Como preparar a sua empresa para a Lei Geral de Proteção de Dados ?

Adolfino Neto - Diretor Comercial da Próton

Lei Geral de Proteção de Dados

Por Mauricio Reale – Gerente de Tecnologia da Próton Sistemas

A Lei Geral de Proteção de Dados (LGPD) é o instrumento legal que regulará as atividades de tratamento de dados pessoais no Brasil, dentro do escopo do Marco Civil da Internet (Lei 12.965/14). Após tramitação inicial na Câmara dos Deputados e Senado Federal, a Lei foi ratificada em 14 de Agosto de 2018, com previsão de entrar em vigor a partir de Agosto de 2020.

A LGPD fornecerá diretrizes fundamentais para regulamentar como os dados pessoais dos cidadãos podem ser coletados e tratados, além de estabelecer direitos, deveres e penalidades que podem ser aplicadas aos tratadores e controladores da informação, para casos de descumprimento. Iniciativas similares já existem na União Europeia (GDPR – General Data Protection Regulation) e nos Estados Unidos (CCPA – California Consumer Privacy Act), este último de âmbito estadual.

À medida em que se aproxima o prazo para a entrada em vigor, a LGPD deverá ganhar cada vez mais visibilidade no mercado e na sociedade, sendo imprescindível que as organizações estejam preparadas para estar em conformidade, evitando danos à sua imagem e prejuízos financeiros. Sabendo que as empresas atualmente coletam quantidade significativa de dados dos seus clientes, se faz necessário conhecer alguns conceitos básicos dentro do escopo da Lei e como eles se relacionam com as operações da empresa.

Por que a LGPD?

Vivemos na era da transformação digital em que muitas atividades relevantes para o cidadão acontecem no contexto de sistemas informatizados conectados através da internet. Essas atividades incluem as transações com empresas comerciais, governos, bancos, provedores de conteúdo e serviços, além do relacionamento digital através das redes sociais. Os dados pessoais se constituem no principal ativo dessas transações e ao longo dos anos tem crescido a preocupação sobre o uso indevido desses dados e seus efeitos sobre a privacidade. Diversos episódios de vazamento de informações pessoais se tornaram mundialmente conhecidos, com grande impacto sobre pessoas, empresas e governos – influenciando até eleições. A LGPD é o resultado de várias iniciativas legais que vinham sendo debatidas no Brasil desde 2012, com o objetivo de criar a regulamentação necessária para proteger esses dados e conferir privacidade aos seus titulares.

O que são dados pessoais?

No contexto da LGPD, os dados pessoais são quaisquer informações que permitam identificar, direta ou indiretamente, um indivíduo. Esses dados incluem o nome, RG, CPF, filiação/paternidade, endereço residencial ou de trabalho, além dados de identificação eletrônica, como um endereço de e-mail, rede social ou IP (endereço na internet). Ainda nesse escopo, estão relacionadas as informações de caráter sensível. Estas incluem a origem étnica, filiação a sindicato ou partido político, convicção religiosa, orientação sexual, histórico de saúde, dados genéticos ou biométricos. Dados relacionados à pessoa jurídica (empresas), como CNPJ, endereço comercial ou de site web, não são considerados dados pessoais. Embora a LGPD já confira uma abrangência significativa a esse conjunto de informações, é certo que esse escopo continuará a ser aprimorado com o passar do tempo. Sumarizando, a legislação transforma os dados pessoais em ativos de grande importância, devendo ser tratados de acordo.

Direitos do titular dos dados

O titular é a pessoa natural a quem se referem os dados pessoais. A LGPD define, em seu artigo 18, diversos direitos aos titulares que devem ser observados e atendidos pelas organizações que coletam e tratam as informações. Esses direitos incluem:

  • Acesso completo e irrestrito aos seus dados, incluindo o compartilhamento com terceiros.

  • Confirmar a existência de processamento com seus dados.

  • Correção de dados existentes.

  • Anonimização, bloqueio ou eliminação de dados já tratados ou em não conformidade com a LGPD.

  • Portabilidade dos dados para outra empresa, mediante solicitação.

  • Revisão por pessoa natural de decisões tratadas por sistemas automatizados.

  • Revogação de consentimento sobre o uso dos dados.

Além de poder exigir o cumprimento dos seus direitos, o cidadão terá à sua disposição os mecanismos de denúncia quando se deparar com o descumprimento da lei. Na prática, isto significa que as empresas deverão estar preparadas para oferecer informações claras e precisas quando solicitado, bem como realizar quaisquer transações previstas dentro do leque de direitos do titular dos dados. Como é fácil perceber, isto certamente implicará em revisão dos sistemas informatizados, além das políticas e procedimentos operacionais relacionados.

Controladores e Processadores de Dados: Quem São?

A LGPD define os controladores e processadores como pessoas naturais ou jurídicas a quem competem, respectivamente, as decisões sobre o controle e o tratamento dos dados pessoais. Por exemplo, uma empresa ou pessoa física que faz a coleta de dados dos seus clientes, mantendo um cadastro, e que realiza processamentos nesses dados para oferecer um serviço qualquer, como uma venda de produto, exames médicos, transações financeiras ou consultoria. Além de assegurar os direitos dos titulares dos dados, cabe a essas organizações a responsabilidade de proteger as informações sob sua guarda de maneira que sejam usados somente para a finalidade pretendida e previamente autorizada.

Como será fiscalizado e quais as penalidades?

A Lei prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD), como um órgão de atuação independente na administração pública federal, inicialmente vinculada à Presidência da República. A ANPD supervisionará as unidades administrativas em todo o país que serão responsáveis pela fiscalização e aplicação da Lei. Embora o dispositivo legal previsse penalidades como a suspensão de operação do banco de dados e até proibição do exercício de atividades de tratamento de dados, na forma atual foram mantidas as advertências formais e multa de 2% sobre faturamento total, até o valor de R$ 50 milhões.

Como preparar a empresa para cumprir a legislação?

Toda adequação legal que afeta a organização exige planejamento e ações, e a LGPD não é exceção. As empresas não devem subestimar a importância deste marco legal, seja pelas pesadas multas que podem sofrer ou por danos irreparáveis à sua imagem no mercado. Por outro lado, as empresas que estiverem alinhadas com a legislação estarão passando uma mensagem aos seus clientes sobre sua seriedade e que são dignas de confiança e futuros negócios.

Caso a sua empresa ainda não tenha iniciado o seu planejamento, sugerimos cinco ações que podem ajudá-los a começar:

1-Mudar Cultura

Mais do que estabelecer direitos e deveres, a nova legislação exige uma mudança de cultura e mentalidade no que diz respeito ao tratamento dos dados. As organizações precisam entender que não podem fazer o que quiserem com as informações pessoais coletadas e que podem ter que prestar contas a qualquer momento sobre o cumprimento das suas obrigações legais. Por exemplo, ao compartilhar informações com terceiros, a empresa ainda responde pelos dados compartilhados. Sendo assim, é fundamental que tanto a direção quanto os colaboradores sejam educados sobre as implicações da LGPD para a organização e que passem compreender a seriedade de temas como privacidade e segurança de dados. A participação de diretores e colaboradores em seminários e palestras sobre a LGPD, inclusive internamente, pode ajudar a dar esse passo inicial.

2-Revisar Processos e Políticas

Como os dados coletados pela empresa são armazenados e usados? Como e com quem são compartilhados? Essas perguntas devem dar início a uma revisão minuciosa dos processos e da política de uso dos dados da empresa. É importante assegurar que a organização tenha efetivo controle sobre os dados e que os processos operacionais não estejam violando a privacidade. Por exemplo, deve haver prévia autorização do titular para o compartilhamento de informações com terceiros. Todos os envolvidos devem ter ciência do seu papel para que os processos sejam aderentes à legislação.

3-Assegurar a Segurança dos Dados

Este é um tópico bastante abrangente, mas se resume no seguinte: os dados coletados pela organização estão 100% seguros contra usos não autorizados ou vazamentos? Por exemplo, criminosos digitais têm sequestrado os dados de empresas em troca de resgate, com ameaça de divulgação das informações privadas. Sob o guarda-chuva da LGPD, essas empresas ainda responderiam pelos os dados que estavam em sua guarda, o que torna a questão da segurança ainda mais crítica. Muito embora a infraestrutura tecnológica (rede, internet, banco de dados e aplicativos) tenha peso significativo em relação à segurança dos dados, não podemos negligenciar o fator humano. Sendo assim, é preciso garantir que somente as pessoas autorizadas tenham acessos aos dados e que existam mecanismos de auditoria que registrem a sua atuação. Caso a empresa não tenha pessoal qualificado para este tipo de análise, é recomendável contratar os serviços de um profissional de confiança.

4-Adequar os Sistemas de Informação

A maior parte dos dados de clientes são coletados por sistemas informatizados, tais como soluções ERP, aplicativos de celular ou websites. Além das questões relacionadas à segurança, vistas no tópico anterior, esses sistemas devem oferecer os mecanismos manipulação dos dados que estejam em harmonia com a LGPD. Por exemplo, os sistemas devem oferecer facilitadores que permitam responder de maneira clara e objetiva eventuais questões levantadas pelos titulares quanto ao uso dos dados, além dos mecanismos de portabilidade, correção, anonimização, bloqueio e eliminação previstos na Lei. Para isso os respectivos fornecedores devem ser consultados quanto à implementação desses mecanismos que garantem a conformidade.

5-Realizar Auditoria dos Dados

Com os dados pessoais sendo elevados ao status de ativo crítico, a sua efetiva gestão é de suma importância para garantir o cumprimento da lei. Por isso é importante que sejam criados mecanismos internos de auditoria que permitam comprovar a correta utilização dos dados, prevenindo, identificando e resolvendo eventuais não conformidades. Essas auditorias devem ser regulares e devem abranger os sistemas, processos operacionais e as pessoas envolvidas na manipulação dos dados. 

Publicado por Adolfino Neto - Diretor Comercial da Próton

Adolfino Alves Pereira Neto, brasileiro, casado, 52 anos, é analista de sistemas há 20 anos, administrador e pós graduado em logística empresarial. Ministra aulas de gestão de armazém em cursos de pós graduação. É proprietário e diretor da Próton Sistemas, empresa produtora de softwares para gestão administrativa, gestão da produção e gestão de armazém. Adolfino é consultor em logística empresarial podendo desenvolver projetos logísticos de qualquer porte nas áreas de estoque, movimentação, armazenagem, projetos de construção ou modificação de armazém.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
Logo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Cancelar

Conectando a %s