Blog

Insights de gestão para você antecipar, assimilar e solucionar os seus desafios de negócio

Privacidade e proteção de dados: como adequar-se à LGPD e evitar penalidades
Composta por 65 artigos, a lei obriga que as empresas protejam os dados pessoais de clientes e colaboradores. As multas e sanções começam a valer a partir de agosto de 2021. Veja como se preparar.

Conecte-se

[addthis tool=addthis_horizontal_follow_toolbox]

A nova Lei Geral de Proteção de Dados (LGPD), sancionada em 2018, prevê que empresas e instituições se adequem a uma série de medidas relacionadas à privacidade de informações, especialmente levando em conta o cenário tecnológico atual.

A data de vigência da lei ainda segue indefinida. O tema foi inserido na Medida Provisória 959/2020, que prorroga mais uma vez a sua entrada em vigor de agosto de 2020 para maio de 2021, no entanto, a proposta não é unanimidade entre os parlamentares. Se a MP 959, cujo prazo para votação se encerra em agosto de 2020, for aprovada, a lei passa a valer a partir de 03 de maio de 2021, mas se for rejeitada, o prazo que vale é o já definido pela lei de 2018, ou seja, agosto de 2020. De qualquer forma, a data de vigência para aplicação de multas e sanções já está determinada: a partir de agosto de 2021 (Lei nº14.010).

No Brasil, essa é uma área que avança a todo vapor, uma vez que, nos últimos anos, vários projetos de lei sobre segurança de dados apareceram. O que faltava era uma lei que englobasse tudo de forma geral para que tivéssemos uma base teórica mais estruturada e transversal para endereçar todos os setores.
A conjuntura que propiciou o surgimento dessa lei é complexa e passa desde a necessidade de alinhamento com as práticas internacionais e com a General Data Protection Regulation (GDPR), da União Europeia, até casos sérios de vazamentos de dados ocorridos em outras empresas, como no Facebook.
Avaliar seus impactos também é um desafio: companhias terão que adotar uma série de medidas como adequar produtos e serviços, elaborar políticas e criar novos cargos que envolvem o jurídico, compliance, tecnologia, segurança da informação e outros setores.

Continue a leitura para saber mais sobre os impactos e aplicabilidades dessa legislação. Acompanhe!

Cenário de Data Protection no Brasil

No Brasil, uma complexa conjuntura econômica, social e política foi o que impulsionou a saída da LGPD. Entre tantos fatores, é possível destacar:
• A entrada em vigor da GDPR;
• O caso da Cambridge Analytica – uma assessoria política que admitiu ter usado o Facebook para coletar informações privadas de 87 milhões de usuários sem seu conhecimento;
• Cadastro positivo.

Nesse sentido, a lei chegou para que fosse possível ter uma aplicação transversal e que englobasse tanto o ambiente online como off-line.
Maria Cecília Oliveira Gomes, que foi Legal Counsel, Privacy and Data Protection Specialist na Baptista Luz Advogados e hoje é Líder de Projeto de Proteção de Dados na FGV- SP, nota que o Brasil ainda não possui um nível adequado de gestão de dados perante o panorama mundial.

Logo, para fazer atender às práticas e padrões internacionais, a LGPD é um começo. No entanto, ela é categórica em lembrar que a existência dessa lei ainda não é, para a comissão europeia, suficiente para que o País tenha operação global e fluxo livre de dados com outros países. O Brasil precisa ainda assumir um lugar de liderança e mostrar melhores níveis de adequação.

Escopo da aplicação da LGPD

Para Maria Cecília, a LGPD é uma lei com escopo bem amplo. Composta em 65 artigos, ela engloba dados pessoais e sensíveis, mas não endereça dados anônimos. Ao contrário da GDPR, que foi construída em 6 bases, ela apresenta 10 bases legais para o tratamento de dados, que são:
• Consentimento;
• Legítimo interesse;
• Saúde;
• Execução de contrato;
• Pesquisa;
• Vida;
• Políticas públicas;
• Proteção ao crédito;
• Obrigações legais;
• Processos judiciais.

A especialista conta que o intuito em ampliar as bases é ter uma lei mais flexível. Isso implica que todas as empresas e instituições, do setor público ou privado, terão mais possibilidades de fazer o tratamento de dados, uma vez que a base é justamente o que é usado para justificar se o tratamento foi adequado ou não – ela dá o lastro.

Princípios de extraterritorialidade

Assim como a GDPR, a LGPD segue os princípios de extraterritorialidade. Isso quer dizer que, no caso da GDPR, por exemplo, a norma é válida não apenas em território europeu, mas também para toda empresa que armazena e/ou processa dados de cidadão da União Europeia.
Essa medida causa uma espécie de “efeito dominó”, uma vez que empresas que aderem à legislação vão provavelmente exigir que seus parceiros e clientes façam o mesmo, a fim de evitar conflitos e problemas.

Processo de conformidade: como se preparar para a nova regulação?

O processo de conformidade, no qual passamos no momento e termina em 2021, é marcado pela aplicação dos princípios gerais de proteção de dados – finalidade, adequação, qualidade, transparência, segurança e prevenção da discriminação.

“Todos esses princípios devem ser levados em conta na hora do desenvolvimento de produtos e aplicações”, reforça Maria Cecília. “Os princípios são o arcabouço teórico que harmonizam todas as questões de proteção de dados, independentemente de onde seu produto ou serviço está sendo ofertado. Então, é essencial que isso seja visto da melhor forma possível”, complementa.

Entre os passos fundamentais para cumprir esse processo, temos:
• Definir o DPO (Data Protection Officer), um profissional ou encarregado responsável pelo tratamento de dados – toda empresa precisará contar com um;
• Estruturar o DPIA (Data Protection Impact Assessment), uma Avaliação de Impacto de Privacidade, que ajuda as organizações a identificar e minimizar os riscos de privacidade;
• Indicar procedimentos;
• Criar um data map;
• Mapear fluxo de dados;
• Garantir, de forma clara, transparente e simples, o direito dos titulares de dados – informação, acesso, retificação, cancelamento, oposição, portabilidade, entre outros.

Impactos de descumprimentos às normas sobre proteção de dados

As penalidades ligadas ao descumprimento da LGPD são severas, incluindo, além do pagamento de altas multas, a possível proibição total ou parcial de atividades ligadas ao tratamento de dados em uma empresa.

Multas podem corresponder a até 2% do faturamento da instituição ou grupo, limitado até R$ 50 milhões por infração. Ou seja, mesmo que uma companhia seja responsável por vazar milhares de dados, cada um deles pode custar até R$ 50 milhões em multa. Ainda há a possibilidade de existirem multas diárias.

No último dia 10 de junho, a Lei nº 14.010 foi sancionada pelo presidente Jair Bolsonaro, prorrogando o prazo de vigência das multas e sanções para 1º de agosto de 2021. Contudo, esse é um ponto ainda obscuro e aberto da lei, uma vez que a questão da autoridade não foi regularizada. A Autoridade Nacional de Proteção de Dados (ANPD) ainda não foi estabelecida, mas caberá a ela o papel de fiscalizar e apresentar as guidelines e metodologias sobre como empresas devem endereçar o tratamento de gestão de dados internamente.

“Conformidade não é um estado, é um processo continuo e eterno”, declara Maria Cecília. “Ele não é um relatório que você gera, olha e coloca em uma gaveta. É justamente uma pauta que você leva em consideração na hora de pensar em novos produtos e soluções ou avaliar riscos no seu negócio. Assim, estar em conformidade é algo para sempre, ninguém está 100% em compliance, nem as grandes empresas do mundo”, diz ela.

A especialista ainda conta que o Brasil e as companhias nacionais precisam entender que compliance será uma prática e uma cultura que será endereçada sempre e não apenas para atender a um prazo. “O relatório de impacto gerado hoje não serve para ser guardado, mas revisitado sempre”, adiciona.

Ela conclui que “a ideia é que a cultura de proteção de dados seja transformadora e enraizada no nosso dia a dia, para que pessoas não precisem consultar a área jurídica de suas empresas depois que um produto está pronto para saber se ele pode ser lançado no mercado e receber um ‘OK’”, afirma.

“O ideal é que a conformidade já seja um pressuposto na empresa. Assim, nesse momento, o recomendado não é esperar 2021, mas sim se planejar para colocar essas questões em prática e garantir que elas farão parte do DNA da companhia”, continua.

Como está a implantação da LGPD na sua empresa?

Quer saber como outras empresas estão lidando com este tema internamente? A Blueprintt lançou uma pesquisa exclusiva de benchmarking para o mercado de Segurança da Informação. Se sua empresa tem um departamento de SI, envie esta pesquisa para o líder do departamento, contribua com o estudo e garanta acesso aos resultados.

Clique aqui para acessar à pesquisa.

Autor

Flávia Lima

Flávia Lima é jornalista pela PUC-SP e pós-graduada em Comunicação e Marketing pela ECA/USP. Possui ampla experiência como jornalista setorizada. Atualmente, é gerente de conteúdo da Blueprintt, responsável pelo planejamento de congressos corporativos nas áreas de RH Estratégico, Marketing e Tecnologia da Informação.