A importância da adaptação à LGPD
Em
artigo, Renato Opice Blum discute a importância das empresas se adequarem à
LGPD. E uma das estratégias é o chamada data maping. Entenda
A Lei Geral de Proteção de Dados (LGPD),
de n.º 13.709/2018, entrará em vigor em agosto de 2020 – portanto, em menos de
um ano –, representando importante marco para o ordenamento jurídico
brasileiro.
A
lei dispõe sobre o tratamento de dados pessoais por pessoa natural ou pessoa
jurídica de direito público ou privado, com o objetivo de proteger os direitos
fundamentais de liberdade e privacidade e o desenvolvimento livre da
personalidade da pessoa natural.
É
prudente que as organizações se antecipem e procurem a adaptação à LGPD o
quanto antes, evitando gastos exacerbados com providências de última hora.
Mudanças
A
LGPD sofreu algumas alterações ao longo do processo legislativo; a última delas
foi trazida pela Lei n.º 13.853/2019, que instituiu a Autoridade Nacional de
Proteção de Dados (ANPD). Entre as suas atribuições, está a de cunho
preventivo, pela qual deverá disseminar educação e boas práticas a toda a
população, ainda pouco familiarizada com o conceito de proteção de dados e
privacidade.
No
entanto, a lei também cria o poder sancionatório da ANPD, o que torna
imperativo que todas as organizações estejam em conformidade com as regras
estabelecidas pela Lei Geral de Proteção de Dados ao tempo de sua vigência.
De
fato, a lei traz sanções brandas (como a advertência), mas prevê outras
bastante severas, como multa de até 2% do faturamento no último exercício do grupo
no Brasil, limitado a R$ 50 milhões por infração; multa diária até o limite da
multa sobre o faturamento; publicização da infração; bloqueio dos dados
pessoais a que se refere a infração até a regularização; e eliminação dos dados
pessoais a que se refere a infração.
Para
a aplicação da sanção, a lei permite que a autoridade leve em consideração os
esforços empreendidos pela instituição nos tratamentos de dados pessoais de
forma diligente e segura, bem como as providências tomadas para a mitigação dos
danos provenientes de incidentes de segurança. Sendo assim, faz todo o sentido
que as organizações façam os melhores ajustes que puderem.
Conformidade
Para
a conformidade com a LGPD, é essencial que se constitua uma estrutura de
governança em proteção de dados e privacidade em que todos os colaboradores da
instituição estejam realmente envolvidos e engajados. Sem o amplo envolvimento
de todos eles, nem mesmo um primoroso programa de conformidade será capaz de
garantir a adequação.
A
instituição deve elaborar uma política de proteção de dados que contenha
diretrizes, procedimentos internos, padrões de respostas a incidentes,
avaliações de riscos de novos projetos, atualizações de mapeamento,
classificação dos dados pessoais, procedimentos de exclusão de dados e outros
pontos que a organização considerar relevante. Esses elementos devem constar na
política criada pela empresa, a fim de que qualquer colaborador envolvido com o
tratamento de dados pessoais tenha ciência das diretrizes estabelecidas a serem
seguidas no plano adaptativo.
Na
estruturação do programa de conformidade à LGPD, é preciso que se
responsabilidades e atribuições internas sejam distribuídas se ter controle
sobre a efetividade do programa. Além disso, a realização de treinamentos é
fundamental para a capacitação e o engajamento de todos os colaboradores da
instituição.
O
controlador e operador devem manter registro das operações dos tratamentos de
dados pessoais que realizarem. A atividade é bastante burocrática, mas
configura um método de autoconhecimento bastante importante para o início da
adequação da organização aos termos da lei.
Data maping
Na sequência, é necessário fazer um
mapeamento dos tratamentos de dados feitos na empresa, considerando-os em todo
o seu ciclo de vida: desde coleta, passando por usos e transferências e
chegando a eliminação. Esse processo é chamado de data
maping.
Com
o mapeamento dos dados, pode-se identificar se há excessos nos tratamentos, ou
se somente os dados necessários foram coletados para a finalidade proposta. É
possível conferir se as bases legais usadas são condizentes para determinadas
finalidades, ou se não há base que justifique o tratamento do dado coletado.
Finalmente, o mapeamento permite identificar os principais focos de riscos no
tratamento de dados de cada organização e que demandam mais cuidados e ações.
A
lei traz a obrigatoriedade de o controlador indicar o encarregado pela proteção
de dados pessoais (Data Protection Officer – DPO), pessoa natural ou jurídica,
e será o ponto de conexão entre a empresa, os titulares dos dados e a ANPD. A
lei não exige, mas é essencial que o encarregado tenha bons conhecimentos
jurídicos e de governança, para que haja a correta convergência entre o que diz
a política de privacidade estabelecida na organização e a LGPD.
A autoridade
A
lei enuncia que a autoridade nacional possa editar normas, orientações e
procedimentos simplificados e diferenciados, inclusive quanto a prazos de
adaptação à lei para microempresas, empresas de pequeno porte, startups e
empresas de inovações. A atenção a esse grupo se justifica em função da
condição econômica limitada e do alto volume de operações de tratamento
realizadas. Pela mesma razão, a ANPD poderá flexibilizar a exigência de
indicação de encarregado, usando, para tanto, o artigo 41, § 3º, da LGPD.
A
organização deve ter cuidado também com os dados pessoais que já estiverem em
seu poder antes do início da vigência da lei. É preciso que exista uma base
legal que justifique a manutenção desses dados – ou, do contrário, deverão ser
eliminados.
É
essencial esclarecer que até mesmo empresas que tenham trabalhado com seriedade
em uma boa adaptação não estão imunes a incidentes de segurança. Contudo, com a
correta conformidade à lei, essa vulnerabilidade pode ser sensivelmente
atenuada, e eventuais incidentes, minimizados.
Artigo
escrito por Renato Opice Blum, advogado, economista e mestre pela Florida
Christian University. Ele também é professor coordenador dos cursos de proteção
de dados e Direito Digital do Insper, e presidente do Conselho de Comércio
Eletrônico da Fecomercio SP.
Fonte: Consumidor Moderno
Nenhum comentário:
Postar um comentário