A importância da adaptação à LGPD

Em artigo, Renato Opice Blum discute a importância das empresas se adequarem à LGPD. E uma das estratégias é o chamada data maping. Entenda

Lei Geral de Proteção de Dados (LGPD), de n.º 13.709/2018, entrará em vigor em agosto de 2020 – portanto, em menos de um ano –, representando importante marco para o ordenamento jurídico brasileiro.A lei dispõe sobre o tratamento de dados pessoais por pessoa natural ou pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o desenvolvimento livre da personalidade da pessoa natural.

É prudente que as organizações se antecipem e procurem a adaptação à LGPD o quanto antes, evitando gastos exacerbados com providências de última hora.

Mudanças

A LGPD sofreu algumas alterações ao longo do processo legislativo; a última delas foi trazida pela Lei n.º 13.853/2019, que instituiu a Autoridade Nacional de Proteção de Dados (ANPD). Entre as suas atribuições, está a de cunho preventivo, pela qual deverá disseminar educação e boas práticas a toda a população, ainda pouco familiarizada com o conceito de proteção de dados e privacidade.

No entanto, a lei também cria o poder sancionatório da ANPD, o que torna imperativo que todas as organizações estejam em conformidade com as regras estabelecidas pela Lei Geral de Proteção de Dados ao tempo de sua vigência.

De fato, a lei traz sanções brandas (como a advertência), mas prevê outras bastante severas, como multa de até 2% do faturamento no último exercício do grupo no Brasil, limitado a R$ 50 milhões por infração; multa diária até o limite da multa sobre o faturamento; publicização da infração; bloqueio dos dados pessoais a que se refere a infração até a regularização; e eliminação dos dados pessoais a que se refere a infração.

Para a aplicação da sanção, a lei permite que a autoridade leve em consideração os esforços empreendidos pela instituição nos tratamentos de dados pessoais de forma diligente e segura, bem como as providências tomadas para a mitigação dos danos provenientes de incidentes de segurança. Sendo assim, faz todo o sentido que as organizações façam os melhores ajustes que puderem.

Conformidade

Para a conformidade com a LGPD, é essencial que se constitua uma estrutura de governança em proteção de dados e privacidade em que todos os colaboradores da instituição estejam realmente envolvidos e engajados. Sem o amplo envolvimento de todos eles, nem mesmo um primoroso programa de conformidade será capaz de garantir a adequação.

A instituição deve elaborar uma política de proteção de dados que contenha diretrizes, procedimentos internos, padrões de respostas a incidentes, avaliações de riscos de novos projetos, atualizações de mapeamento, classificação dos dados pessoais, procedimentos de exclusão de dados e outros pontos que a organização considerar relevante. Esses elementos devem constar na política criada pela empresa, a fim de que qualquer colaborador envolvido com o tratamento de dados pessoais tenha ciência das diretrizes estabelecidas a serem seguidas no plano adaptativo.

Na estruturação do programa de conformidade à LGPD, é preciso que se responsabilidades e atribuições internas sejam distribuídas se ter controle sobre a efetividade do programa. Além disso, a realização de treinamentos é fundamental para a capacitação e o engajamento de todos os colaboradores da instituição.

O controlador e operador devem manter registro das operações dos tratamentos de dados pessoais que realizarem. A atividade é bastante burocrática, mas configura um método de autoconhecimento bastante importante para o início da adequação da organização aos termos da lei.

Data maping

Na sequência, é necessário fazer um mapeamento dos tratamentos de dados feitos na empresa, considerando-os em todo o seu ciclo de vida: desde coleta, passando por usos e transferências e chegando a eliminação. Esse processo é chamado de data maping.
Com o mapeamento dos dados, pode-se identificar se há excessos nos tratamentos, ou se somente os dados necessários foram coletados para a finalidade proposta. É possível conferir se as bases legais usadas são condizentes para determinadas finalidades, ou se não há base que justifique o tratamento do dado coletado. Finalmente, o mapeamento permite identificar os principais focos de riscos no tratamento de dados de cada organização e que demandam mais cuidados e ações.

A lei traz a obrigatoriedade de o controlador indicar o encarregado pela proteção de dados pessoais (Data Protection Officer – DPO), pessoa natural ou jurídica, e será o ponto de conexão entre a empresa, os titulares dos dados e a ANPD. A lei não exige, mas é essencial que o encarregado tenha bons conhecimentos jurídicos e de governança, para que haja a correta convergência entre o que diz a política de privacidade estabelecida na organização e a LGPD.

A autoridade

A lei enuncia que a autoridade nacional possa editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto a prazos de adaptação à lei para microempresas, empresas de pequeno porte, startups e empresas de inovações. A atenção a esse grupo se justifica em função da condição econômica limitada e do alto volume de operações de tratamento realizadas. Pela mesma razão, a ANPD poderá flexibilizar a exigência de indicação de encarregado, usando, para tanto, o artigo 41, § 3º, da LGPD.

A organização deve ter cuidado também com os dados pessoais que já estiverem em seu poder antes do início da vigência da lei. É preciso que exista uma base legal que justifique a manutenção desses dados – ou, do contrário, deverão ser eliminados.

É essencial esclarecer que até mesmo empresas que tenham trabalhado com seriedade em uma boa adaptação não estão imunes a incidentes de segurança. Contudo, com a correta conformidade à lei, essa vulnerabilidade pode ser sensivelmente atenuada, e eventuais incidentes, minimizados.

Artigo escrito por Renato Opice Blum, advogado, economista e mestre pela Florida Christian University. Ele também é professor coordenador dos cursos de proteção de dados e Direito Digital do Insper, e presidente do Conselho de Comércio Eletrônico da Fecomercio SP.


Fonte: Consumidor Moderno

Está gostando do conteúdo? Compartilhe!

Pesquisar

Veja mais resultados...

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
post

Categorias

Arquivos

Sua mensagem foi enviada com sucesso.