Todo cuidado é pouco quando o assunto é sua reputação e suas finanças. Embora esse alerta e orientação sirva para muitas situações, é certeiro quando tratamos de adequar-se à LGPD.
Eventualmente, os verbos adequar e proteger nem sempre andam juntos quando se trata da Lei Geral de Proteção de Dados Pessoais (LGPD).
Uma vez que ela estabelece normatização legal, todas empresas e organizações brasileiras devem se adequar e seguir a LGPD e garantir o controle e a transparência na utilização de dados pessoais dos cidadãos.
Contudo, após quase um ano de vigência, ainda restam dúvidas sobre como, efetivamente, garantir a conformidade da adequação à LGPD.
Consequentemente, também, sobre a proteção de empresas e organizações contra punições (multas e demais sanções administrativas) decorrentes de infrações ou do descumprimento da LGPD.
O que é a LGPD
A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma legislação que tem por objetivo proteger a liberdade e a privacidade de consumidores e cidadãos.
Embora tenha sido publicada em 14 de agosto de 2018 (Lei Ordinária Federal nº 13.709), passado a vigorar em 28 de dezembro do mesmo ano, a vigência plena da LGPD ocorreu apenas a partir de 1º de agosto de 2021.
Na prática, a LGPD demanda mudanças na forma de coletar, armazenar e usar os dados das pessoas. Como resultado, impacta significativamente as áreas administrativa, jurídica, de comunicação e marketing e, principalmente, a de tecnologia de segurança da informação.
Eventualmente, ao não cumprir o que determina a LGPD, empresas e organizações (inclusive públicas e governamentais) podem ser multadas ou receber sanções administrativas.
Conforme a o estipula na LGPD, as punições podem variar de uma multa simples de até 2% do faturamento da empresa em seu último exercício (limitada a R$ 50 milhões, por infração), até a aplicação diária de multa (observado o limite total da multa simples).
Com toda a certeza, esse último parágrafo explicita bem a ideia da primeira frase desse artigo. Afinal, além de poder levar à sérias dificuldades financeiras, pode comprometer e destruir uma boa reputação.
Não se adequar à LGPD pode custar caro
Quase três anos depois de criada, em 1º de agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD), está autorizada a aplicar as penalidades previstas na LGPD.
Conforme matéria do portal G1 (Descumprir a Lei Geral de Proteção de Dados pode gerar punições a partir deste domingo, por Alessandro Feitosa Jr.), a ANPD deve iniciar o processo de fiscalização de forma educativa.
Segundo consta em uma resolução da Autoridade Nacional de Proteção de Dados, a orientação é a de iniciar de forma branda e escalável. Isto é, advertir para educar. Claro, conforme a gravidade do caso.
Todavia, o descumprimento das normas da LGPD pode ser penalizado com:
- advertência,
- publicidade da infração, que funciona como uma maneira de alertar a sociedade de que determinada empresa desrespeitou as regras,
- multa simples, de até 2% do faturamento da empresa e que pode chegar a, no máximo, R$ 50 milhões por infração,
- multa diária,
- bloqueio dos dados pessoais referentes a infração,
- eliminação dos dados pessoais referentes a infração,
- suspensão do exercício da atividade de tratamento dos dados pessoais referentes a infração pelo período máximo de 6 meses, que pode ser estendido por outros 6 meses,
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Assista ao vídeo acima e tenha uma boa visão geral sobre o assunto e veja como é importante adequar-se à LGPD.
Nesse vídeo, o doutor e mestre em direito pela Universidade do Estado do Rio de Janeiro (UERJ), Igor Pereira discute a Lei Geral de Proteção de Dados (LGPD) na prática.
Segundo ele, a LGPD é um marco digital que normatiza como empresas e organizações coletam, utilizam e, agora, devem proteger os dados e informações pessoais.
Principalmente, Dr. Igor Pereira destaca que, para adequar-se à LGPD, dentre as mudanças impostas pela nova lei, as empresas e organizações devem prestar atenção a três aspectos:
- o direito do usuário de requisitar que os seus dados sejam excluídos;
- o consentimento explícito das pessoas para a utilização de seus dados para fins de marketing, deve ser obtido previamente pelas empresas;
- haverá multas impostas às empresas que descumprirem a LGPD.
Adequar-se à LGPD: um grande desafio de compliance
A LGPD diz muito em respeito à maturidade das empresas. De fato, separa as empresas que têm uma política efetiva de compliance das que não têm ou nem sabem do que se trata.
Compliance é um termo inglês derivado do verbo (to comply) que significa estar em acordo com normas, resoluções, legislações e/ou um conjunto de regras estabelecidas e acordadas.
Muito mais do que apenas “estar”, compliance tem a ver com agir em acordo com o estabelecido na Lei Geral de Proteção de Dados Pessoais (LGPD).
Acima de tudo, o que importa e o que protege é a prática. Sobretudo, fazer o que deve ser feito, de verdade, é a melhor forma de adequar-se de verdade à LGPD e o que aumenta exponencialmente o nível de segurança e proteção.
Nesse sentido, sob o ponto de vista da Governança Corporativa, empresas que realmente se adequaram e cumprem com o acordado e com a legislação, por exemplo, são bem-vistas e têm uma melhor reputação.
Certamente, uma conquista e um demonstrativo inequívoco de inteligência estratégica, que pavimenta o caminho rumo a diferenciais competitivos e à excelência em gestão.
Afinal de contas, o nível de maturidade, a cultura e as políticas internas são reflexos da qualidade da administração.
LGPD: adequação versus proteção!?!
A Lei Geral de Proteção de Dados Pessoais tem foco e abordagem especialmente voltadas à proteção aos dados pessoais. Isto é, exclusivamente protege contra os processos de tratamento de informações relacionadas às pessoas.
Portanto, duas considerações são óbvias. Visto que, a partir delas, é possível compreender, claramente a diferença entre adequação e proteção em relação à LGPD.
Em primeiro lugar, em acordo com o próprio nome da Lei Geral de Proteção de Dados Pessoais. Ou seja, quem o foco é no indivíduo, na pessoa humana. Então, ficam excluídas da “proteção” da LGPD empresas e outros entes privados.
Em segundo lugar, que a efetividade na proteção aos dados pessoais só se realiza por meio da segurança da informação. Tanto por meios digitais quanto analógicos, no caso de arquivos físicos, por exemplo.
Inegavelmente, fica evidente a relevância das tecnologias de segurança da informação para a proteção efetiva de dados e informações pessoais que empresas e organizações precisam disponibilizar aos seus clientes e usuários.
Como adequar-se à LGPD
Provavelmente, adequar-se à LGPD exigirá algum investimento. Em maior ou menor grau, empresas e organizações devem ser capazes de padronizar a coleta dos dados de seus clientes e usuários e, principalmente, aumentar efetividade das tecnologias de segurança da informação.
Conforme artigo publicado no lumiun blog no início deste ano, por Aléx Oliveira, para adequar-se à LGPD é preciso estar em conformidade com a nova legislação.
Veja, abaixo, as 15 dicas para adequar-se à LGPD e ficar em conformidade com a nova legislação.
- Definir um processo de obtenção de consentimento para tratamento de dados pessoais.
- Implementar uma solução de gerenciamento dos direitos dos titulares de dados
- Elaborar uma política de retenção e descarte de dados.
- Elaborar e manter um registro das operações de tratamento de dados pessoais
- Implementar uma solução para a Análise de Impacto à Proteção de Dados (DPIA).
- Implementar um modelo de governança de DPO (Data Protection Officer).
- Contratar um assessor externo.
- Educar colaboradores por meio de um programa de treinamento sobre privacidade.
- Instalar soluções para a gestão de identidade e acessos.
- Estruturar, definir e formalizar um processo de gestão de incidentes.
- Revisar contratos antigos e atualizá-los com cláusulas protetivas.
- Incluir cláusulas protetivas em novos contratos.
- Elaborar e manter políticas de privacidade interna e externa.
- Implementar uma solução para aumentar a segurança na internet e da informação.
- Definir um processo de acompanhamento das mudanças regulatórias da LGPD.
Clique aqui e leia o artigo completo.
Adequar-se à LGPD deve significar proteção efetiva
A busca pela efetividade da proteção que adequar-se à LGPD deve proporcionar, com toda a certeza, exige qualidade e confiabilidade nas soluções e tecnologias de segurança na internet e da informação.
De fato, a tendência é que as tecnologias nas quais as empresas e organizações devem investir para garantir a efetividade da proteção ao adequar-se à LGPD passam por soluções como VPN e dispositivos de firewall.
Por último, vale lembrar que, para adequar-se à LGPD, é fundamental que os gestores busquem conhecimento e para implementar boas práticas de gestão em segurança da informação e investir em efetivas soluções de segurança na internet em suas empresas e organizações.