LGPD sem juridiquês: entenda como sua organização pode se adequar à lei

publicado 05/03/2020 09h00, última modificação 05/03/2020 14h50
Rio de Janeiro – Saiba o que muda para as empresas com a Lei Geral de Proteção de Dados
LGPD sem juridiquês entenda como sua organização pode se adequar à lei.jpg

“As empresas que ainda não começaram o processo de adequação à LGPD devem dar o pontapé imediatamente”, aconselha Nilson Vianna, diretor de Cyber Security & Privacy da PwC, durante  a Reunião Especial realizada pelo Comitê de Tecnologia & Inovação no Rio de Janeiro, realizada em 19/02. A Lei 13.709/2018, que entra em vigor em agosto deste ano, faz parte de uma agenda global de proteção das informações pessoais. E quem ficar de fora dessa adequação, além de não estar em conformidade com a norma, perde competitividade no mercado.

A Lei Geral de Proteção de Dados (LGPD) garante os direitos de liberdade e privacidade, salvaguardando as informações pessoais identificadas ou identificáveis. “Dados sensíveis são aqueles que podem causar alguma discriminação: origem racial ou étnica, convicção religiosa, filiação a sindicato ou partido político, informações de saúde, vida sexual e biometria”, resume o diretor.

As mudanças previstas com a promulgação da lei não afetam apenas um setor das companhias. Pelo contrário: todos estão envolvidos. “A adequação é um trabalho multidisciplinar, que envolve praticamente toda a empresa porque quase todas as áreas oferecem riscos”, afirma Vianna. Para quem ainda não começou a jornada de adequação, o especialista explica as três fases básicas:

Diagnóstico: é a etapa inicial, onde é feito o mapeamento dos riscos oferecidos pelas diversas áreas da organização

Implementação: após o data mapping, é a hora de estruturar um plano de ação eficaz

Operação: nessa fase, os novos processos começam a funcionar. “Mesmo com os processos aprovados, o monitoramento deve ser contínuo”, lembra Vianna

 

LGPD É MAIS QUE OBRIGAÇÃO, É VANTAGEM COMPETITIVA

Para Dirceu Santa Rosa, sócio do escritório Montaury Pimenta Advogados, três pontos na lei merecem atenção especial: boa fé, finalidade e segurança. “As empresas não só vão ter que deixar claro que estão coletando as informações das pessoas, mas também como serão utilizadas. Além disso, nenhum dado a mais do que o necessário para o funcionamento das atividades poderá ser solicitado. As informações coletadas vão ter que estar protegidas todo tempo, então as organizações terão que investir em medidas técnicas e administrativas para garantir a segurança”, explica.

Outras questões inerentes à norma são o consentimento e o legítimo interesse. “O ideal é que a empresa tenha o consentimento documentado, até para se justificar caso seja alvo de fiscalização. Lembrando que o consentimento é revogável”, esclarece. “No entanto, existem dados que as empresas são obrigadas a manter por lei, como no caso de instituições de ensino que guardam dados dos formandos por décadas, seguindo decreto do Ministério da Educação. Mesmo que alguém solicite a exclusão dos dados, isso não será possível”, acrescenta o advogado. “O interessante na LGPD é que ela é horizontal. Nenhuma companhia ou instituição está isenta de cumprir a lei, independente de seu porte, atuação ou se é privada ou pública”, salienta Santa Rosa.

 

NA PRÁTICA

No cotidiano das empresas, a lei obriga a criação de três funções: o controlador, operador e o famoso Data Protection Officer (DPO).

Controlador: responsável por receber e manter os dados das pessoas seguros. Possui uma relação de confiança com o usuário.

Operador: lida com os dados fornecidos pelo controlador e deve manter a segurança dessas informações. Pode ser terceirizado, como uma empresa de Tecnologia de Informação, por exemplo.

DPO: funcionário que atua como intermediário entre a empresa e a Autoridade Nacional de Proteção de Dados (ANPD). Fornece todas as documentações necessárias e realiza treinamentos para outros colaboradores.

“A LGPD não especifica quem deve exercer a função de DPO. Esse colaborador pode ser de qualquer departamento, mas a norma exige que ele tenha conhecimentos jurídicos, em tecnologia de informação e certa senioridade”, ressalta Vianna. “Nós recomendamos que essa pessoa tenha certo empoderamento e tenha um fácil canal de comunicação com a área executiva da organização”, continua.

 

PENALIZAÇÕES

Não são apenas os vazamentos de dados que serão alvos de penalizações em caso de descumprimento da lei. Os “incidentes de dados”, como são chamados, também incluem acessos indevidos, ou seja, se uma informação é restrita a uma área, as outras não podem acessá-las. Um dos casos mais emblemáticos é o do Centro Hospitalar Barreiro Montijo, em Portugal, que foi multado em 400 mil euros por permitir que outros setores do hospital pudessem acessar prontuários dos pacientes, quando essas informações eram sigilosas entre médicos e enfermeiros.

As sanções pelo descumprimento da lei podem chegar a 2% do faturamento anual, limitadas até R$ 50 milhões. Embora ainda não tenha sido criada de fato, a Autoridade Nacional de Proteção de Dados (ANPD) será a responsável por fiscalizar as companhias e, se necessário, aplicar as multas. “Enquanto isso não acontece, outros órgãos já fazem esse trabalho há um tempo, como o Ministério Público Federal, que inclusive já penalizou grandes empresas”, exemplifica Santa Rosa. “Além disso, existem marcos legais que garantem a privacidade das pessoas, como a Lei Carolina Dieckmann e Leis de Crimes de Informática”, completa Vianna.

           

GESTÃO DE DADOS

Um dos grandes desafios da LGPD é, sem dúvidas, a gestão das informações pessoais. O ciclo de vida de um dado envolve a coleta, o processamento, armazenamento e descarte. Para isso, algumas reflexões são imprescindíveis. De acordo com Nilson Vianna, para realizar uma gestão eficiente é necessário fazer as seguintes perguntas:

O dado foi coletado de forma transparente?

Somente os dados necessários foram coletados?

Está sendo manuseado ou compartilhado de maneira segura?

Ele está armazenado de forma segura?

O dado foi descartado corretamente quando seu uso não é mais necessário?

Embora o trabalho seja longo e complexo, investir na proteção de dados é mais do que uma obrigação, mas uma vantagem competitiva. “As pessoas não querem ser clientes de empresas que não trabalham com transparência e segurança e outras organizações também não querem mais fazer negócio com essas companhias”, finalizou Vianna.

 

 

O QUE SÃO OS COMITÊS ABERTOS?

São encontros e periódicos entre executivos de diversos segmentos voltados para atualização, benchmark e networking e exclusivos para os nossos sócios.

 

PARA QUEM SÃO?

São para todos(as) os(as) associados sem limites de participantes, sendo encontros gratuitos.

 

COMO FUNCIONAM?

Temos cerca de 110 comitês em atividade nas diferentes regionais, divididos em várias frentes de atuação, com palestras, painéis de discussão e dinâmicas com speakers especializados no tema.

Não deixe de conferir nossos outros eventos e atividades no Rio de Janeiro. Clique aqui e veja o nosso calendário completo.