Em setembro de 2020, passou a vigorar no Brasil os termos gerais da Lei Geral de Proteção de Dados (LGPD). De modo efetivo, isso traz uma série de implicações para empresas de todos os tamanhos e segmentos que, de alguma forma, mantenham dados pessoais em seu poder. No entanto, muitos empresários ainda têm dúvidas sobre como funciona a LGPD na prática.

Esse é um dos motivos pelo qual cerca de 64% das organizações ainda não estão em conformidade com a nova lei.

De fato, a LGPD é um regulamento complexo e, segundo o Serviço Federal de Processamento de Dados (Serpro), tenta unificar mais de 40 estatutos diferentes que regem os dados pessoais no país, tanto on-line quanto off-line. Assim, substituindo alguns e complementando outros.

Essa unificação de regulamentos anteriormente díspares e, muitas vezes, contraditórios contribui para que as empresas possam adequar suas práticas com maior facilidade. No entanto, isso não impede que surjam dúvidas sobre o funcionamento da LGPD na prática.

A seguir, você poderá conhecer as principais perguntas e respostas sobre a Lei Geral de Proteção de Dados e entender o que sua empresa precisa fazer para estar em conformidade. Confira!

O que é a LGPD na prática?

Inspirada na regulamentação europeia (Regulamento Geral de Proteção de Dados – GDPR), a Lei Geral de Proteção de Dados (LGPD) regula todos os tipos de processamento de dados pessoais coletados no Brasil.

Ou seja, ela estabelece regras sobre a coleta, tratamento, armazenamento, compartilhamento e outras ações que podem ser realizadas com os dados pessoais administrados por organizações públicas ou privadas.

Em suma, a LGPD concede aos indivíduos residentes no Brasil nove direitos exigíveis sobre seus próprios dados pessoais e estabelece limites para as empresas.

Entre as ações coibidas pela nova lei está o tratamento de dados pessoais sem a observância às bases legais previstas na LGPD, valendo tanto do setor privado como de autoridades públicas.

A LGPD também engloba a segurança dos dados pessoais e estabelece práticas e medidas que devem ser adotadas pelas empresas para proteger as informações pessoais, bem como ações que devem ser seguidas em casos de vazamentos.

Quem é afetado pela LGPD?

A LGPD tem escopo extraterritorial, isso significa que ela se aplica tanto a organizações no Brasil como as organizações internacionais que processam dados pessoais com o objetivo de oferecer ou fornecer bens e serviços a pessoas singulares no Brasil.

Em outras palavras, a LGPD na prática tem um alcance muito amplo e se aplica a todas as pessoas físicas e jurídicas, públicas e privadas, que realizam atividades de processamento de dados pessoais ocorridas ou relacionadas às pessoas físicas localizadas no Brasil. Além disso, impacta empresas que têm como objetivo o fornecimento de bens ou serviços no país ou envolvem dados pessoais coletados no Brasil.

Vale ressaltar que o tratamento de dados realizado para fins estritamente pessoais por indivíduos, para fins exclusivamente jornalísticos, artísticos, literários ou acadêmicos ou para a segurança nacional, defesa nacional, segurança pública ou atividades de investigação criminal ou punição, está isento do cumprimento da LGPD.

Quais tipos de informações são protegidas pela LGPD na prática?

A LGPD busca criar uma padronização de normas e práticas, para promover a proteção aos dados pessoais, os quais são tratados no texto da lei em dois grupos:

Dados Pessoais

A LGPD afirma em várias passagens que dados pessoais podem significar quaisquer dados que, por si só ou combinados com outros, possam identificar uma pessoa singular.

Assim, podem ser considerados dados pessoais informações como dados cadastrais, data de nascimento, profissão, dados de GPS, identificadores eletrônicos, nacionalidade, gostos, interesses e hábitos de consumo, entre outros.

Dados sensíveis

A LGPD, no inciso II do art. 5º cria uma segunda divisão do dado pessoal, nomeado como “sensível”.

Segundo a lei, são classificados nesse grupo todo conteúdo “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Ou seja, dados sensíveis são aquelas informações que podem levar à discriminação de uma pessoa e, por isso, sua utilização, na maioria dos casos, pode estar condicionada a necessidade de consentimento do titular, definido pela lei como a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.

Quais os direitos do titular dos dados?

No Artigo 18, constam os direitos dos titulares amparados pela LGPD na prática, a saber:

• O direito à confirmação da existência do tratamento de dados;
• O direito de acessar os dados a qualquer momento;
• O direito de corrigir dados incompletos, imprecisos ou desatualizados;
• O direito de tornar anônimo, bloquear ou excluir dados desnecessários ou excessivos ou dados que não estejam sendo processados ​​em conformidade com a LGPD;
• Direito à portabilidade dos dados para outro prestador de serviços ou produtos, mediante solicitação expressa;
• O direito de apagar dados pessoais processados, mesmo quando houver consentimento anterior;
• O direito à informação sobre entidades públicas e privadas com as quais o controlador compartilha dados;
• O direito à informação sobre a possibilidade de negar o consentimento e as consequências de tal negação; e
• O direito de revogar o consentimento.

O que configura o tratamento de dados?

O tratamento de dados pode ser entendido como qualquer procedimento que envolva o uso de dados, tais como coleta, classificação, processamento, armazenamento, compartilhamento, transferência, eliminação de dados pessoais.

Contudo, se analisarmos o artigo 5º, X da LGPD, podemos notar que a lei deixa claro que é qualquer atividade que possa ser realizada com os dados pessoais.

A lei estabelece que existem três figuras principais no processamento de dados, que são o controlador, o operador e o encarregado de proteção de dados.

Quem são os controladores, operadores e encarregados de proteção dados?

O controlador tem a responsabilidade de determinar todas as políticas relevantes e aplicáveis ​​sobre o processamento de dados e é responsável por criar as diretrizes que o operador deve executar.

Consequentemente, a LGPD define o operador como a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.

Ambos os papéis são chamados coletivamente de “agentes de tratamento”.

Já o encarregado de proteção de dados (DPO, na sigla em inglês) é definido pela lei como a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Em outras palavras, esse profissional atua como um fiscal da LGPD dentro das empresas e deve zelar pelo cumprimento de todas as diretrizes da lei.

Em termos gerais, todas as empresas devem contar com a figura do DPO para ajudá-las a colocar a LGPD em prática.

Para muitas organizações, a melhor solução é contratar serviços de consultoria, visto que este tipo de profissional é altamente qualificado e, como tal, muito difícil de encontrar no mercado. Vale ressaltar ainda que ter experiência é atributo essencial para o bom exercício dessa função.

O que é a Autoridade Nacional de Proteção de Dados (ANPD)?

A Autoridade Nacional de Proteção de Dados é a entidade vinculada ao Poder Executivo do governo brasileiro responsável por controlar a aplicação da LGPD e de administrar suas sanções.

Quais as consequências para quem não cumprir a LGPD?

As empresas que não cumprirem as determinações da LGPD estão sujeitas a sanções e multas.

As multas por cada violação podem chegar a 2% do faturamento bruto do último exercício, limitadas ao montante de 50 milhões de reais.

Em caso de violações de dados, as empresas também podem sofrer sanções administrativas, que incluem advertências, bloqueio ou eliminação do acesso a dados pessoais ou até mesmo a suspensão da atividade de tratamento de dados pessoais.

Quais medidas devem ser adotadas pelas empresas para se adequarem à LGPD na prática?

Em primeiro lugar, se uma empresa não tiver certeza se deve cumprir a LGPD, recomendamos procurar o aconselhamento de especialistas no assunto. Já as empresas que são obrigadas e a seguir a LGPD na prática, devem seguir uma série de procedimentos que englobam:

Avaliação

Compreenda as políticas e procedimentos atuais para a coleta, armazenamento, venda / compartilhamento e proteção de dados pessoais.

Análise de lacunas

Revise os requisitos de LGPD na prática e compare-os com os resultados da avaliação. Depois, faça uma comparação entre os processos em vigor e aonde o negócio precisa chegar para alcançar a conformidade.

Também é preciso analisar o ambiente de TI para verificar vulnerabilidades de segurança e a necessidade de implementação de ferramentas de proteção capazes de proteger os dados contra todos os tipos de ameaças.

Roteiro para conformidade

Desenvolva um roteiro claro com as etapas a seguir para alcançar a conformidade com base na análise de lacunas.

Priorize as ações e tarefas necessárias com base no risco e no nível de esforço exigido.

Implementação

Desenvolva atualizações e mecanismos para conformidade com os regulamentos, como políticas de privacidade, aceitação e opt-out, atualizações do site etc.

Documente as políticas de segurança e tenha os controles adequados implantados para aplicá-las e para demonstrar a manutenção contínua.

Verifique junto aos operadores, como provedores de serviços em nuvem, a devida aplicação de políticas e procedimentos capazes de garantir a conformidade com a LGPD.

Certifique-se de adotar soluções de segurança para todos os pontos de acesso a dados pessoais e de proteger todos os servidores onde esses dados são armazenados.

Também é indispensável verificar se os sistemas de backup e recuperação estejam operacionais para que você possa atender às solicitações dos clientes, independentemente dos problemas operacionais que possam afetá-lo.

Além disso, recomendamos a implantação de um sistema de gestão de dados e direitos dos titulares, o qual permite a fácil localização tanto de dados pessoais, quanto da autorização dos titulares para uso.

Finalmente, treine a equipe sobre legislação e requisitos para conformidade!

Para não correr nenhum risco e garantir que sua empresa está seguindo todas as exigências da LGPD na prática, é extremamente recomendável contar com a consultoria de uma empresa especializada no assunto.

É a melhor forma de garantir que todos os pormenores presentes na lei sejam considerados em todas as rotinas que envolvam o tratamento de dados pessoais.

Conclusão

Agora você já conhece algumas perguntas e respostas que abrem caminho para o entendimento da LGPD na prática.

Como ressaltado, essa é uma lei complexa e necessita de uma análise minuciosa de todo fluxo de informação dentro da empresa, bem como de todos os requisitos legais, para que seu negócio não sofra com sanções e multas.

Com base nessas informações, você acredita que sua empresa já está em compliance com a nova lei?

Se a resposta for negativa, ou se ainda restam dúvidas, você precisa se apressar, pois a lei já está em vigor.

Por isso, não corra riscos! Conte com a ajuda de profissionais especializados que sabem como funciona a LGPD na prática e que sabem tudo o que deve ser feito para adequar sua atividade aos novos requisitos legais.

A Portnet Tecnologia elaborou um questionário para entender um pouco do seu negócio e como os dados são tratados dentro da empresa.

A partir da análise das respostas, alinharemos o escopo da atuação e proposta sobre a consultoria de implementação da LGPD na prática e normas correlatas.

Fonte: Portnet