Antes de mais nada, uma grande urgência para a maioria dos negócios que desejam se manter em conformidade com a LGPD (Lei Geral de Proteção de Dados) que entrará em vigor a partir de agosto de 2020, é a elaboração de um projeto de compliance.
Ok, sei que não é uma das tarefas mais fáceis. Porém, a partir da reestruturação dos processos de sua empresa, irá assegurar que todos operem de acordo com os requisitos da LGPD. Os desafios e nuances são muitos, mas vale muito a pena.
A Kenaz, conhecendo muito bem todos os percalços para esse processo, resolveu simplificar sua proteção de dados. Bem como, estruturamos através de um passo a passo que contarei aqui hoje, para auxiliar você e a sua empresa, em como conseguir se manter dentro do programa de conformidade. E mais, que consiga cumprir todas as necessidades que a lei exige.
Continue a ler o artigo e entenda tudo sobre a nova lei geral de proteção de dados na prática, e como sua empresa deverá se adequar a ela.
O que é a LGPD?
Popularmente conhecida como LGPD – Lei Geral de Proteção de Dados – que entrará em vigor a partir de agosto de 2020, passará a ter efeitos no Brasil. Essa é a lei que se responsabiliza pela regularização da proteção dos dados pessoais em todo território nacional.
Por outro lado, você sabe o que é de fato dado pessoal? Para entender melhor, é toda e qualquer informação isoladamente ou em conjunto, que torna identificável ou identifique uma pessoa natural.
Será a partir dessa lei que subordinará em como toda e qualquer organização e órgãos públicos deverão se correlacionar com os dados pessoais de seus usuários. Bem como, terá obrigação de estabelecer critérios mínimos de segurança das informações, além de fixar meios de fiscalizações e penalidades que sejam decorrentes de incidentes que envolvam dados pessoais.
Simultaneamente, a Lei regularizará situações que envolvam dados pessoais sensíveis. O que é isso? Os dados que são capazes de gerar qualquer tipo de discriminação, como também dados pessoais de pessoas menores de 18 anos. Ao mesmo tempo, delimita uma proteção especial para essas categorias, por conta do potencial lesivo da utilização indevida que esses tipos de informações podem acarretar aos seus titulares.
Como devo adequar a minha empresa a nova Lei?
Para poder se adequar a LGPD, criei um passo a passo muito simples, onde sua empresa poderá se adequar de uma maneira fácil e ágil. Acompanhe.
Primeiro passo – montar um time de conformidade de dados
O time de TI, Jurídico, RH, vendas, marketing, comercial, financeiro ou qualquer um que lide com os dados seja no modo online ou offline, será diretamente afetado pela LGDP.
Posteriormente, a Lei determinará o fluxo de operações de dados e que precisarão ser feitos de maneira transparente e com maior cuidado. Porém, como conseguir a garantia da proliferação de um novo comportamento que irá priorizar a privacidade e segurança por todos os colaboradores da empresa?
A primeira dica é contar com um time especializado em aspectos jurídicos, como também nos setores de sua empresa que serão afetados diretamente pela Lei. Serão eles os responsáveis pelas definições de códigos de conduta e as avaliações de risco de acordo com as diretrizes da LGPD.
O trabalho irá garantir que sua empresa opere dentro dos requisitos legais e que atenda todos os princípios que são impostos pela nova lei. Dessa maneira, é imprescindível a formação de um time como esse, para que sua empresa permeie em conformidade com ela.
Segundo passo – definição de um colaborador como DPO
A partir da implantação da LGPD, entrará em cena um novo profissional, o Data Protection Officer – DPO.
Através da Lei, esse profissional será o encarregado em intermediar todos os titulares de dados, fiscalização e empresas. Posso dizer que esse novo profissional veio “importado” da General Data Protection Regulation (GDPR). E acaba sendo uma grande novidade para a grande parte das empresas em todo o território nacional.
Veja abaixo as atividades de acordo com a previsão legal para um DPO:
” – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
– Receber comunicações da autoridade nacional e adotar providências;
– Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
– Executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.”
Em outras palavras, esse será o colaborador que se responsabilizará pelas atividades de proteção de dados de sua empresa, além de estar totalmente integrado e ciente com toda e qualquer informação que esteja ligada a dados pessoais.
Entretanto, não posso deixar de ressaltar que a autoridade nacional posteriormente, irá estabelecer algumas normas complementares que irão definir as atribuições desse colaborador.
Incluindo a dispensa da necessidade desse colaborador, de acordo com o porte e a natureza da empresa. Em especial, de acordo com o volume de operações de tratamento de dados.
Mas, se a sua empresa for de grande porte, certamente este será um profissional indispensável. Em casos de pessoas jurídicas, poderão contar com a terceirização desse serviço, através de escritórios especializados em Direito Digital.
Como efetuar a avaliação dos gaps de sua empresa em relação à privacidade de dados?
Depois de seu time formado e com o colaborador nomeado, é momento da avaliação crítica para que sua empresa dê o primeiro passo para se adequar a LGPD.
A primeira atividade será pontuar e reavaliar cada um dos processos de toda sua empresa. Assim, poderão ser detectados todos os dados pessoais que estão sendo tratados e onde estará prevista suas ocorrências.
Para auxiliar esse processo, você pode utilizar uma ferramenta de data mapping, podendo elaborar questionários para diferentes áreas de sua empresa. Dessa forma, terá como uma “fotografia” de toda a operação.
Veja algumas perguntas essenciais que deverão constar neste questionário:
- Quais os tipos de dados que estão sendo tratados?
- Qual o volume de dados?
- Quem será o responsável por esses dados?
- Qual a finalidade dos dados coletados?
- Qual é a razão legal para que continue o tratamento desses dados?
- Até quando esses dados permanecerão na base de sua empresa?
Adequando os processos de sua empresa à LGPD
De acordo com o artigo 7º da Lei, o tratamento dos dados pessoais poderá somente serem realizados:
- Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Para estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Para proteção da vida ou da incolumidade física do titular ou terceiro;
- Pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
- Quando necessário atender interesses legítimos do Controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam proteção dos dados pessoais;
- Para proteção do crédito;
- Mediante fornecimento de consentimento do titular;
- Para exercício regular de direitos em processo judicial, administrativo ou arbitral.
Quais as penalidades em caso de descumprimento da LGPD?
Nesse ínterim, de acordo com as penalidades, devo destacar as possibilidades de aplicação de multa diária ou isolada. Simultaneamente, limitadas a 2% do faturamento bruto da empresa ou R$ 50.000.000,00. Seja por incidente, permitindo ainda a suspensão das atividades de tratamentos de dados e em casos extremos, interrupção total do funcionamento da empresa.
Para ocorrer a fiscalização, bem como a aplicação da Lei em todo o território nacional, foi criado um órgão regulador – Agência Nacional de Proteção de Dados (ANPD) – do qual será o responsável por aplicações de sanções, em especial a delimitação dos parâmetros de interpretação da LGPD.
É uma grande oportunidade para as empresas se adequarem em conformidade com as diretrizes da LGPD. Dessa maneira, protegerão suas informações, ativos intangíveis e até mesmo segredos empresariais.
Em suma, para evitar qualquer tipo de sanções ou multas por decorrência de incidentes que envolvam o tratamento indevido de dados, é de extrema importância adequar sua empresa à Lei Geral de Proteção de Dados (LGPD). Dessa forma, irá criar barreiras para dificultar incidentes em relação aos dados pessoais, protegendo o maior ativo de qualquer empresa, sua própria reputação!