LGPD – o que sua empresa já deveria ter feito?

Depois de uma verdadeira maratona cheia de idas em vindas, com quase 10 anos de debates entre Congresso Nacional e sociedade, além de prazo para adequação, a Lei Geral de Proteções de Dados (LGPD) é uma realidade desde o dia 17 de setembro de 2020 para a qual as empresas devem se adequar. E o que isso muda para as empresas? Tudo!

Essa medida chega em boa hora, pois recentemente se soube de diversos mega vazamentos de dados da população, expondo praticamente toda a população brasileira viva, além de alguns CPF de pessoas já falecidas. A pandemia também foi um fator que fragilizou a proteção de dados e agora as pessoas estão muito mais preocupadas em se proteger.

A finalidade da LGPD é proteger os dados, salvaguardando as informações de pessoas físicas. Importante ter em mente que toda operação de tratamento de dados pessoais realizada por empresas privadas, órgãos públicos ou até mesmo por pessoas físicas então dentro desta lei, independente se a mesma seja utilizada em ambiente online ou offline. 

Ou seja, engloba desde a venda da esquina até os principais softwares de relacionamento. Também a lei não limita o país onde os responsáveis pelo tratamento estejam. Ou seja, a LGPD mudará a vida das empresas.

“Inicialmente as empresas devem realizar um conjunto de eventos internos para apresentação formal da Lei, sua origem, seus objetivos, os impactos e principais impactos corporativos, e a estrutura da Lei, ressaltando-se o entendimento de que a adequação é no contexto de Atividades de Tratamento de Dados”, explica Carol Lagoa, sócia da Witec IT.

“A lei traz um novo modelo organizacional de Compliance Legal com uma Governança específica no tratamento do Ciclo de Vida dos Dados Pessoais, incluindo um conjunto de Direitos aos Titulares | Donos dos Dados Pessoais”, complementa Lagoa.

O grande ponto para empresas é que, em caso de descumprimento da Lei Geral de Proteção de Dados, as multas podem chegar até 2% do faturamento da empresa, com o teto de 50 milhões de reais. Mas, por mais que tenha ficado definido que as punições só serão sancionadas a partir de agosto de 2021. Existem várias causas que já estão sendo favoráveis aos consumidores e empresas estão pagando pesadas multas

“A conformidade das empresas com a Lei Geral de Proteção de Dados (LGPD) exige a implementação de um programa de governança de dados específico”, explica Blanca de Albuquerque Brito Lima, sócia da Damiani Sociedade de Advogados.

Ela complementa que “para a estruturação da conformidade, a empresa deve adotar medidas de segurança no âmbito jurídico e técnico. Além disso, deve elaborar uma política de privacidade, estabelecer o ciclo de vida de dados que são tratados pela empresa, atribuir bases legais para os tratamentos de dados, realizar uma adequação dos contratos, contratar um Data Protection Officer (DPO), viabilizar o acesso e a comunicação do titular de dados com a empresa, bem como realizar treinamentos e capacitação dos colaboradores no âmbito da proteção de dados pessoais”.  

Segundo Carol Lagoa da Witec, o ciclo de vida da um Compliance Legal sempre adota um passo-a-passo previsto como:

1. Assessment Inicial para entendimento dos atuais GAPs de Compliance
2. Organização mínima da Cultura e Estrutura Organizacional para se adequar minimamente à LEI
3. Implementação de Processo, Procedimentos, Revisões Contratuais, Políticas e Normas Internas para se tornar minimamente adequada à Lei
4. Governança de Compliance no dia a dia, para continuidade do Compliance
5. Implementação de melhoria contínua

Entenda melhor

“Simplificando, a LGPD foi criada com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade das pessoas físicas. Neste sentido, ela abrange toda a forma de coleta, armazenamento, compartilhamento e eliminação de dados pessoais”, explica Blanca.

Qualquer cidadão, titular dos dados pessoais, poderá questionar as empresas sobre oo tratamento que é dado a sua informação pessoal. Em função disso será necessário que as empresas definam canais específicos de contato para questionamento e tenham um encarregado: indivíduo ou setor responsável pelo atendimento das questões relacionadas a privacidade e proteção de dados pessoais dentro da organização. 

Esse profissional será o mediador da comunicação entre os agentes de tratamento de dados (controlador e operador), a ANPD (Autoridade Nacional de Proteção de Dados), o titular dos dados pessoais (pessoa física), além de outras autoridades públicas que eventualmente fizerem questionamentos. 

Pode parecer assustador em um primeiro momento, mas algumas ações já devem ser tomadas pela empresa. Vamos a elas:

Criação de um Comitê de Privacidade – Selecionando profissionais de diferentes áreas, que tragam o conhecimento dos processos de seu setor, com o objetivo de garantir que ela esteja operando dentro da Lei.

Busca de consultoria jurídica especializada – a Lei é muito recente e passa por alterações e entendimentos, assim é preciso que se tenha um suporte especializado para esse processo como um todo.

Contratação ou direcionamento a um profissional especializado – nasce um novo cargo nas empresas o Digital Protection Officer (DPO), ou encarregado de tratamento de dados, sendo esse a pessoa física ou jurídica que será responsável legalmente por comandar atividades de proteção de dados dentro da empresa. Esse irá responder diretamente à Autoridade Nacional de Proteção de Dados (ANPD). 

Veja algumas da função desse profissional ou terceirizado:

• Atender demandas de usuários e prestar esclarecimentos
• Receber comunicações da ANPD e tomar providências
• Orientar funcionários em relação às práticas que devem ser seguidas, verificando seu cumprimento dentro da empresa.

Rever todos os processos da empresa – Após a adequação estrutural, chega a hora de grande trabalho, precisando rever todos os processos de uso de informações, a forma com que se obtêm o consentimento pelos dados devem ser revistas, para se adequar a LGPD. O titular dos dados precisa saber exatamente a finalidade que será dada às suas informações.

Ponto importante é que a empresa só poderá utilizar a informação conforme comunicado, ou seja, se precisa do CPF para checar o crédito da pessoa, apenas poderá ser utilizado para essa finalidade, se for utilizar para outro motivo deverá solicitar outro consentimento.

A dica é identificar todas essas atividades e verificar o cumprimento de medidas de segurança, tempo de retenção das informações, entre outros pontos levantados pela LGPD.

Conscientização é preciso – Outro ponto fundamental dentro das empresas é a conscientização de todos os seus colaboradores sobre a LGPD, mostrando como essa lei impactará em sua atividade ao lidar com informações sensíveis de terceiros. Sem criar cultura interna de proteção de dados não há como atingir conformidade legal, pois as empresas são feitas de pessoas.

As bases legais da LGPD

Segundo a sócia da Witec, todas as informações são passíveis de serem Coletadas e Tratadas pelas empresas, desde que, devidamente amparadas pelas Bases Legais. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: 

II – adequação

III – necessidade

IV – livre acesso

V – qualidade dos dados

VI – transparência

VII – segurança: 

VIII – prevenção: 

IX – não discriminação

X – responsabilização e prestação de contas

Processos nas empresas

Mas, como as empresas devem agir para implementar esses ajustes necessários? A Confirp Consultoria Contábil passou recentemente pelo processo de adequação que mostra basicamente um passo a passo desse processo.

“A preocupação com esse tema já é antiga na empresa, sendo que trabalhamos com dados confidenciais dos clientes e precisávamos nos adequar a essa nova realidade. Contudo, tivemos um facilitador no fato de já termos por anos seguidos a qualificação ISO, na qual os processos todos já estavam bem delimitados”, explica a gerente de qualidade Sheila Santos.

Ela conta que mesmo assim a empresa montou um cronograma muito rígido com acompanhamento semanal sobre o tema e ajustes que levam a empresa a já estar praticamente totalmente adequada ao sistema.

Veja alguns dos processos que fizeram parte dessa implementação:

• Nomeação do Comitê oficial de Segurança da Informação
• Nomeação o DPO da companhia [responsável por responder legalmente pela LGPD]
• Revisão do Contratos dos Colaboradores para adequação à LGPD
• Revisão do Contrato de Clientes para adequação à LGPD
• Política de Privacidade
• Adequar o procedimento de atendimento ao cliente [SAC] à LGPD
• Política para controle de visitantes
• Adequar o mapa de Gestão de Riscos à LGPD
• Política de Segurança da Informação – Procedimento de TI
• Elaborar plano de resposta a incidentes de Segurança
• Mapeamento de uso de dados
• Elaborar Política para Gestão de Marketing conforme a LGPD
• Relatório de Impacto – Controlador
• Política de Conduta – Regulamento Interno
• Revisão dos Contratos de Fornecedores para adequação à LGPD
• Treinamento de funcionários.

Impacto sofrido pelo marketing

Para as áreas comerciais a grande preocupação será em saber se sua comunicação está adequada com cliente. Mas a sócia da Damiani esclarece que o impacto consiste em se buscar o equilíbrio entre as ferramentas tecnológicas de marketing e a lei. 

“Neste sentido, muito embora o consentimento tenha papel relevante, existem diversas estratégias eficazes para a adequação. Por exemplo, com fundamento em outra base legal conhecida por “legítimo interesse”, a empresa não precisaria obter o consentimento de todos na sua lista de e-mail marketing para continuar enviando comunicações; poderia utilizar uma dinâmica de Opt-out, ou seja, colocar um adendo em suas comunicações (um link na maioria das vezes) em que o indivíduo pode clicar para não receber mais informações da empresa, e, por consequência, sair de sua lista de contatos. Desta forma, a empresa sofrerá menos alterações na estrutura da operação já adotada previamente”, explica.

Derrubando mitos

Para melhor entendimento do assunto Carol Lagoa apontou alguns mitos sobre o tema

1. Sou uma pequena empresa e não estou sujeito à LGPD.
2. Sou um Condomínio Residencial não estou sujeito à LGPD.
3. Sou um B2B não estou sujeito à LGPD.
4. Não preciso de nenhuma ferramenta de Tecnologia para estar minimamente adequado à LGPD.
5. Não preciso me preocupar com qualquer tipo de aspectos de Segurança da Informação para esta para estar minimamente adequado à LGPD.
6. Tenho um Advogado atuando no assunto, e não preciso me preocupar
7. Isso é coisa apenas para o T.I. resolver

Uma vez desconstruídos alguns mitos a respeito da LGPD, a verdade é que o desafio da conformidade exige uma abordagem customizada e multidisciplinar, com integração de soluções jurídicas e tecnológicas para compor um plano de ação sólido e alinhado às características da organização. 

Cada empresa deve implementar uma política de proteção de dados adequada à sua exposição e à cultura que rege seu ambiente, estimulando os comportamentos esperados e fortalecendo os controles internos. O primeiro passo é, portanto, identificar as fragilidades internas em relação às exigências da lei, para, a partir delas, criar mecanismos de correção e prevenção de irregularidades no tratamento dos dados pessoais para todas as áreas da operação impactadas (“Assessment”).

Identificado o problema de forma detalhada, com certeza serão necessárias, pelo menos, 10 (dez) entregas essenciais na busca da conformidade LGPD:

1. mapeamento do risco;
   2. implementação de programa de governança de dados;
   3. integração da estratégia jurídica com as soluções praticadas em T.I.;
   4. revisão dos processos internos impactados pela lei;
   5. recomendações para a implementação de um programa de segregação de funções e determinação de cadeia de responsabilidades;
   6. atribuição de bases legais e gestão de logs de consentimento;
   7. eleição conjunta de responsável pela gestão do programa de privacidade (encarregado);
   8. treinamento, conscientização e capacitação dos colaboradores envolvidos;
   9. documentação da “boa-fé” empresarial;
   10. possibilidade de suporte para melhoria contínua e gestão de crise.

“Em síntese, não há milagre. É preciso direcionar esforços e investimento no sentido de se contratar apoio multidisciplinar e customizado de profissionais com experiência voltada à solução de um problema permeável a todos os setores da empresa, cuja solução transformará o modus operandi das corporações”, explica o sócio da Damiani, André Damiani.