1. O que é a LGPD e quem é a ANPD
A Lei Geral de Proteção de Dados – LGPD – completa esse ano 04 anos desde que foi sancionada em 14 de agosto de 2018. Vigente desde agosto de 2020, suas sanções só passaram a valer um ano depois, em 2021.
De lá para cá, muito tem-se falado sobre o tema. A ANPD – Autoridade Nacional de Proteção de Dados, inclusive, tem publicado regulamentações e guias com o intuito de auxiliar empresas e profissionais no processo de adequação à LGPD, para evitar que algumas fake news, como as que citamos aqui, continuem circulando.
O intuito da Lei Geral de Proteção de Dados, diferente do que muitos ainda pensam, não é proibir o tratamento de dados pessoais. Pelo contrário. Busca-se regulamentar tal tratamento, permitindo que os titulares possuam mais autonomia sobre seus dados.
Como prova disso, foi incluída uma série de direitos dos titulares que precisam ser respeitados. Você pode ler mais sobre eles aqui.
Inicialmente, destaca-se que é considerado dado pessoal qualquer informação de uma pessoa natural que permita identificá-la, direta ou indiretamente.
Sendo assim, importante frisar que outras legislações, ainda que de forma não tão detalhada, já trataram sobre o tema antes, como o Código de Defesa do Consumidor e o Marco Civil da Internet. Porém, a LGPD trouxe maiores definições sobre tratamento de dados pessoais, como as hipóteses em que podem ser realizados, princípios que devem ser seguidos, como é o caso da finalidade e da transparência, assim como as hipóteses de tratamento de dados pessoais sensíveis, que são aqueles que podem, de alguma forma, discriminar o titular, como religião e opinião política.
Para auxiliar na fiscalização do cumprimento desta lei, bem como zelar e praticar ações visando regulá-la, foi sancionada a criação da ANPD – Autoridade Nacional de Proteção de Dados, órgão da administração pública federal.
Uma das resoluções trouxe benefícios na adequação à LGPD para agentes de tratamento de pequeno porte, como Startups e outros. Falamos um pouco sobre neste artigo aqui.
2. 07 Pilares do programa de adequação à LGPD e quando ela se aplica
Inicialmente, é importante falar sobre os pilares de compliance que norteiam o passo a passo da adequação.
O primeiro é o Suporte da Alta Administração, pois, para que um bom programa de adequação possa ocorrer, é necessário apoio dos gestores da empresa. É preciso que haja conscientização, com a apresentação dos riscos de não se adequar, inclusive os financeiros.
O ponto inicial do Diagnóstico é verificar a atual situação da empresa. É necessário que o programa possa ser “independente”, no sentido de que devem ser detectadas as ações em desacordo com o que a legislação dispõe com o intuito de achar soluções para evitar que não ocorram mais. É importante também que os líderes estejam envolvidos na busca por essa prevenção, inclusive, para serem exemplos aos seus colaboradores.
O segundo é a formação de um Grupo de Trabalho com nomeação de Encarregado. Esse grupo nomeado auxiliará na implementação da LGPD na empresa, sendo formado, geralmente, por uma equipe multidisciplinar, ou seja, integrantes de setores diferentes da organização, que possuem a finalidade de dar auxílio no cumprimento da lei.
Além disso, a função do Encarregado é importante, pois, segundo a própria legislação, é ele quem ficará responsável por intermediar a relação entre empresa e titular, assim como entre empresa e ANPD, recebendo comunicações e reclamações, prestando esclarecimentos e adotando providências.
O terceiro é a realização de Análise de Perfil e Riscos, que consiste em um mapeamento da empresa para entender como a organização funciona de modo geral e em cada setor, averiguando seus processos internos. Desta forma, é possível identificar e estruturar, em conjunto com o setor de Segurança da Informação, o programa de adequação com base nos riscos, ameaças e vulnerabilidades identificados. É preciso, neste ponto, a realização de entrevistas, análise de documentos, assim como entender do negócio, do mercado onde ele está inserido, etc.
O quarto é a Estruturação de Fluxos e Políticas, documentos esses que formalizam o início do programa de adequação e que estabelecem quais devem ser as condutas dos colaboradores, bem como dos sócios e demais pessoas envolvidas na organização.
A estruturação se inicia com o mapeamento dos dados e posteriormente é elaborado o relatório de operações de tratamento de dados pessoais, chamado de ROPA. Com isso, é possível identificar o fluxo dos dados pessoais na empresa, assim como analisar riscos e GAPs dos tratamentos.
O quinto é a Gestão de Terceiros. É preciso identificar todos os parceiros da empresa, desde fornecedores até mesmo terceirizados para averiguar se esses já estão adequados ao que dispõe a legislação e se as práticas são viáveis e em consonância com o que a organização prega, pois não adianta a empresa se empenhar na adequação e realizar parcerias com terceiros que não estão adequados e/ou conscientizados a respeito da proteção de dados.
O sexto seria Comunicação e Treinamentos, pois é necessário que a organização entenda o que está ocorrendo, inclusive para que os colaboradores possam auxiliar no processo e zelem pela sua continuidade. O objetivo do treinamento é propagar a cultura da proteção de dados dentro da empresa, para que as pessoas possam entender a importância, não apenas pela lei que deve ser seguida, mas também, enquanto titulares de dados pessoais, pois precisam criar essa consciência sobre como se proteger e também proteger os outros.
O intuito do treinamento é justamente ensinar e fiscalizar a aplicação da cultura de proteção de dados, transmitindo as regras que devem ser seguidas para uma aplicação eficaz da LGPD, de forma a minimizar os riscos por parte dos colaboradores, inclusive aqueles que são involuntários.
O sétimo e último seria a organização dos Controles Internos e Monitoramento Contínuo, que tem o intuito de garantir que o estabelecido na adequação seja cumprido, ou seja, é realizado um acompanhamento para verificar se o que foi estabelecido está sendo cumprido, se as boas práticas estão sendo respeitadas, bem como a documentação elaborada.
Com o monitoramento é possível avaliar se tudo o que foi realizado está de acordo com o que determina a LGPD, assim como averiguar os passos seguintes após o fim da implementação da lei. O intuito é constatar o que está sendo cumprido e o que não, e, neste caso, o motivo pelo qual o cumprimento não está acontecendo. Dessa forma, é possível que a organização permaneça atualizada também.
A LGPD se aplica a qualquer tratamento de dados pessoais, realizado por pessoa natural ou pessoa jurídica, seja de direito público ou privado, em meio digital ou físico, realizado em território nacional, com pessoas localizadas no Brasil ou dados coletados aqui, e desde que a atividade tenha fim comercial.
3. Importância de se adequar à LGPD e os riscos da não adequação
Primeiramente, é importante que as empresas se atentem à adequação, porque já há organizações sofrendo sanções por conta de violações e vazamentos de dados e isso pode ser muito complicado para a reputação da empresa. A LGPD prevê uma série de sanções sobre as quais falaremos mais detalhadamente abaixo e, com a implementação, os seus riscos operacionais diminuem.
É fato que a violação de uma legislação, seja de forma culposa ou dolosa, seja pelos seus gestores ou colaboradores, pode custar caro para a empresa, não apenas financeiramente, mas, também com relação a forma como é vista no mercado.
Além disso, ter políticas internas e documentações que comprovem que foi realizada a adequação pode ajudar a diminuir penalidades, pois cumpre com o princípio da prestação de contas da LGPD, assim como podem ser consideradas boas práticas em caso de investigações pela ANPD ou até mesmo no momento de aplicação de condenação judicial.
Outro ponto, é que a adequação à LGPD é um importante diferencial competitivo de mercado, inclusive em situações de internacionalização de negócios, haja vista que, fora do Brasil, a cultura da proteção de dados já vem se estabelecendo a mais tempo.
Empresas que sofreram ou estão sofrendo com violações ou vazamentos acabam não sendo procuradas no momento de firmar contratos, nem por fornecedores e parceiros, tampouco por clientes, e tais situações prejudicam sua imagem perante o mercado. No caso dos titulares, a situação se mostra ainda pior, pois quem é a pessoa que gostaria de contratar uma empresa que colocaria seus dados em risco?
Também é importante pensar que à medida que as empresas entendem a importância da adequação e estão buscando implementar a cultura da proteção de dados, essas vão levar isso em conta no momento de contratar fornecedores e parceiros. Logo, alguém que não está adequado, ainda que ofertando produto ou serviço excelente, perde lugar na tratativa para outra empresa já ciente do assunto.
Cada vez mais tem-se visto empresas recebendo formulários de possíveis clientes e até mesmo parceiros, principalmente players maiores, com o intuito de averiguar se a empresa que querem contratar está adequada. Há casos, inclusive, de pedirem políticas internas da empresa para comprovar essa adequação. Algumas empresas recorrem a modelos prontos e isso pode se tornar um problema se forem auditados ou questionados. Primeiro, porque não conseguirão demonstrar que a política apresentada realmente veio após a realização de uma análise de risco e, segundo, porque o escrito na política não irá condizer com o que o negócio realmente pratica.
Situações de violação de dados ou vazamentos podem paralisar uma organização, como já aconteceu em alguns casos recentemente. E, como bem se sabe, paralisação de operação pode causar graves prejuízos financeiros.
Nesse sentido também, com a adequação, os riscos de incidentes de segurança diminuem, pois a empresa verifica os seus processos durante a implementação em busca de vulnerabilidades.
Elaboramos um artigo sobre algumas medidas de segurança que devem ser observadas pelas startups e você pode conferir aqui.
4. Sanções administrativas da LGPD
Muito embora as sanções administrativas previstas na LGPD só tenham entrado em vigor no ano passado (2021), como já citado anteriormente, outras legislações já tratavam sobre o assunto e, de certa forma, podiam ser utilizadas como base no momento do titular procurar seus direitos.
As sanções previstas na LGPD são:
- Advertência, com prazo indicado para tomada de ações com o intuito de corrigir o ocorrido;
- Multa que pode ser de até 2% do faturamento da pessoa jurídica em seu último exercício, com teto de R$50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária, no mesmo limite de R$50.000.000,00 (cinquenta milhões de reais);
- O dever de tornar público o ocorrido, após a devida confirmação da situação;
- Bloqueio dos dados pessoais que foram vazados ou violados até a regularização da situação, ou, pior, a eliminação desses dados pessoais;
- A suspensão parcial do banco de dados da organização por um período de 06 (seis) meses, que pode ser renovado até que seja regularizado o tratamento de dados, ou ainda, a suspensão da atividade de tratamento de dados pessoais, pelo mesmo período, também podendo ser renovado;
- Em casos mais gravosos, a organização pode ser proibida, de forma parcial ou total, de tratar dados.
Sobre esse tema, elaboramos um artigo mais detalhado a respeito, e você pode conferi-lo aqui.
Ainda que a multa seja uma sanção onerosa, é perceptível que as demais são tão prejudiciais quanto.
Desde o bloqueio ou a proibição do tratamento de dados, até o dever de tornar público o ocorrido, ambas as situações comprometem as atividades da organização. A primeira, pois toda empresa trata dados pessoais atualmente, seja de clientes, seja de colaboradores ou prestadores de serviços. A segunda, porque tornar público expõe a possível fragilidade da sua segurança para com o dever de guarda dos dados pessoais dos titulares, o que não seria bem visto no mercado e poderia macular a reputação da organização.
5. Conclusão
É importante que as empresas estejam cientes, não apenas das sanções que podem sofrer previstas na legislação, mas também dos reflexos que essas podem acarretar perante o mercado, o que traria prejuízos ainda maiores.
Os profissionais de proteção de dados responsáveis pela adequação de uma organização à Lei Geral de Proteção de Dados precisam estar cientes do negócio para buscar a melhor estratégia no momento da adequação, de modo a estabelecer os processos necessários e conscientizar todos sobre a implementação da LGPD na empresa, pensando a cultura da proteção de dados.
Diante disso, busque sempre o apoio de profissionais qualificados em proteção de dados que sejam atentos à lei, as resoluções e guias orientativos, e que busquem entender o seu negócio, para evitar riscos e prejuízos.
Por Ana Luiza Silveira