LGPD – Sua empresa sabe o que é essa sigla?
Estamos chegando a uma data limite para adequação a esta nova lei e grande parte das empresas ainda não sabe o que é a LGPD – Lei Geral de Proteção de Dados Pessoais - e as consequências de sua implementação. Ela é o resultado de oito anos de debates, com base no General Data Protection Regulation – GDPR, aprovado e em uso na União Europeia.
A lei número 13.709, de 15 de agosto de 2018 e sancionada com alterações em 08 de julho de 2019 – lei número 13.853, está em vigor a partir de 27 de agosto de 2020 e as sanções a partir de agosto de 2021, conforme determinação legal. Ela se aplica a todos aqueles que realizam tratamento de dados pessoais (pessoa física ou jurídica), independentemente do meio em que se encontram (físico ou digital). Como toda empresa tem, no mínimo, um arquivo de pessoal ou de clientes, ninguém está isento do alcance dessa lei.
Assim, quem deve estar adequado a ela são simplesmente todas as empresas que funcionam no Brasil, nacionais ou estrangeiras; públicas ou privadas, de todos os tamanhos.
Essa lei vem no rastro de um movimento de todo o mundo para a proteção de dados pessoais. Com a LGPD, estamos inseridos em um importante grupo de países que contam com um nível elevado de legislação em termos de proteção de dados pessoais, superando o estágio de tratamentos setoriais hoje existente.
A LGPD define a forma sobre como as empresas poderão utilizar DADOS PESSOAIS no Brasil, ao estabelecer regras detalhadas para a coleta, uso, tratamento e armazenamento dos mesmos. A lei visa fortalecer a proteção da privacidade do TITULAR dos dados (pessoa natural, como diz a lei), a liberdade de expressão, de informação, de opinião, da honra e da imagem.
Um item importante nessa nova forma de tratamento é o CONSENTIMENTO do dono dos dados para utilização. Os processos de registro de dados devem ser revistos, deixando claro ao usuário onde e como os dados serão utilizados e obtendo a aprovação explícita em documento ou contrato.
E o que deve ser feito para atender os requisitos dessa lei?
Com a aproximação da data inicial para entrada em vigor, algumas ações podem e devem ser iniciadas de pronto:
- Buscar envolvimento dos executivos desde o início do plano de adequação para proteção dos dados pessoais;
- Estabelecer ações e um líder para o plano, identificando projetos e áreas afetadas pela LGPD;
- Criar um programa de governança em proteção de dados, com elaboração de medidas e controles para acompanhamento da implantação de padrões de conformidade com LGPD;
- Estruturar a área com a indicação do Encarregado da Proteção de Dados, figura criada na lei e necessária para o controle centralizado das ações;
- Elaborar e rever documentos jurídicos com eventuais adendos a contratos existentes para adequação aos padrões de proteção de dados;
- Garantir o exercício dos direitos dos titulares, mediante a confirmação da implementação de medidas técnicas (softwares e segurança) e organizacionais (revisão de procedimentos); e
- Realizar treinamentos internos para a apresentação das novas políticas de proteção de dados e disseminação dos novos conceitos na cultura empresarial .
O estabelecimento de fortes padrões de fiscalização aponta também para fortes prejuízos financeiros junto às empresas, com aplicação de multas, além de exposição ao mercado com medidas de divulgação obrigatória de falhas de controle. Pode chegar ao limite extremo de multas de 2% do faturamento da pessoa jurídica no seu último exercício, limitada no total a 50 milhões de reais por infração.
Este é o panorama que se apresenta como desafio para o atendimento dessa legislação. O tempo para iniciar é já. O trabalho a ser executado é grande. Vamos começar?