As empresas não têm mais tempo a perder. A LGPD (Lei Geral de Proteção de Dados – Lei nº 13.709/2018) está em vigor desde setembro de 2020. Como não existe prática sem teoria, antes de falar como as empresas estão se preparando, é importante resgatar alguns conceitos. Confira as etapas para esta adequação em nosso blog.
Esta lei foi um marco regulatório em relação à privacidade e proteção de dados pessoais no Brasil. Suas bases estão centradas nos direitos à liberdade e à privacidade das pessoas e proteção de dados. Ainda há um longo caminho de mudança na forma de pensar e agir. Quer um exemplo? Quantas vezes você leu uma política de privacidade ou termos de uso até o final antes de autorizar a continuação de uma compra online?
“Dados são o novo petróleo”
Esta frase, que vem agitando o mundo dos negócios, foi criada por Clive Humby, um matemático londrino especializado em ciência de dados e tem sido repetida por consultores, executivos e interessados em transformação digital. Em tese, representa o alto valor atribuído aos dados e a quem souber fazer bom uso deles e aproveitar todo seu potencial. Falar sobre LGPD começa por contextualizar os motivos pelos quais se fez necessária a criação de uma lei que protegesse os dados pessoais*. Isto porque dados são transformados em informações e, após tratadas, manipuladas e analisadas são utilizadas como conhecimento e inteligência empresarial, que direciona as ações da empresa, voltadas à obtenção do lucro. Estatisticamente, quanto mais orientada a dados uma empresa, mais produtiva é.
*Dados pessoais são quaisquer informações que permitem identificar um indivíduo. Pode ser o nome, o apelido, informações sobre renda, consumo, hábitos de navegação, preferências, cidade e endereço residencial, um endereço de IP, dados de localização etc.
A LGPD chegou para estabelecer as “regras do jogo” a empresas e órgãos públicos na era do big data: ao mesmo tempo em que compreende a importância dos dados para o desenvolvimento econômico, inovação e empreendedorismo, respeita as garantias e direitos das pessoas ao regular o tratamento de dados, desde o momento de coleta, armazenamento, utilização até o seu compartilhamento.
Evite a procrastinação: a lei já está em vigor!
Se a empresa vai ou não se adequar a LGPD não é mais uma pauta a ser decidida em reunião executiva, mas sim, “quando e quais os passos a considerar”. O programa de adequação à nova lei é um processo. Uma analogia de fácil assimilação seria a comparação com uma forte dor, ou seja, você está consciente da sua dor. Vai ao médico, que vai te examinar, pedir uns exames, após o mapeamento dos seus sintomas, chegará em um diagnóstico e dará o resultado. Conhecendo o que tem, terá que fazer um plano de ação para o tratamento (remédios, reeducação alimentar…). Após o tratamento, volta no médico, averigua se os sintomas sumiram e monitora, por um tempo, para ver se o tratamento funcionou. Assim acontece em um programa de adequação de uma empresa à LGPD.
O advogado, sócio-diretor da Ferreira Rodrigues Sociedade de Advogados e parceiro da Dynamica, Dr. Wolnei Tadeu Ferreira, exemplifica a fase preparatória de conscientização e capacitação em LGPD para as lideranças, etapa de suma importância para as empresas se prepararem para as etapas posteriores. “Eu e minha equipe temos atuado oferecendo treinamentos de apresentação da LGPD à alta direção, para que criem a consciência da responsabilidade e comprometimento. Um de nossos clientes, por exemplo, da área da Saúde, lida com dados sensíveis e esta orientação inicial foi importante para darem novo rumo ao tratamento de seus dados”.
Dr. Wolnei explica algumas ações necessárias na fase de mapeamento e diagnóstico dos dados: “será necessário um grupo de trabalho, envolvendo os vários setores da empresa que de uma forma ou outra, manipulam dados. Este grupo irá identificar, organizar e analisar a base de dados da empresa, analisar quais os dados a serem tratados, se sensíveis ou não. Nesta fase, identificamos as oportunidades de melhorias nos processos internos”.
De posse do diagnóstico de como estão os dados da empresa, parte-se, então, para a elaboração do plano de ação e execução, que variam de acordo com a empresa, mas de modo geral, contemplam: “elaboração de medidas técnicas; implantação de plano de formação e conscientização; adaptação e revisão dos procedimentos; respostas às demandas das pessoas com agilidade; análise de risco; estabelecimento de protocolos de segurança, planos de contingência para eventuais vazamentos ou incidentes”, explica Dr. Wolnei. Após isso, será necessário monitorar a adesão e os resultados dos processos definidos.
Sanando as dúvidas mais frequentes
Muitos são os questionamentos relacionados à LGPD. Selecionamos alguns mais frequentes para que o Dr. Wolnei e sua equipe respondam:
Como a empresa comprovará que garante a proteção de dados?
Dr. Wolnei – Todo projeto pretende garantir a integralidade dos dados, mas, existe sempre um fator imponderável que é o ser humano, sempre sujeito a falhas. Procedemos de modo a minimizar ao máximo os riscos, razão pela qual não há como garantir 100% de segurança em razão do fator “humano”. Mas a comprovação se dará pelos esforços feitos para minimizar riscos de vazamento como diagnóstico de falhas, revisão geral dos procedimentos, avaliação de dados operados e armazenados, finalidade, cuidados com a guarda de dados, revisão de documentos e treinamento de todos que possuem acesso aos dados ou daqueles que operacionalizem. Com isso, eventual vazamento que ocorra, minimizará seus impactos, pois falhas mínimas podem ocorrer e tentamos orientar para que não ocorram.
Minha empresa decidiu apenas fazer uma nova política de privacidade para nos adequarmos à LGPD. É possível?
Dr. Wolnei – Não, pois apenas a documentação não garante a utilização dos dados de forma correta, transparente e com a preocupação contínua e permanente com o usuário. A política de privacidade é elaborada na fase de implementação do plano de ação, após a análise do fluxo de dados e diagnósticos dos problemas que a empresa possui e que violam a LGPD. Indicamos uma sensibilização aos executivos sobre os conceitos básicos e a jornada necessária para se adequar à LGPD.
Qual é o tempo médio para uma empresa se adequar 100% à LGPD?
Dr. Wolnei – Não é possível especificar um tempo médio, varia muito, mas é certo que não se realiza antes de 2 meses. Isto porque sua implantação depende do tamanho da empresa, do tipo de atividade, quantidade dos envolvidos, volume de documentos e dados operacionalizados ou armazenados. Como dissemos, após o diagnóstico para entender como os dados são tratados na empresa serão realizados outros processos para planejar, comunicar, inventariar, indicar responsáveis, treinar envolvidos etc.
O que são e quais são os dados sensíveis?
Dr. Wolnei – A própria LGPD define o que são dados pessoais sensíveis (Art. 5º, II), como “aquele relacionado a: (I) origem racial ou étnica, (II) convicção religiosa, (III) opinião política, (IV) Filiação a sindicato ou a organização de caráter religioso, filosófico ou político, (V) Saúde ou vida sexual, VI) Genético ou biométrico.”
Quais dados da base de contato das empresas deverão ser apagados? Corre-se o risco de perder parte da base de contatos? Os dados de um contato devem ser apagados sempre que solicitados?
Dr. Wolnei – Deverão ser apagados os dados que não forem necessários para o fim a que se destina ao objetivo desejado pela empresa. Pode-se perder parte dos dados, se não houver backup ou segurança digital, na ocorrência de incidente do tipo de dano a disco rígido ou equipamento onde sejam armazenados os dados, invasão hacker por imprudência de parte de usuários na falta dos cuidados necessários quando de acesso a site indevidos. Os dados devem ser apagados sempre que houver solicitação formal por parte do titular dos dados, no prazo estipulado pela LGPD de 15 dias.
Por que as empresas estão recebendo os aditivos de contrato de seus clientes e fornecedores, envolvendo a LGPD?
Dr. Wolnei – Todas as empresas que de um modo ou outro tratam dados, estão sendo obrigadas a se adequar à LGPD; como no exemplo dos aditivos que estão sendo encaminhados para que os contratos sejam adequados ao tratamento de dados. Trata-se de medida salutar e orientativa.
Quais são as penalizações pelo descumprimento à LGPD? Quando passam a valer? Que órgão poderá aplicá-las? Quem será ou serão os órgãos fiscalizadores? Qual o valor da multa?
Dr. Wolnei – A LGPD confere severas sanções para empresas que descumprirem as disposições legais. As punições só serão aplicadas a partir de agosto de 2021 pela Autoridade Nacional de Proteção de Dados (ANPD), entidade responsável por fiscalizar o cumprimento da lei. Porém, como a lei já está valendo, alguém que se sinta prejudicado pode reivindicar judicialmente a reparação de eventual dano sofrido com o vazamento de dados.
O valor das multas irá variar dependendo do grau das infrações cometidas que podem ser: multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II.
Outras sanções aplicáveis constam no Art. 52: I – advertência, com indicação de prazo para adoção de medidas corretivas; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração; X – suspensão parcial do funcionamento do banco de dados a que se refere à infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período.
Em que situações, na sua opinião, uma empresa deve se valer de uma consultoria para se adequar à LGPD?
Dr. Wolnei – Para se adequar à LGPD, todas as empresas devem buscar orientações de todas as áreas envolvidas. Uma consultoria jurídica é essencial pois, a ajudará a compreender quais mudanças a LGPD ocasionará em cada setor da empresa, quais os pontos críticos a serem observados e as consequências que a lei trará ao seu negócio. Exemplos: contratos, dados coletados em sites, contratações, operadores de dados, armazenamento e guarda de dados etc.
A Dynamica uniu sua expertise em Gestão de Mudanças e Cultura aos parceiros Ferreira Rodrigues Sociedade de Advogados na área Jurídica e Rischio, na área Tecnológica, para juntos buscarmos as soluções mais alinhadas na adequação da sua empresa à LGPD. Saiba mais!
Podemos te ajudar com:
- Mapeamento dos Dados sensíveis
- Mapeamento dos processos
- Elaboração do Relatório de Impacto e Proteção de Dados
- Serviços terceirizados de DPO (Date Professional Officer, nova função obrigatória, responsável pelos dados na empresa)
- Avaliação e Apoio jurídico
- Avaliação de Segurança e Infraestrutura e Sistemas de Tecnologia
- Treinamento e Conscientização
- Preparação dos colaboradores e demais stakeholders para a mudança
- Monitoramento do plano de ação e Sustentação das mudanças às rotinas da empresa