular (nome, RG, CPF, endereço, e-mail, telefone, etc) e o dado sensível, aquele que pode, por qualquer motivo, gerar constrangimento ou proporcional discriminação ao titular (origem racial, opinião política, religião, preferência sexual, características físicas, etc)
Em resumo, a lei diz que nenhuma empresa pode conter informações sem o consentimento do titular. Lembrando que mesmo com autorização do dono dos dados, é preciso cumprir as responsabilidades jurídicas no tratamento deles.
Dentre os direitos que a LGPD assegura ao titular sobre os dados coletados, estão:
- Saber que os dados pessoais serão usados e como serão tratados;
- Acesso facilitado aos dados pessoais que estão sendo tratados pela empresa;
- Possibilidade de corrigir os dados pessoais quando desatualizados;
- Ter os dados excluídos ou anonimizados quando desnecessários ou em desconformidade com a LGPD.
Como se adequar a nova lei?
Como já comentado anteriormente, as regras da LGPD vêm para assegurar o tratamento de dados em todos os ambientes que lidam com informações, independentemente do tamanho da organização ou do ramo de atuação do negócio.
Desta forma, das empresas de grande porte até as micro empresas precisarão adequar-se à legislação se não quiserem sofrer sanções.
Na prática, a LGPD muda bastante coisa. Mas nada que não possa ser adequado. As empresas agora devem ter atenção redobrada nos processos e sistemas para garantir que todos os dados contidos ali tenham autorização e sejam de fato usados para a finalidade prometida.
Algumas maneiras de adaptar sua empresa à LGPD são:
Segurança reforçada
Garanta a segurança dos dados pessoais adotando medidas de segurança da informação de forma a proteger os dados de acessos não autorizados, vazamentos ou outros incidentes.
E, assim como o cuidado com dados digitalizados, cuide também com as informações em papel, como folhas de rascunho que podem conter informações pessoais.
Atualização e validação de dados desnecessários
Após cumprida a finalidade dos dados tratados, deve haver uma análise sobre a necessidade de eles se manterem sob tratamento da empresa ou se podem ser eliminados.
Revise todos os dados pessoais que você coleta, analisando de onde vêm as informações, por que você está coletando elas e o que é feito com os dados coletados depois.
Gestão sobre os dados do titular
Deve haver um controle sobre o consentimento e anonimização dos dados. Caso um titular queira a anonimização ou mude de ideia e não queira mais que a empresa mantenha eles, essa gestão deve garantir facilidade em se atender ao pedido do titular.
A empresa deve ter um banco de dados organizado para controle dos pedidos dos titulares dos dados, seja para acesso, confirmação, anonimização, consentimento, etc.
Tenha um canal de comunicação sobre a LGPD para que os titulares dos dados possam entrar em contato com facilidade para saber mais sobre as políticas de privacidade da sua empresa.
Governança do tratamento de dados
Tenha uma boa governança dentro da sua empresa e estabeleça boas práticas sobre o tratamento de dados. Estabeleça essa governança através da análise e redução de risco, criação de regras, ações educativas com os colaboradores, mantendo-os sempre treinados e atualizados.
Plano de Comunicação para incidentes
Tenha preparado um plano de comunicação para um possível incidente de segurança. Caso ocorra vazamento de dados ou qualquer incidente, deve ser feita a comunicação aos órgãos de fiscalização ANPD, Procon e Senacon e, dependendo da gravidade, também à imprensa.
Profissional DPO (Data Protection Officer)
Outra mudança que a LGPD traz é a necessidade de ter um profissional especializado com capacitação para atuar nas atividades da LGPD: o encarregado Data Protection Officer (DPO).
Certificação por auditoria
A empresa que lida com dados também deve estar certificada por uma auditoria especializada em práticas referentes à LGPD.
Tenha uma equipe técnica para tomada de decisão: os agentes de tratamento de dados
Sua empresa precisará de uma equipe capacitada, que atuarão como os agentes de tratamento de dados, para serem o controlador, o operador e o encarregado.
O controlador vai tomar as decisões sobre tratamento dos dados, o operador vai aplicar as decisões sobre o tratamento dos dados e o encarregado será o intermediador entre o controlador, o titular dos dados e a ANDP.
Quais as penalidades?
Entre as sanções administrativas que a empresa que descumprir a LGPD pode sofrer estão: advertência com prazo para as correções, publicização da infração, bloqueio dos dados até a regularização, eliminação dos dados e ainda multas de até R$ 50 milhões ou até 2% do faturamento anual da empresa.
Se antes já se falava na adequação do tratamento de dados pessoais, agora, com a lei em vigor, se torna ainda mais importante estar por dentro da legislação.
Busque informações a respeito das mudanças e aprofunde seus conhecimentos sobre as adequações da LGPD dentro de cada processo da sua empresa. Esse aprofundamento é essencial para evitar dores de cabeça futuras por erros, à primeira vista, pequenos.
Invista em um profissional DPO para sua empresa e garanta que os dados estejam sendo tratados da forma correta para evitar irregularidades e prejuízos.
Torne-se um DPO
A Associação Empresarial de Florianópolis está com vagas abertas para o curso on-line de Certificação para DPO (Data Protection Officer). Participe e torne-se um profissional especializado e capacitado em assuntos técnicos, organizacionais e de legislação como Segurança da Informação e Privacidade e Proteção de Dados.
