Entenda a LGPD e confira 6 dicas para aderir

Muito mais do que uma demanda do setor jurídico, a LGPD (Lei Geral de Proteção de Dados Pessoais) faz parte de um movimento ocidental de aumento da privacidade dos usuários e envolve os principais departamentos de uma empresa.

Depois de algumas alterações sobre a data em que ela entrará em vigor, por enquanto, a previsão é maio de 2021. Contudo, isso ainda pode mudar nos próximos meses, então vale ficar de olho.

Para explicar melhor tudo isso, Fabiano Castello, professor dos cursos de LGPD e Data Visualization da Plataforma Solution, ministrou um webinar completo para quem tem dúvidas sobre a aplicação e abrangência da lei.

Contexto regulatório

Inspirada na GDPR (General Data Protection Regulation), que veicula na Europa e abrange empresas e cidadãos europeus e toda pessoa física ou jurídica que atua no mercado europeu, a LGPD nasceu no Brasil em 2018 e, desde então, estamos no vacatio legis, termo jurídico em latim para o período de vacância da lei, que compreende um tempo determinado entre sua publicação e sua vigência.

Catello lembra que outros instrumentos também tratam da privacidade no direito brasileiro, como a Constituição Federal de 1988 e o Marco Civil da Internet.

Obrigações

A LGPD tem uma grande abrangência, que inclui qualquer empresa ou pessoa física que colete dados não somente de consumidores, mas de funcionários, fornecedores, prestadores de serviços, visitantes entre outros.

Assim, a lei prevê algumas obrigações, elencadas abaixo por Castello:

  • Comunicar os titulares dos dados e as autoridades em caso de vazamentos de informações
  • Conseguir o consentimento rigoroso, livre, claro, inequívoco e para finalidades específicas
  • Nomear o DPO (Data Protection Officer – encarregado pelo tratamento de dados pessoais)
  • Ter cuidado com as transferências de dados, portabilidades e o direito de esquecimento (para os casos de hábitos de consumo, por exemplo – já que notas fiscais são outro tipo de documento)
  • Elaborar a avaliação de impacto à proteção de dados (DPIA), que é como um relatório de risco

Fiscalização e penalidades

Na teoria, a fiscalização e a dosimetria das penalidades ficam por conta da ANPD (Autoridade Nacional de Proteção de Dados). Mas, enquanto a lei não entra em vigor, esse papel está a cargo dos Ministérios Públicos.

Sobre penalidade, a LGPD prevê advertência e multa de até 2% do faturamento, limitado a R$ 50 milhões por infração.

Castello aproveita o tema para fazer considerações sobre a reputação de uma marca. “Um vazamento de informações tem impacto direto na reputação da empresa, que levou anos para ser construída. E isso tem um valor intangível, porque mexe com a credibilidade no mercado”.

O professor cita exemplos de vazamentos de dados como do Colégio Bandeirantes e do site de relacionamentos para pessoas que já estão em um relacionamento Ashley Madison, cuja propaganda é, justamente, o sigilo.

6 dicas para aderir

A aplicação da LGPD não recai somente sobre o departamento jurídico das empresas. Por isso, Castello definiu seis passos importantes para que todos estejam alinhados.

  • Obtenha os patrocinadores corretos: são as pessoas que têm o poder de fazer acontecer. Geralmente é alguém influente dentro da empresa, mas que não necessariamente é parte da diretoria ou ocupa um cargo de gestão. É importante que eles tenham boa comunicação com os três times principais na defesa de dados: tecnologia e sistemas de informação; riscos, controles internos, compliance e jurídico; e auditoria interna, além da alta administração da empresa.
  • Realize um diagnóstico detalhado para definir um escopo do que deve ser feito: isso inclui mapear informações que precisam ser protegidas, bem como áreas, sistemas, ambientes, plataformas e profissionais que serão envolvidos; e identificar políticas que precisam ser criadas ou atualizadas e documentos que devem ser revisados, como termos de consentimento.
  • Nomeie um DPO: ele será o ponto de contato entre organização, titulares e autoridades. Também cabe a esse profissional outras tarefas, como: supervisão de atividades de tratamento de dados, elaboração de relatório de impacto de privacidade, participação em projetos para assegurar que a privacidade seja pensada em cada passo, coordenação de esforços sobre proteção de dados e promoção da conscientização sobre boas práticas e inclusão do tema na agenda a cultura da organização.
  • Estabeleça políticas: mesmo que a LGPD não exija, classifique as informações como pública, restrita, sensível, confidencial ou crítica para ter mais facilidade em aderir ao projeto. Também inicie práticas de comunicação e relacionamento com autoridade. Elas serão particularmente importantes em caso de vazamento de dados.
  • Implemente um programa robusto de segurança de informação e inclua monitoramento e testes periódicos.

Dúvidas

Se você ainda tem dúvidas sobre a LGPD, confira algumas considerações sobre pontos importantes que finalizaram o webinar.

  • O DPO pode ser um serviço contratado, um colaborador terceirizado e até uma pessoa jurídica.
  • A adesão à LGPD deve ser um projeto e pode começar com um workshop na empresa, com a participação de uma pessoa de cada área. Os participantes podem ser organizados em grupos de até seis pessoas, por afinidade, para debaterem o tema e proporem funções.
  • Todas as informações são dados, sejam elas digitais ou impressas em folhas de papel.
  • Sobre os dados antigos que constam no sistema da organização antes da LGPD, Castello informa que, na teoria, as empresas devem pedir o consentimento dos titulares. Na prática, ele acredita que isso dificilmente deve ocorrer. Por isso, vale avaliar se eles são realmente importantes e se são utilizados a ponto de mantê-los na base, correndo risco de vazamento e outras complicações.
  • O vazamento de dados que ocorre a partir de um roubo ou assalto também gera penalização à empresa violada.
  • Os dados são considerados pessoais quando são associados a uma pessoa específica. Por isso, dados anonimizados não estão sujeitos à LGPD.
  • Já os currículos entregues nas empresas e dados disponíveis na internet, por exemplo, também podem ser enquadrados na LGPD. Castello exemplifica que disponibiliza seus contatos para alunos, mas que isso não significa que empresas de call center podem ligar e oferecer produtos, já que não houve consentimento específico.

Você já sabia tudo isso sobre a LGPD? Que tal compartilhar esse conteúdo com mais pessoas que possam se interessar pelo assunto?

O webinar completo está disponível no Youtube da Plataforma Solution. Clique aqui!