6 de janeiro de 2021
LGPD seja bem vinda! Será?
Após um longo período de debate sobre possíveis adiamentos, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020 e já está valendo em todo o território nacional.
Segundo o SERPRO (Serviço Federal de Processamento de Dados), para entender a importância do assunto é necessário saber que a nova lei fomenta um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção aos dados pessoais das pessoas naturais.
Objetivando clareza, a lei conceitua o que são dados pessoais, dados sensíveis, dados anonimizados etc. Além disso, estabelece que certos dados sensíveis estão sujeitos à cuidados mais específicos, bem como esclarece que dados tratados tanto nos meios físicos como nos digitais estão igualmente sujeitos à regulação pela LGPD.
Nesse sentido, todas as empresas que manipulam dados de pessoas naturais necessitam de adequação, sendo um desafio para aquelas que lidam com dados e informações estratégicas dos clientes, como é o caso da Confirp Consultoria Contábil, a qual manuseia informações de mais de 1.000 clientes.
“Com certeza essa lei é muito importante e tem grande complexidade para implementação, felizmente na Confirp não esperamos esse debate sobre adiamento e nos adiantamos a necessidade do cliente. Hoje, temos uma estrutura totalmente adequada à lei, mas foi realmente bastante trabalhoso”, explica Sheila Santos, coordenadora de qualidade da Confirp Consultoria Contábil.
Ainda segundo o SERPRO, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados está localizada no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.
Outro elemento essencial da LGPD é o consentimento. Entretanto, esta não é a única base legal que justifica e permite o tratamento de dados pessoais, visto que a lei disponibiliza outras diretrizes, por exemplo, na hipótese de cumprimento de obrigação legal ou regulatória; para a realização de estudos por órgão de pesquisa; para a proteção da vida ou da incolumidade física do titular ou de terceiros; por legítimo interesse ou qualquer uma das bases legais estabelecidas pela lei. Para entender melhor essa situação, André Damiani e Blanca de Albuquerque Brito Lima, sócios da Damiani Sociedade de Advogados, elencaram os principais pontos em relação ao tema:
Mudanças para as empresas
A Lei Geral de Proteção de Dados foi criada para a proteção dos direitos fundamentais de liberdade e de privacidade das pessoas físicas, recaindo obrigações para todos que coletam, armazenam e manipulam dados pessoais.
Desta forma, com a entrada em vigor da LGPD, as empresas devem mitigar os riscos de irregularidades no tratamento de dados pessoais. Assim, a implementação de um programa de governança de dados deverá ser capaz de documentar a boa-fé empresarial, evidenciando as medidas adotadas pela empresa no propósito de prevenir incidentes de segurança.
Principais pontos da LGPD
As empresas devem proceder a um inventário completo de dados pessoais e processos afetados. Isso permite o mapeamento de riscos e melhor aferimento da maturidade dos controles de TI. Tudo isso no sentido de se elaborar um Roadmap de ações para se atingir a conformidade legal.
No detalhe, para a melhor conformidade, deve-se investir na criação de uma política de privacidade; treinamento dos funcionários da empresa em relação à proteção de dados; elaboração de um plano de resposta a incidentes de segurança dos dados; e criação de um canal de contato para os titulares dos dados etc.
Adequação total
Uma empresa bem estruturada em relação à adequação legal deve priorizar um programa de governança de dados de acordo com os padrões exigidos pela LGPD, mediante a adoção de medidas de segurança técnicas e administrativas. Além disso, deve estabelecer regras internas de privacidade e governança de dados, bem como viabilizar o acesso e a comunicação do titular dos dados com a empresa, orientando-se funcionários.
Punições do não cumprimento
As sanções administrativas imputadas às empresas são proporcionais ao seu faturamento, podendo incidir em punição de até R$ 50.000.000,00 (cinquenta milhões de reais) para cada incidente; motivando-se, portanto, a urgente conformidade com a LGPD.
Apesar das multas administrativas impostas pela ANPD (Autoridade Nacional de Proteção de Dados) permanecerem suspensas até agosto de 2021, as sanções judiciais poderão ser atribuídas às empresas em procedimentos originados pelo PROCON, SENACON, assim como, pelas demais autoridades do país. Aliás, verifica-se forte tendência de que ações judiciais sejam ajuizadas diretamente pelos cidadãos, titulares de dados e, portanto, potenciais prejudicados pela inobservância da legislação.
Um exemplo: renomada construtora de abrangência nacional fora denunciada por um cliente (detentor de seus dados pessoais) e condenada ao pagamento de uma indenização de R$ 10 mil por danos morais, em uma das primeiras decisões judiciais por infração à Lei Geral de Proteção de Dados (LGPD).
Segundo a decisão: o cliente “foi assediado por diversas empresas pelo fato de ter firmado instrumento contratual com a ré para a aquisição de unidade autônoma em empreendimento imobiliário”. Recebendo contatos não autorizados de instituições financeiras, consórcios, empresas de arquitetura e de construção e fornecimento de mobiliário planejado.
Processo de adequação
As empresas que ainda não se adequaram devem buscar a conformidade com urgência, demonstrando assim, a boa-fé empresarial. Lembrando que os riscos existentes são diversos. Vale citar as demandas judiciais e administrativas que poderão advir caso a empresa não tenha se adequado, visto que há previsão legal para imposição de multas administrativas e possibilidade de indenização civil fixada no âmbito judicial.
Também é importante refletir sobre eventuais prejuízos intangíveis advindos de dano reputacional às empresas que se mostrem indiferentes à privacidade e intimidade alheia.
Com tantos desafios em relação à conformidade com a lei, a consultoria se mostra extremamente necessária para compor a melhor solução, com expertise jurídica, para a elaboração de um plano de ação e transparência que abarque as diversas áreas da empresa, visando a conformidade, pois a política de privacidade será obrigatória.
Relacionados