Decerto a nova Lei Geral de Proteção de Dados, Lei Federal nº 13.709/18, sancionada em 2018, passa a vigorar em agosto de 2020 e muitas empresas ainda não se organizaram (Setores Empresariais – LGPD). É preciso lembrar que a LGPD é coisa séria e que seu descumprimento pode acarretar em multas pesadas. A punição varia de 2% do faturamento bruto anual da empresa envolvida podendo chegar, a no máximo, 50 milhões de reais.
Antes de mais nada, tomar qualquer providência é importante entender como funciona a Lei Geral de Proteção de Dados e qual a sua finalidade. A partir daí fica mais fácil adequar a rotina empresarial e o tratamento dos dados que fazem seu negócio acontecer. Recentemente explicamos tudo sobre as diretrizes e os objetivos da LGPD, dá uma lida no artigo para entender melhor como as coisas devem funcionar. Assim, resumidamente, seus principais objetivos são: proteger o titular dos dados de qualquer risco decorrente do uso indevido das suas informações pessoais.
Coleta de Dados – LGPD
A Lei Geral de Proteção de Dados prevê que todo dado coletado só pode ser utilizado, para quaisquer fins, quando devidamente autorizado pelo titular. Dessa forma a empresa “coletora” deve informar de forma simples e clara para que está realizando a coleta e como os dados serão tratados. É importante lembrar que o titular tem o direito de revogar a autorização de uso e o acesso aos seus dados a qualquer momento. Bem como transferir a propriedade dos mesmos a outras empresas.
Precisamos ressaltar também algumas ações importantes que são de responsabilidade do agente controlador/operador. Esses são os nomes dados às pessoas que realizam o tratamento dos dados pessoais. De acordo com o artigo 37 da Lei Geral de Proteção de Dados, os controladores/operadores devem registrar todas as operações que realizarem envolvendo o tratamento dos dados. Esse registro vai desde a coleta até a exclusão, indicando quais tipos de dados pessoais serão coletados; a base legal que autoriza os seus usos, as suas finalidades; o tempo de retenção; as práticas de segurança de informação implementadas no armazenamento e com quem os dados podem ser eventualmente compartilhados.
Lei Geral de Proteção de dados – Artigo 39
O artigo 39 determina que o operador realize o tratamento dos dados de acordo com as diretrizes dadas pelo controlador. É de responsabilidade do controlador, a realização da escolha da pessoa encarregada pelo tratamento dos dados.
A identidade e as informações de contato do encarregado devem ser públicas, claras e objetivas, de preferência no site do controlador (art. 41, §1º); e o encarregado deverá aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (art. 41, §2º).
LGPD Mapeamento Dados
Dessa forma entendemos que, para se adaptar à Lei Geral de Proteção de Dados, é importante que as empresas mapeiem seus dados, classifique-os e mantenham todos organizados de acordo com o tipo de tratamento que devem receber. Importante também que o tratamento seja feito apenas pelas pessoas responsáveis. Uma dúvida recorrente quando se fala na Lei Geral de Proteção de Dados é sobre qual setor da empresa sofrerá o maior impacto.
Lei Geral de Proteção de Dados: problema jurídico ou informacional?
Certamente, O setor jurídico, no que diz respeito aos assuntos relacionados à Lei Geral de Proteção de Dados, deve fazer parte da fase de adequação da empresa à nova lei. O setor vai auxiliar no entendimento da lei e orientar quanto aos procedimentos que devem ser mantidos, adaptados ou extinguidos. Contudo a partir daí, caso o jurídico entre em ação significa que algo deu errado no manuseio dos dados pessoais. O assunto LGDP, após a adequação de processos da empresa, só deve chegar ao jurídico caso haja vazamento, roubo ou qualquer tipo de acidente com os dados que estão sob posse da empresa.
Os setores que lidam com informações e principalmente o setor de tecnologia da informação é que devem se responsabilizar por todos os trâmites relacionados à coleta e manuseio de dados pessoais. Quais são os setores da sua empresa que lidam com informações e dados pessoais? Marketing, vendas, contábil? Esses setores devem estar em dia com as estratégia de segurança de dados da empresa e precisam receber total apoio da TI para que tudo funcione da maneira correta. A equipe de tecnologia da informação será responsável por disponibilizar e monitorar as aplicações necessárias para a segurança de todos os dados coletados pela empresa.
Setores Empresariais – LGPD – Treinamento
Com toda a certeza, um passo muito importante para adequação à nova Lei Geral de Proteção de Dados é o treinamento da equipe. Todos os setores da empresa precisam entender o que é a LGPD, o que são dados pessoais e qual a sua importância, quais as bases legais da legislação e assim por diante. Não existe um manual que indique um passo a passo para implementação da Lei Geral de Proteção de Dados. É preciso conhecer a lei, ter uma equipe alinhada e boas ferramentas de gestão.
Possuir uma boa base de tecnologia e segurança da informação também é um passo crucial para que empresas, independente do porte se adequem à LGPD. Possuir uma gestão de riscos consolidada é um exemplo de ação que beneficia os negócios diante da Lei Geral de Proteção de Dados. É necessário prever que tecnologias estão propensas a sofrer com uma série de eventos negativos e indesejáveis: ataques ransomwares, vazamento de dados facilitado por pessoas internas, exposição de dados de forma acidental, negligência de procedimentos e outros.
Ações Preventivas
Tendo listadas todas as possibilidades é necessário elaborar ações preventivas, que trabalham para que os riscos não se concretizem, e medidas corretivas, que devem entrar em ação caso alguma fatalidade venha a acontecer. Os setores responsáveis (Setores Empresariais – LGPD) pela captação e tratamento de dados devem ter seus procedimentos muito bem definidos e alinhados entre a equipe. Todos os procedimentos realizados na coleta de dados devem ser transparentes e claros para o usuário.