Saiba como se adequar às novas normas e quais as penalidades onerosas envolvidas no descumprimento da Lei Geral de Proteção de Dados (Lei 13.709/2018)
Estão valendo os dispositivos que tratam das multas e demais sanções administrativas para empresas privadas, órgãos públicos e pessoas físicas que infringirem normas da Lei Geral de Proteção de Dados (LGPD), a Lei 13.709/2018. Embora tenha sido publicada em 2018, parte dela só entrou em vigor em setembro de 2020 para que todos tivessem tempo de regularizar seus processos de tratamento de dados pessoais. Agora, é hora dos artigos 52, 53 e 54 vigorarem no intuito de punir quem não se adequou às novas normas.
A LGPD se aplica a toda operação de tratamento de informações pessoais, seja em ambiente online ou offline, por pessoas físicas ou jurídicas que tratam tais dados com finalidade comercial. As regras valem para toda organização, de todos os portes e segmentos. Na prática, estamos falando dos dados pessoais fornecidos para o banco, no registro do quadro de funcionários de uma empresa, no cadastro de clientes em lojas, nos espaços que registram digitais para acesso, tais como condomínios comerciais ou residenciais, negócios digitais (e-commerce) e muito mais.
A eficácia da Lei Geral de Proteção de Dados (LGPD) aumentou a demanda por soluções de cibersegurança e privacidade. Apesar disso, a mais recente pesquisa da Agência Nacional de Proteção de Dados (ANPD) aponta que cerca de 74% das empresas ainda não se adaptaram às novas regras. O CEO da Trust Control, Alberto Jorge, explica que o primeiro passo para um negócio se adequar ao atual cenário imposto pela LGPD é fazer o mapeamento de dados pessoais e dos processos que fazem o uso desses dados em todas as áreas da organização. “O mapeamento das bases críticas, ou seja, onde estão as informações sensíveis, hoje é um dos grandes desafios para a maioria das empresas, além da mudança na cultura para o tratamento desses dados, com a adoção de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais”, ressalta.
Para realizar essa adequação, as organizações precisam designar três profissionais ou contratar uma empresa especializada que execute as seguintes funções:
O Controlador: profissional que vai tomar as decisões sobre tratamento dos dados;
O Operador: responsável por aplicar as decisões sobre o tratamento dos dados;
O Encarregado: intermediador entre o controlador, o proprietário dos dados e a ANPD, entidade do governo que fiscalizará a lei.
Além disso, alguns outros pontos devem ser observados, como a reestruturação da política de privacidade e termos de uso, a criação de política de violação de dados com prazos de notificação, medidas técnicas e equipamentos para assegurar a proteção dos dados pessoais, bem como melhorias no sistema de descadastramento e exclusão dos dados do cliente. “As medidas técnicas e organizacionais devem ser implementadas para garantir responsabilidade e lisura no processo”, enfatiza Alberto Jorge. A Trust Control é uma empresa de Segurança da Informação do Grupo Lanlink com o foco em Serviços Gerenciados e Soluções em Cibersegurança.
Empresas de tecnologia, startups e empresas de comunicação utilizam dados pessoais como principais ativos de ações de marketing e vendas. Nesses casos, é necessário fazer a revisão de contratos dos clientes, sistemas e processos, garantindo que dados pessoais tenham embasamento legal ou autorização para serem manipulados e sejam usados com a finalidade pela qual foram solicitados. Endereço, e-mail, telefone, localização, endereço de IP, cookies são todos considerados dados pessoais para a LGPD.
Para agências de assessoria de imprensa , relações públicas e marketing digital ainda é preciso cuidado com senhas e acessos de sites e redes sociais. A advogada Stephanie Facundo Rocha, especialista na área de LGPD do escritório Mota & Facundo Advogados, explica que “se o login for composto por um dado que possa tornar identificável um titular (pessoa natural), também é entendido como tratamento de dados para a Lei. Os dados de acesso são sempre confidenciais, isso já basta para empreender esforços de segurança da informação na sua guarda”, destaca.
Sua sócia, Thais Aquino, ainda acrescenta: “Existem várias opiniões sobre até que ponto os dados de login são dados pessoais. Se o login for, por exemplo, um e-mail do tipo nomedaempresa@empresa.com.br, que não permita identificar um titular específico (pessoa natural), não necessariamente é enquadrado como dado pessoal. Em contrapartida, se o login for algo como o nome de pessoa física, obviamente, temos um dado pessoal tratado pela empresa de comunicação”.
Os empresários devem se conscientizar de que a LGPD não foi sancionada com a intenção de prejudicar o modelo de negócio das empresas. Ao contrário, há muitas vantagens para quem cumprir a adequação, como a boa imagem da organização diante da segurança de dados, com ênfase em mitigar vazamento de informações envolvendo clientes, colaboradores e fornecedores.
Conheça as penas previstas no capítulo VIII (seção I) para a LGPD:
Advertência;
Publicização da infração;
Bloqueio dos dados até a regularização da atuação;
Eliminação dos dados pessoais que resultaram na infração;
Multa diária;
Multa de até 2% do faturamento da empresa (limitado a R$ 50 milhões);
Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses até a regularização da atividade de tratamento;
Proibição do tratamento de dados;
Como se adequar?
Crie uma equipe técnica para tomar decisões sobre dados;
Mapeie as informações sensíveis dos colaboradores, clientes e fornecedores que você tem;
Crie um processo de coleta de dados pessoais com consentimento;
Faça uso responsável dos dados.