+ analise

Sua empresa está preparada para se adequar à LGPD?

A Lei Geral de Proteção de Dados – LGPD, Lei nº 13.709/18, começará a vigorar a partir de janeiro de 2021, mas as empresas já estão correndo para se adequarem às exigências impostas, vez que as mudanças são grandes e requererá muito conhecimento técnico e jurídico.

1- A Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado e é aplicável a qualquer operação de tratamento realizada por essas, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

- A operação de tratamento seja realizada no território nacional;

- A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;

- Os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.

2 - O objetivo da Lei é aumentar a segurança dos cidadãos e a transparência das empresas, impedindo o vazamento de dados e a sua utilização não autorizada, podendo os clientes questionar a qualquer momento a situação de seus dados ou até mesmo pedir a exclusão de tudo. Dados sensíveis terá um processo mais rigoroso.

3 - Contudo, a Lei não se aplica ao tratamento de dados pessoais: realizado por pessoa natural para fins exclusivamente particulares e não econômicos; realizado para fins exclusivamente: jornalístico e artísticos; ou acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 da LGPD; realizado para fins exclusivos de: segurança pública; defesa nacional; segurança do Estado; ou atividades de investigação e repressão de infrações penais;

4 - O ponto central da LGPD é a necessidade de consentimento expresso do titular para armazenamento dos seus dados, ou seja, o consentimento específico para finalidades específicas e ser capaz de provar isso a qualquer momento, ficando proibido:

- Vender ou ceder informações de contato de potenciais clientes para divulgação de produtos e serviços por telemarketing, por exemplo;

- O uso dos dados por parte da própria empresa para uma finalidade diferente daquela que foi combinada com o cliente;

- Acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

5 - São direitos dos titulares:

- Confirmação da existência do tratamento dos dados;

- Acesso aos dados, correção, anonimização, bloqueio ou eliminação de dados;

- Informação sobre com quais entidades públicas ou privadas o controlador compartilhou os dados;

- Revogação do consentimento.

6 - A Lei exige que haja a escolha dos agentes de tratamento de dados: do controlador (pessoa responsável por tomar as decisões referentes a tratamento de dados), do operador (quem executa o tratamento em nome do controlador) e do encarregado (atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados) e estabelece as obrigações de cada um.

7 - Dessa forma, as empresas deverão:

- Ter inventário de dados, justificativas lícitas para tratar, observar tempo que os mesmos ficarão guardados, adotar medidas de segurança e prevenção contra violação ou vazamento de dados;

- Analisar quais dados serão colhidos, a finalidade para qual serão usados, o caminho que as informações pessoais percorrem na empresa, ou seja, conhecer toda a vida útil desses dados, desde a coleta até o armazenamento;

- Definir os agentes tratamento de dados: quem será o seu controlador e o(s) operador(es); o encarregado, responsável por fazer o contato com os clientes, com o seu público interno (funcionários) e com a recém-criada agência reguladora.

Ou seja, são adequações a serem feitas:

a) nomeação dos agentes de tratamento;

b) realização de uma auditoria de dados;

c) elaboração de mapa de dados;

d) revisão das políticas de segurança;

e) revisão de contratos;

f) elaboração de Relatório de Impacto de Privacidade;

8 – Violar as normas da Lei acarretará à empresa:

a) Multa de 2% sobre o faturamento bruto da empresa, limitado a R$ 50 milhões por violação - a adoção de política de boas práticas será considerada como critério atenuante das penas;

b) Suspensão ou proibição de tratamento de dados, que podem impactar os modelos de negócios das empresas. Exemplos: Poderá afetar o Big Data, Machine Learning, Inteligência Artificial, Análise do Comportamento dos Usuários e outros.

c) Problemas reputação. Segundo um estudo da Ping Identity:

- 81% das pessoas deixariam de envolver-se com empresas que apresentaram vazamento de dados;

- 55% dos usuários não utilizariam plataformas que compartilham dados pessoais não autorizados.

Dessa forma, apesar da Autoridade Nacional de Proteção de Dados (ANPD), futuramente, regulamentar outras especificidades da LGPD, é importante que todas as empresas de pequeno, médio e grande porte estejam preparadas desde logo, seja porque terão de investir em cibersegurança e implementar sistemas de “compliance” para prevenir, detectar e remediar violações de dados pessoais, seja porque as consequências da não observância com tratamento de dados pessoais podem provocar significativas perdas financeiras e de reputação em qualquer momento e situação.

Empreender em proteção de dados pessoais Foto: Shutterstock

Empreender em proteção de dados pessoais