10 de fevereiro de 2020

LGPD – entenda os principais impactos para as empresas

 

A Lei Geral de Proteção de Dados brasileira (LGPD) entra em vigor em agosto deste ano e terá grande impacto dentro das empresas. Atualmente se tem um período de adequação para empresas, com muitas se atentando a necessidade de mudanças e outras ainda não percebendo a real importância do tema.

Segundo o sócio da Damiani Sociedade de Advogados, André Gustavo Sales Damiani, empresa associada ao Grupo Alliance, a mudança foi editada como resposta à já consolidada demanda do mercado internacional pela preservação da liberdade, da intimidade e da privacidade daqueles que confiam dados a terceiros, sobretudo em ambientes virtuais.

“A proposta tem o objetivo de acreditar o Brasil como parceiro de negócios íntegro, confiável e atento à dinâmica econômica mundial, nosso legislativo se inspirou na lei europeia para disciplinar as operações com dados de pessoas naturais em território nacional”, explica o advogado.

Ele explica que o “tratamento de dados pessoais”, assim definido pela LGPD, compreende, portanto, a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais naturais, devendo estar sempre pautado no consentimento do titular.

Além disso, é preciso estabelecer a delimitação da finalidade do tratamento, bem como ter rigorosos padrões de proteção a vazamento e desvio de finalidade, com exigências técnicas que passam, invariavelmente, por soluções em tecnologia da informação, gestão de processos e governança corporativa.

Para entender melhor o tema, veja perguntas sobre o tema respondidas pela Damiani Sociedade de Advogados:

  • Como as empresas podem se adequar a essa urgência relacionada a LGPD?

Cada empresa deve criar uma política de proteção de dados adequada à sua exposição e à cultura que rege seu ambiente, estimulando os comportamentos esperados e fortalecendo os controles internos. O primeiro passo é identificar, portanto, as fragilidades da operação em relação às exigências da lei, para, a partir delas, criar mecanismos de correção e prevenção de irregularidades no tratamento dos dados pessoais.

  • O que já se tem definido em relação ao LGPD?

A LGPD já está em vigor, mas a Autoridade Nacional de Proteção de dados somente estará autorizada a fiscalizar e a cobrar o cumprimento da norma, sob pena de incidência das sanções previstas, a partir de agosto de 2020.

Aqueles que não se adequarem aos standards legais de proteção estarão sujeitos a penalidades diversas conforme a complexidade da infração, podendo sofrer com multa de até 2% (dois por cento) do faturamento da empresa, grupo ou conglomerado no Brasil, no seu último exercício (excluídos os tributos), limitada a 50 milhões de reais por ocorrência, sem prejuízo das eventuais sanções penais aplicáveis às pessoas físicas envolvidas.

  • O que as empresas já devem fazer para se anteciparem a essa nova realidade?

O primeiro passo é identificar as fragilidades da operação em relação às exigências da lei, para, a partir delas, criar mecanismos de correção e prevenção de irregularidades no tratamento dos dados pessoais. É importante, também, eleger a pessoa que desempenhará a função de encarregado. De acordo com a lei, ele será o responsável por, dentre outras obrigações, intermediar o contato entre a empresa e a Autoridade Nacional de Proteção de Dados, bem como facilitar o contato do titular dos dados pessoais com o controlador/operador.

  • Quais as empresas mais impactadas?

Estão sujeitas à disciplina da LGPD as operações de tratamento de dados pessoais realizadas por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, que:

  1. sejam realizadas no território brasileiro;
  2. tenham por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
  3. os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Por tratamento de dados pessoais entende-se a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais naturais.

O impacto da lei nas empresas variará, portanto, conforme o segmento de mercado explorado, o objeto empresarial, o grau de maturidade da governança de T.I., o volume e o tipo de dado pessoal tratado.

  • Toda a comunicação com os clientes terá reflexo? Como fazer o marketing de uma empresa com essa nova realidade?

A comunicação com os clientes e as ações de marketing, assim como todas as ações definidas pela lei como “tratamento de dados pessoais”, deverão observar os requisitos autorizadores dessas condutas, dentre eles o consentimento do titular, a delimitação da finalidade do tratamento, sem prejuízo dos rigorosos padrões de proteção a vazamento e desvio de finalidade, com exigências técnicas que passam, invariavelmente, por soluções em tecnologia da informação, gestão de processos e governança corporativa.