LGPD: qual o papel da sua empresa?

A Lei Geral de Proteção de Dados (LGPD) é o nome da Lei nº 13.709 de 2018, que regula todo o tratamento de dados pessoais e dados pessoais sensíveis realizado dentro do território nacional ou que vise o fornecimento e oferta de bens e serviços para pessoas localizadas no Brasil, ou mesmo que tenham sido coletados no país. Depois de diversas mudanças na data da vigência, o artigo da Medida Provisória (MP) n° 959/2020 que propôs a prorrogação da lei foi afastado em votação pelo Senado, com a posterior sanção pelo presidente, o que significa que a lei entrou em vigor em 18 de setembro de 2020.

Como já falamos sobre os conceitos básicos da LGPD e os impactos dela na área de saúde em outro post, neste iremos focar em toda a trajetória para a validação da lei - e, principalmente, qual o papel da sua empresa na LGPD e como se adequar à ela.

Data inicial e histórico até a vigência

Quando a lei foi criada e aprovada em 2018, a proposta previa que ela começasse a valer em fevereiro de 2020, possibilitando que as empresas tivessem um período de dezoito meses para se adequarem a ela.

Em razão da necessidade de criação da Autoridade Nacional de Proteção de Dados pelo Governo Federal, foi publicada uma medida provisória (nº 869/2018) para constituição do órgão, que após todo o trâmite de aprovação foi convertida na Lei nº 13.853/19 e estendeu a vigência da LGPD para 16 de agosto de 2020.

Quando a pandemia do novo coronavírus começou, foi publicada uma MP que tinha um artigo que prorrogava a vigência da Lei para 3 de maio de 2021. Porém, o artigo que falava dessa prorrogação foi removido da MP durante a votação no Senado Federal, a data de início da Lei ainda estava incerta, aguardando a aprovação ou veto do presidente da República.

A partir da sanção ou veto do presidente, a Lei começaria a valer, o que aconteceu em 18 de setembro de 2020. Isso quer dizer que a Lei já está valendo! É importante lembrar que a aplicação das sanções previstas na Lei, em razão da publicação da Lei nº 14.010/2020, foi prorrogada para 1º de agosto de 2021, o que significa que até esta data não haverá multa ou outra penalidade da Autoridade Nacional de Proteção de Dados para as empresas que descumprirem a lei.

Porém, os titulares de dados já podem exercer os direitos previstos na LGPD, de forma que todas as empresas já precisam estar preparadas para receber requisições e cumprir a Lei.

E qual o papel da sua empresa com a LGPD?

Muitas empresas hoje possuem dados dos seus clientes, e colaboradores, seja para realização de cadastros, traçar um perfil de público ou, realmente, por tratar e analisar esses dados. Desta forma, a LGPD afetará todas as organizações que, independente da forma, possuem acesso a dados de cidadãos brasileiros.

O papel da sua empresa será vários, desde se adequar até conscientizar seus colaboradores e implementar uma política de segurança de dados.

Adequação

A partir de 1º de agosto de 2021, a Autoridade Nacional irá fiscalizar o funcionamento da Lei nas empresas. Os titulares, por sua vez, já podem exigir, a qualquer momento, acesso aos dados a seu respeito que a organização possui e solicitar os direitos previstos na LGPD. Assim, se a sua empresa lida com os tipos de dados especificados na Lei, o principal papel é se adequar.

As penalidades previstas na Lei, que pode são pontos de extrema importância, sendo elas:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais por infração;
  • Multa diária, com limite de 50 milhões de reais;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração.
  • Outro ponto de atenção são os possíveis pedidos que os titulares de dados poderão apresentar para as empresas. As empresas devem garantir os seguintes direitos:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários;
  • Portabilidade dos dados a outro fornecedor de serviço ou produto;
  • Eliminação dos dados pessoais tratados com o consentimento do titular;
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • Revogação do consentimento, nos termos do § 5º do art. 8º da Lei.
  • Isso significa que todas as pessoas, titulares de dados, poderão solicitar às empresas a garantia desses direitos, inclusive pela via judicial. Se um titular entender que algum dos itens acima colocados estão sendo descumpridos e argumentar que o direito à privacidade e a proteção dos dados está sendo violado, ele poderá processar a empresa requisitar o cumprimento da lei e solicitar uma indenização, por exemplo. Ou seja, os impactos da lei vão muito além das penalidades que podem ser aplicadas pela ANPD.

    Além disso, de acordo com o relatório do Índice de Segurança, realizado pela empresa Unisys, que avalia como as pessoas se sentem em relação à tecnologia e segurança digital, em 2020, o índice de preocupação com a Segurança no Brasil é de 197, 7 pontos a mais que no anterior e maior que a média do índice global, que é de 175.

    Com isso percebe-se que, a cada ano, os brasileiros se preocupam mais com a segurança de dados na internet e, assim, estando em conformidade com a LGPD e possuindo uma boa proteção e cuidado com os dados, a empresa ganha mais confiança dos clientes, ficando melhor colocada no mercado e evitando riscos de multa e judicialização do tema.

    Agora que entendemos mais ainda a importância da adequação, vamos entender como a sua empresa pode se adequar.

    Como se adequar?

    Para se adequar para a LGPD, primeiro, o ideal é haver a atuação de profissionais de advocacia em conjunto com os da área de tecnologia, para se discutir quais são as melhores formas que garantir a segurança dos dados que a empresa possui. É importante que todas as áreas de empresa se juntem para formar um comitê multidisciplinar, para que o conhecimento técnico dos profissionais de TI e direito possam ser aplicados no dia a dia da empresa, reconhecendo cada ponto operacional relevante.

    Algumas dicas básicas para adequação das empresas são:

  • Atualizar ou elaborar um Mapeamento de fluxo de dados, no qual você vai analisar (e documentar) como a empresa lida com os dados, principalmente como os protege. Esta etapa serve também para observar as possibilidades de vulnerabilidades nesta segurança, tanto do ponto de vista tecnológico quanto do jurídico;
  • A partir do ponto anterior, você conseguirá desenvolver um Mapeamento dos riscos, com os riscos que a sua organização pode correr ao proteger esses dados;
  • Elaborar um diagnóstico de adequação da proteção dos dados pessoais, ou seja, um documento que comprove que a empresa se adequou aos requisitos da LGPD;
  • Revisar ou elaborar documentos de Política de Segurança da Informação, Políticas de Privacidade, Código de Ética e Conduta, Termos de Uso, Termos de Consentimento de Uso de Dados, contratos com funcionários, clientes e fornecedores etc. Crie documentos bem definidos e estruturados, que reforcem o compliance com a LGPD e o funcionamento dela;
  • Nomeação do encarregado de dados dentro da empresa - como visto que é necessários dos autores que a Lei prevê.
  • Conscientização dos funcionários

    A LGPD irá afetar não somente o setor jurídico da sua empresa, mas diversas outras áreas, como RH e Marketing. Desta forma, é muito importante conscientizar sempre os seus colaboradores da importância da Lei e, principalmente, de assegurar e garantir a confidencialidade de dados e informações sensíveis que estão sob a tutela da empresa.

    Quando você incentiva e lembra a relevância de se proteger os dados e informações, por menores que sejam, os colaboradores podem se atentar cada vez mais sobre o que compartilham e, principalmente, como lidarão com os dados.

    Isso é muito importante porque, em 2016, a Pesquisa Global de Segurança da Informação afirmou que 41% das 600 empresas entrevistadas para o estudo disseram que os funcionários atuais são os maiores causadores de acidentes de segurança da informação no Brasil, tendo casos de roubo de propriedade intelectual, comprometimento de dados de clientes, entre outros.

    Assim, essa conscientização e preocupação faz com que todos sempre fiquem alertas para garantir a segurança dos dados, tanto de seus colegas quanto, principalmente, dos clientes.

    Política de segurança de dados

    Uma parte importante dessa conscientização é criar uma boa e estruturada política de segurança de dados na empresa. Esses pontos se complementam, garantindo um comprometimento de toda a empresa para proteger os dados sensíveis.

    Essa política envolve tanto a conscientização quanto documentos legais que garantam essa segurança, como termos de confidencialidade, para colaboradores e clientes, termos de concessão de acesso, transferência de dados e contratos que informam para que ação cada dado pode ser utilizado.

    Aqui na HealthBit somos muito preocupados com a LGPD - e inclusive já fizemos um webinar sobre os impactos da Lei na saúde suplementar -, para saber mais, acesse nossas páginas de proteção de dados, de política de privacidade e segurança da informação.