O que sua empresa precisa
fazer para se adequar:

A LGDP traz às empresas uma mudança cultural: antes se via os dados pessoais como sendo de propriedade da empresa, podendo ela fazer o que bem quisesse com eles; agora, tem-se a visão de que os dados pessoais pertencem às pessoas, e que toda operação os envolvendo necessita de especial atenção.

O processo de adequação exige a criação de um programa de governança em privacidade, que engloba dois escopos:

1. Alterações administrativas e estabelecimento da cultura da proteção de dados pessoais no âmbito da organização;
2. Articulação de um projeto que leve em consideração as adequações técnicas necessárias.

Sobre as alterações administrativas e a cultura de proteção de dados:

1. Para tal, de acordo com o porte de cada empresa, é importante eleger um comitê de adequação, representando os diferentes setores da empresa. Ele será responsável por oferecer o suporte necessário na execução do projeto de adequação;
2. Essa adequação deve, primeiramente, ser feita a partir de ações educativas, normas de segurança internas e corretos procedimentos para tratamento de dados pessoais;
3. É fundamental ter um profissional específico responsável pela segurança da informação;
4. Deve-se realizar a revisão de contratos e relacionamentos. Isso porque, a legislação coloca que a responsabilidade é compartilhada por todos que lidam com a informação, então se deve garantir que toda a cadeia de compartilhamento esteja de acordo com as regras;
5. É necessário que a empresa tenha um processo de exportação de dados, caso solicitado pelo usuário, o qual deve ser seguro, rápido e simples;
6. As empresas devem avisar ao usuário no momento em que qualquer falha de segurança ocorrer, ou o mais rápido possível, para que se possa mitigar os danos. Assim, é necessário um planejamento específico para lidar com essas situações;
7. Também deve haver proteção à empresa caso vazamentos ocorram. Uma boa opção, são seguros contra roubos de informação. Já existe uma série de produtos de seguro para proteção contra situações de vazamento ou descumprimento da legislação, analisá-los é fortemente recomendado;
8. Outro ponto importante de se ter é uma política de exclusão de dados do usuário. Isso porque, o chamado “direito do esquecimento” é um dos mais complicados de se lidar, uma vez que, se por um lado o usuário tem direito de pedir para ser esquecido, por outro, muitas regulamentações proíbem a remoção de dados.

Sobre as adequações técnicas necessárias:

1. Para garantir a segurança do sistema e da informação, é importante: segregar as permissões e acessos; realizar testes de penetração e vulnerabilidade; monitorar o acesso aos sistemas; atualizar ferramentas como firewalls e antivírus; instalar redes privadas para comunicação; e redesenhar os processos internos, ligados ao fluxo dos dados, armazenamento e controles;
2. Deve-se também utilizar a criptografia de informações no dia-a-dia de todos que trabalham com dados pessoais;
3. Outra medida técnica importante é a comprovação da origem e do direito de uso dos dados, deve-se ter certeza sobre os dados que se está utilizando, uma vez que não basta apenas trabalhar de maneira correta, deve-se também garantir que a informação que está sendo utilizada tem as origens certas e está de acordo com a legislação.
4. Por último, deve haver auditoria e rastreio dos tratamentos de dados, é importante que se saiba de tudo que está sendo feito o tempo todo. Com a auditoria, haverá maior facilidade em identificar eventuais problemas e sua solução.

Recomenda-se ainda que as empresas implantem um Programa de Governança em Privacidade, que, no mínimo:

• Demonstre o comprometimento do controlador com as boas práticas de proteção de dados pessoais;
• Seja aplicável a todo o conjunto de dados pessoais;
• Possa ser adaptável à estrutura, escala e volume de operações;
• Estabeleça políticas e salvaguardas adequadas para impactos e riscos;
• Busque relação de confiança e transparência com o titular;
• Preveja um plano de respostas a incidentes;
• Possua monitoramento, para ser avaliado e atualizado periodicamente;
• Ofereça provas de efetividade;
• Mantenha regras de boas práticas e de governança publicadas.

O que acontece se a empresa descumprir as regras da LGPD?

Para garantir que as normas da LGPD sejam cumpridas, a ANPD tem como um de seus principais objetivos fiscalizar e aplicar sanções. Dentro das sanções possíveis, temos:

• Advertência e prazo para adoção de medidas corretivas;
• Publicização da infração;
• Suspensão parcial do banco de dados e do exercício da atividade de tratamento por 6 meses, prorrogáveis por igual período;
• Proibição parcial ou total do exercício da atividade de tratamento de dados;
• Bloqueio e eliminação dos dados pessoais;
• Multa diária;
• Multa simples, de até 2% (dois por cento) do faturamento, limitado a R$ 50.000.000,00 por infração.

A LGPD segue uma lógica para a aplicação da penalidade administrativa, baseando-se na gravidade da infração e a condição econômica do infrator. Para fazer essa determinação, leva-se em consideração o número de pessoas atingidas, o tipo de dado vazado, o motivo do incidente, reincidência da empresa, boa-fé, existência de políticas na empresa sobre privacidade de dados, entre outros elementos.

Felizmente, em casos de vazamento de dados, a lei dá um parâmetro, especificando o que o encarregado deverá fazer. Entre as ações está a elaboração de um plano sobre o incidente de segurança, detalhando o que aconteceu, que tipo de dados foram afetados, quais sistemas foram utilizados, quais os possíveis riscos, e quais medidas de mitigação a empresa irá adotar. Com esse plano, será possível uma diminuição da sanção.

Ao mesmo tempo, a partir desse parâmetro, será possível implementar na empresa treinamentos para que esse sistema possa estar preparado para funcionar, antes mesmo de incidentes ocorrerem.

A partir disso, é importante que a empresa desenvolva sistemas tanto para prevenir o vazamento e uso indevido de dados, como também para lidar com essas situações indesejadas. Dessa forma, a empresa terá segurança para tratar dados e evitar sanções.

É importante considerar a necessidade da contratação de apoio especializado, tanto técnico quanto jurídico, a fim de garantir um processo de adequação correto e seguro.

Benefícios da implementação dos procedimentos de LGPD

Progressivamente os consumidores passarão a criar uma maior relação de confiança com a empresa uma vez que houve o compliance das normas de direito digital, pois entenderão que elas estão realmente preocupadas com a segurança e privacidade de seus clientes.

Sair na frente nessa fase de adequação induz a uma vantagem competitiva capaz até de angariar clientes que antes eram de seus concorrentes e que ainda não procederam com a devida adequação. Além disso, a adaptação da empresa aos regramentos da LGPD irá contribuir para uma relação mais transparente aos consumidores sobre a utilização de suas informações pessoais.

A LGPD é uma importante oportunidade para as empresas se aproximarem de seus stakeholders e mostrarem seu comprometimento e responsabilidade com seus clientes.

No MCK Advogados, a adequação é feita por equipe altamente qualificada, coordenada por Membros da ANPPD® – Associação Nacional dos Profissionais de Privacidade de dados, o que nos confere autoridade para emitir certificações comprobatórias sobre adequação – sendo o único escritório da região a ter legitimidade para referido ato.