LGPD: como implementar a Lei Geral de Proteção de Dados na sua empresa

Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no email
Leitura de 19 min

A LGPD (Lei Geral de Proteção de Dados) é a Lei que trata de toda a matéria que envolve a coleta, tratamento e eliminação de informações, sejam elas pessoais ou não.

A Lei vai passar a produzir seus efeitos a partir de agosto de 2020 e, até lá, todas as empresas devem regularizar sua política de proteção e tratamento de dados, de acordo com as determinações desta Lei.

Assim, com o prazo para sua obrigatoriedade se aproximando, é natural ter dúvidas a respeito da nova Lei e, principalmente, sobre como aplicá-la aos negócios.

Por isso, preparamos este artigo para você ficar por dentro do que precisa observar quando for implementar a Lei na sua empresa!

Então, se você não faz ideia do que é a LGPD ou se já sabe, mas não sabe por onde começar, esse é o artigo certo para responder às suas dúvidas.

Continue a leitura deste post e fique por dentro do assunto!

O que é LGPD?

A Lei Geral de Proteção de Dados (LGPD) é a lei brasileira que prevê mais privacidade ao titular de dados, isto é, aquele a quem as informações se referem, de modo que ela regula todas as etapas do tratamento de dados: desde a coleta até a exclusão dessas informações em bancos de dados.

Agora, com a LGPD, todos aqueles que realizam o tratamento de dados para fins econômicos – o que inclui a coleta, a manipulação e o desfecho dos dados – terão que se adequar a essa legislação, que prevê mais transparência no procedimento.

Vale esclarecer que a LGPD se aplica tanto aos dados obtidos no meio virtual quanto aos colhidos no meio físico, o que quer dizer que sempre que houver um fluxo de dados, em uma atividade empresarial por exemplo, essa Lei deve ser observada, independente se tal fluxo ocorra pela internet ou em um cadastro de clientes em uma loja.

Pontos mais relevantes da LGPD

A LGPD vem regular toda operação que seja realizada em nosso território ou que envolva dados brasileiros. Assim, mesmo que os dados sejam manipulados por uma empresa estrangeira, se a origem deles partir de um titular brasileiro, a Lei é que vai determinar como o procedimento deve ocorrer na prática. 

A quem se aplica a LGPD?

A Lei não especifica ou delimita quais negócios serão atingidos por ela, prevendo que sempre deverá haver sua observação quando ocorrer: a obtenção, o acesso, tratamento, a comunicação, correção, atualização, exclusão e destruição dos dados, dentre outras ações.

Isso quer dizer que basicamente todas as atividades realizadas por pessoas naturais ou jurídicas, do setor público ou privado, terão que se adequar às disposições da Lei, já que quase todas as operações comerciais, trabalhistas, consumeristas, entre outras, envolvem fluxo de informações.

Como vai ocorrer a fiscalização?

Para fiscalizar o cumprimento da Lei e aplicar as sanções nela previstas, foi criada, a partir da MP 869/18, a Autoridade Nacional de Proteção de Dados (ANPD).

Vale destacar que a ANPD, criada especialmente para esses fins, terá poder para, a partir de agosto de 2020, requerer das empresas relatórios de riscos de privacidade a fim de se certificar que está havendo o correto cumprimento da Lei. 

Nesse cenário, passará a existir também um Conselho Nacional da Proteção de Dados Pessoais e Privacidade, formado por 23 representantes do Poder Público e Civil, sendo este grupo responsável por realizar estudos e debates sobre o tratamento desses dados.

O que acontece se eu descumprir a LGPD?

É importante se adequar às disposições contidas na nova Lei porque o seu descumprimento, além de outras penalidades cabíveis no âmbito cível e penal, pode gerar desde advertências a multas de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração cometida.

Mas, como essas não são as únicas penalidades que podem ser aplicadas à sua empresa, listamos aqui as sanções previstas na lei:

1) Advertência, com indicação de prazo para adoção de medidas corretivas;

2) Multa simples, de até 2% do faturamento líquido da pessoa jurídica, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

3) Multa diária, observado o limite total de R$ 50.000.000,00;

4) Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

5) Bloqueio dos dados pessoais envolvidos na infração até a sua regularização;

6) Eliminação dos dados pessoais envolvidos na infração.

Quais são as etapas do tratamento de dados? 

O artigo 5º, inciso X da Lei nº 13.709, a LGPD, prevê que tratamento é toda operação realizada com dados pessoais.

Assim, inclui-se como tratamento: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A primeira etapa do tratamento dos dados é a coleta.

Ela pode ser chamada também de aquisição ou obtenção, e diz respeito ao início do tratamento dos dados, ou seja, quando eles passam a existir no banco de dados da sua empresa.

Esses dados podem ser frutos do e-commerce, de um contrato de prestação de serviços, de uma relação trabalhista, de uma venda ou mesmo de uma parceria firmada com outra empresa.

Como se pode perceber, os dados de uma única empresa podem ter diferentes origens, de modo que após a obtenção, é necessário realizar o tratamento dessas informações.

É na fase do tratamento que os dados serão classificados, entre aqueles: estruturados e não estruturados;  qualitativos e quantitativos; pessoais ou não; sensíveis ou não sensíveis, etc.

Após essa classificação, os dados são analisados e, de acordo com a sua natureza, receberão um tratamento diferenciado.

Por exemplo, os dados sensíveis, por tratarem de informações pessoais e que podem ensejar algum tipo de discriminação a seu titular, precisam de um tratamento diferente dos dados gerais.

Por isso, classificar os dados e definir quais são os procedimentos que devem ser adotados para cada espécie é indispensável!

Realizado o tratamento e, após, seu armazenamento no banco de dados da empresa, é preciso verificar quais dados são importantes e devem continuar ali, recebendo tratamento e ocupando espaço, e quais devem ser excluídos, ou seja, quais já não estão sendo utilizados por já terem cumprido sua finalidade.

A exclusão das informações do banco de dados, seja pelo atendimento à sua finalidade, seja pelo fim do período de tratamento, por desinteresse da empresa nos dados, por determinação do próprio titular ou da autoridade nacional, deve obedecer às exigências da Lei. 

FASESO QUE É?
Coleta dos dadosÉ o momento em que o banco de dados passa a ter as informações e se torna responsável por estas.
Tratamento dos dadosNessa etapa os dados são classificados e analisados. Ao fim são tratados de acordo com a sua classificação.
Exclusão dos dadosNa última fase, os dados são reanalisados para ser verificado se eles ainda possuem alguma utilidade ou não.

Para cada hipótese listada acima, um procedimento deve ser feito, de modo que é importante recorrer à LGPD quando você se deparar com essas questões no dia a dia.

Consentimento do titular dos dados

Como a Lei prevê um protagonismo do titular de dados em todas as etapas do tratamento, é de extrema importância ter o consentimento do titular desde a coleta até a eliminação dos dados.

Tal consentimento deve ocorrer, preferencialmente, por escrito, de maneira que as empresas devem adequar seus termos de privacidade – no meio virtual – para constar a previsão de consentimento de forma clara e expressa, assim como devem formular termos de consentimentos impressos, quando a relação ocorrer presencialmente.

Nele devem constar todas as informações referentes ao tratamento dos dados, sendo indicado o que será feito com os dados, qual é a finalidade deles e como vai ocorrer a eliminação das informações após atendido o seu objetivo.

Quanto mais detalhes e clareza, maior será a acessibilidade do titular dos dados e mais democrático será o acesso dele a essas informações. 

Todos saem ganhando, uma vez que o titular terá ciência do manuseios dos seus dados e a empresa – que é quem irá controlar e operar os dados – se resguarda de eventuais problemas originados a partir da nova legislação.

Ainda deve existir previsão contratual sobre tal consentimento nos casos de parcerias firmadas por companhias ou de negócios entre elas, como a prestação de um serviço ou a venda de produtos.

A dispensa do consentimento só ocorre para os dados tornados manifestamente públicos pelo próprio titular, sendo resguardados os direitos dele e os princípios previstos na Lei, conforme o § 4º do artigo 7º.

Governança de dados e a LGPD

Como é possível perceber, a LGPD trata da governança de dados de forma inédita na nossa legislação, tendo em vista que a lei anterior, o Marco Civil da Internet, não se dedicou a explorar esse ponto.

Assim, como a LGPD prevê ao longo de seu texto autonomia e participação ativa do titular dos dados durante todo o procedimento, todas essas alterações significam que as empresas terão muito o que fazer para se adequar à nova realidade, o que também vale para as startups já concebidas e em processo de criação.

 Por isso, destacamos aqui dois pontos que merecem bastante atenção:

  1. Relatório de Impacto à Privacidade: esse relatório é um documento que pode ser exigido e apresentado às autoridades competentes no ato da fiscalização. Nele deve conter a descrição dos processos de tratamento de dados pessoais que representem algum risco à privacidade dos seus titulares, além de especificar quais medidas são tomadas pela empresa para preservar tais informações. 
  2. Política Interna de Tratamento de Dados: a política interna é o regulamento da empresa que visa orientar os colaboradores e os prestadores de serviços sobre o comportamento padrão que deve ser adotado com o objetivo de atingir a proteção dos dados pessoais que circulam naquele ambiente e que, portanto, são de responsabilidade da empresa. 

Para que essas medidas sejam viabilizadas na prática, a LGPD trouxe duas figuras: o controlador e o operador.

O controlador é o agente que tem o poder de decisão sobre as medidas que serão adotadas com relação aos dados. Ou seja, ele decidirá se aquele dado receberá um certo tipo de tratamento, ou se será eliminado do banco de dados, por exemplo.

O operador, por sua vez, irá executar o que for decidido pelo controlador, lidando diretamente com o tratamento dessas informações. 

Essas figuras podem se confundir em uma única pessoa, ou em um setor de uma empresa, ou ainda em uma empresa terceirizada que presta serviços. 

Ocorre que nas grandes e médias empresas, dado o grande volume de dados tratados, passou a existir uma nova figura: o Data Protection Officer, ou DPO.

É o DPO que atuará junto à empresa para definir a política de proteção de dados a ser aplicada, bem como será responsável por orientar os diferentes setores a cumprir com as exigências, além de responder, diretamente, à autoridade fiscalizadora, a ANPD, que falamos acima.

Assim, esse profissional deve ser alguém que lidere o planejamento de adequação de diferentes setores à LGPD, como o TI, RH, Jurídico, Riscos, etc. 

Por isso, é um papel que exige forte vivência em Dados e Processos já que a implementação da Lei necessita de investimentos tecnológicos e de capacitação multidisciplinar, uma vez que engloba diferentes setores.

Como se pode perceber, a governança e a proteção de dados deixam de ser investimentos “opcionais” para serem um dos pilares da agenda executiva das empresas. Mapear, estudar, revisar, classificar, monitorar e tratar dados são ações necessárias para um compliance seguro e efetivo. 

Vale destacar ainda que a LGPD, em seu artigo 50, prevê que os agentes de tratamento (controladores e operadores), individualmente ou por meio de associações, formulem regras de governança e de organização, procedimentos, regimes de funcionamento, ações educativas, entre outras atividades.

Desse modo, é permitida a auto-regulação, desde que observadas a natureza, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

Privacy by design e a LGPD

Privacy by design é uma abordagem que se relaciona bastante com a LGPD. O termo em inglês refere-se a ideia de que a privacidade do usuário deve ser uma preocupação constante ao longo de todo o ciclo de vida de uma aplicação, serviço ou negócio.

Isso quer dizer que a privacidade deve ser pensada desde a concepção do produto por meio de medidas de proteção de dados, o que oferece mais poder e flexibilidade ao titular dessas informações para decidir sobre o tratamento que será aplicado.

No âmbito digital, essa abordagem significa, a partir da LGPD, que um produto, como um aplicativo por exemplo, deve coletar apenas os dados essenciais para prestar o serviço ao qual se propõe a fazer.

Além disso, os dados coletados devem ter sua finalidade especificada, sendo detalhadamente informada ao titular a fim de que se dê ciência de quais informações estão sendo obtidas e para qual objetivo.

As empresas não devem, ainda, colocar serviços no mercado com essas proteções desativadas. Isto é, para que o usuário fique ciente de todos esses mecanismos de proteção de dados, as empresas não devem obrigá-lo a entrar em uma nova página para habilitar tal função ou exigir que ele altere as configurações para isso.

Pelo contrário, os usuários devem ser informados de tudo isso sem precisar realizar esforços, de modo que todos essas informações a respeito do tratamento dos dados lhe seja fornecida de forma clara e direta, sem a necessidade de qualquer ação por parte do titular.

Treinamento de colabores e certificação 

A governança do tratamento de dados, isto é, a criação de regras relacionadas às normas que visam a segurança dos dados e a preservação da privacidade do titular é, como dissemos, fundamental para a adequação à LGPD. 

Contudo, sem o treinamento adequado, o fator humano pode representar um risco à segurança e aos mecanismos implementados. 

Para evitar tal problema é necessário ter uma rotina de segurança de dados bem definida e auditorias internas para avaliar, fiscalizar e atualizar as medidas adotadas pela empresa, bem como uma resposta rápida à eventuais violações.

A capacitação dos profissionais envolvidos é outro fator que merece bastante atenção. Isso porque a prevenção da empresa para mitigar os riscos de uma violação de dados não é suficiente se os seus colaboradores não souberem se utilizar de tais mecanismos.

Por isso, é fundamental que todos estejam cientes dos riscos advindos a partir de uma falha na segurança dos dados ou mesmo de um eventual descumprimento. 

Realizar treinamentos para que os colabores estejam cientes dos efeitos práticos da Lei, assim como investir em certificação para atestar o conhecimento e dar mais segurança aos seus funcionários, pode ser uma das chaves para o desempenho desejado. 

Dessa forma, como a Lei envolve privacidade, prevenção de vazamentos de informações e a adequação à legislação, além de conhecimentos em cibersegurança, destacamos duas certificações interessantes:

  1. EXIN Privacy Data Protection Foundation, baseada na GDPR (regulamento europeu que embasou a nossa legislação);
  2. EXIN Privacy & Data Protection Essentials, que funciona como uma complementação da primeira certificação e é baseada na LGPD.

Checklist de conformidade à LGPD

Além de cumprir com todas as determinações exigidas pela Lei, é necessário ainda que as empresas saibam como comprovar que estão adequadas à LGPD.

Por isso, listamos aqui alguns itens essenciais relacionados às medidas técnicas e organizacionais que a Lei impõe e que podem ser incorporadas ao seu negócio: 

  1. Invista em uma política de segurança da informação;
  2. Tenha uma política de privacidade em vigor;
  3. Adeque os termos de confidencialidade das páginas virtuais do seu negócio;
  4. Mantenha sempre atualizado o Relatório de Impacto de Proteção de Dados;
  5. Mantenha registros do processamento de dados pessoais sempre atualizados;
  6. Revise os contratos de colabores, fornecedores e clientes;
  7. Realize uma espécie de “inventário de dados”, assim como uma auditoria de fluxo dos dados.

Como se adequar: os 3 passos fundamentais 

Como a Lei foi aprovada em agosto de 2018 e só passará a valer na prática em agosto de 2020, alguns empresários podem ter pensado que não era necessário se preocupar com a adequação de seus seu negócios à legislação porque ainda havia muito tempo para isso.

Mas isso é um erro! A LGPD prevê uma série de procedimentos novos que devem ser observados por basicamente todos os setores da indústria, comércio, prestação de serviços e atividades empresariais em geral.

Assim, como são necessários muitos procedimentos e, tendo em vista que faltam apenas cerca de 8 (oito) meses para sua obrigatoriedade, é fundamental começar a agir para que esteja tudo em conformidade até agosto do ano que vem.

Como a Lei não faz distinção sobre o tamanho e o tipo de negócio que fica sujeito aos seus comandos, para a LGPD não importa se a sua empresa é grande ou pequena: todas vão ter que trabalhar para se adequar!

Então, separamos aqui alguns passos que devem ser observados para ajudar você a começar a se adaptar:

Passo 1:

Como a Lei vai regular toda e qualquer operação que envolva dados, é importante se atentar para o fato de que várias áreas realizam atividades com informações.

Para isso, lembre-se que o Setor de Recursos Humanos de uma empresa precisa colher dados dos seus empregados desde a fase de seleção até o fim do contrato de trabalho. 

Ou ainda que para que uma empresa preste serviços a terceiros, ela precisa obter uma série de informações para viabilizar a prestação de serviços.

O mesmo acontece com empresas que vendem produtos, virtualmente ou em uma loja física.

Por isso, como os dados envolvem várias áreas e setores de uma empresa, o primeiro passo é contar com uma equipe multidisciplinar para delimitar quais as necessidades para as adequações internas. 

Assim, forme uma espécie de Comitê com todos as áreas afetadas, incluindo os setores como TI/SI, Risco, Compliance, Setor Jurídico e as demais, a depender da estrutura da sua empresa.

Passo 2:

Realize reuniões com esses setores para definir a natureza e a quantidade de dados que cada um deles lida no dia a dia.

Após, faça um plano com as adequações necessárias e distribua as tarefas entre eles.

Feito esse planejamento inicial, é indispensável que a sua equipe esteja preparada para lidar com os desafios da implementação da LGPD na prática.

Sendo assim, investir em treinamento e capacitação profissional é uma medida necessária para fomentar uma cultura de respeito aos dados e garantir que o planejamento seja colocado em prática com excelência.

Passo 3:

Conte com apoio externo se necessário.

Como a LGPD trata de uma questão multidisciplinar, é fundamental observar se a sua empresa conta com todos os profissionais necessários para a implementação da Lei.

Além disso, será que os profissionais que você já conta estão por dentro da Lei e já sabem exatamente como proceder?

Se atentar para esse fato é muito importante, uma vez que a Lei criou uma autoridade própria para fiscalizar e aplicar sanções às empresas que descumprirem a LGPD.

Assim, como é melhor não arriscar receber uma multa ou qualquer outra penalidade, é fundamental contar com uma ajuda especializada para implementação da Lei Geral de Proteção de Dados!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima