A fiscalização da LGPD começa em janeiro de 2022! Fique por dentro dos principais aspectos que a empresa deve observar!

Com o objetivo de proteger a liberdade e a privacidade das pessoas naturais, A Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) regula sobre a coleta e/ou tratamento de Dados Pessoais no Brasil, nos meios digitais e físicos, obtidos por pessoas naturais ou jurídicas (Privadas ou Públicas). As empresas devem se adequar à legislação até agosto de 2020.

Ganham destaque o consentimento expresso do Titular dos dados (para a maioria dos casos) e a necessidade de se indicar um Controlador e um Operador de dados pessoais – os quais poderão ser responsabilizados pessoalmente em caso de danos proporcionados pelo uso de dados pessoais em desconformidade com a LGDP.

Além da exigência legal, importante a adequação das empresas à LGPD não só para evitar multas (que podem chegar até 50 milhões de Reais por infração), mas também para minimização dos riscos da atividade, apresentando respostas rápidas à vazamento de dados e à surgimento de novos riscos, bem como evitando/reduzindo o ressarcimento de vítimas lesadas pelo uso indevido dos seus dados pessoais.

A fiscalização da LGPD será realizada pela Autoridade Nacional de Proteção de Dados (ANPD) – órgão da administração pública federal, mas com autonomia técnica – criada por Medida Provisória nº 869/2018.

Recomenda-se às empresas se preparem para a fiscalização da LGPD por meio das seguintes fases:

Fiscalização da LGPD: Proteção de Dados seguindo a estrutura de Compliance

1) Mapeamento dos dados pessoais

Por muitas vezes as empresas desconhecem o volume de dados pessoais que são captados ou transitam no exercício da sua atividade.

Assim, necessário compreender o ciclo de vida dos dados pessoais – por onde entram na empresa (clientes, fornecedores, parceiros, terceiros, funcionários, cadastros para oferta e/ou para oferecimento de produto/serviço e etc.), para qual finalidade são utilizados e armazenados e quais tratamentos dos dados são efetivamente realizados.

Além disso, os dados pessoais podem ser identificados ou identificáveis – estes últimos dificultam ainda mais esta etapa de mapeamento.

A legislação também define tipos de dados específicos que têm maior proteção legal, quais sejam, os dados sensíveis (que tratam de raça, religião, política e saúde/genética) e dados de crianças e adolescentes.

Sobre o tratamento de dados pessoais, a legislação traz uma série de exemplos (coleta, classificação, utilização, transferência, modificação, arquivamento, extração, eliminação), mas não há um detalhamento.

A LGPD também prevê a possibilidade de anonimização e pseudonimização dos dados ampliando o tratamento dos dados pessoais.

2) Diagnóstico

Apurado o ciclo de vida dos dados pessoais e os tratamentos realizados, faz-se o diagnóstico para identificação das desconformidades (falhas) e riscos de acordo com a LGPD e as melhores práticas, considerando-se sempre o volume efetivo de tratamento de dados pessoais para o exercício da atividade da empresa.

3) Plano de Ações

Diante das falhas e riscos, elabora-se Plano de Ações para implementar aprimoramento ou novos procedimentos (principalmente as voltadas para o consentimento do Titular dos dados), políticas, tratamentos, mecanismos de segurança, relatórios e etc., proporcionando conformidade à LGPD e minimizando riscos.

4) Treinamento

Para proporcionar a efetiva proteção dos dados pessoais, funcionários, alta administração, clientes, fornecedores e terceiros necessitam aderir aos novos procedimentos e políticas de forma responsável. Os treinamentos presenciais e via EAD e comunicação ativa periódica consolidam a implementação do projeto.

Para que a empresa esteja em constante cumprimento à proteção dos dados pessoais, importante uma mudança comportamental quanto ao tratamento dos dados pessoais, criando-se uma Cultura suportada, principalmente, pela alta administração da empresa.

Pontos de Maior Atenção na Fiscalização da LGPD

  • Indicação do Controlador e Operador dos dados pessoais – pessoas jurídicas ou naturais responsáveis respectivamente pela decisão e realização do tratamento dos dados pessoais;
  • Consentimento expresso do Titular dos dados, obrigatório na maioria dos casos de tratamento, sendo necessário a empresa definir ou ajustar processos, criar formas de registros e revogação, além de facilitar o livre acesso do Titular;
  • Mapeamento do ciclo de vida dos dados;
  • Revisão de Políticas principalmente a de Proteção de Dados, Governança e Código de Conduta;
  • Revisão de Contratos para, dentre outros ajustes, inserir cláusula de responsabilidade solidária pelo uso desconforme a LGPD;
  • Mecanismos de segurança aprimorando controles e metodologias e, eventualmente, realizando contratação de seguros;
  • Relatório de Impacto à Proteção de Dados, identificando os processos de tratamento dos dados pessoais e respectivos riscos;
  • Criação de Plano de Incidentes, para tomada rápida de medidas de minimização de danos;
  • Implementação de canais de denúncia e de política de investigação;
  • Plano de armazenamento e descarte de dados pessoais;
  • Monitoramento de falhas e novos riscos para aprimoramentos;
  • Guarda de evidências e estatística;

Mantenha sua equipe atualizada sobre os temas de Compliance, Compliance Empresarial, Compliance Jurídico, ESG, e Governança Corporativa, seja aluno da Compliance Transforma!