Prepare-se para adequar os procedimentos de sua empresa aos moldes da Lei nº 13.709/ 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), que entrou em vigor em agosto de 2020, embora a possibilidade de aplicação das penalidades por descumprimento às novas regras haja sido adiada para agosto de 2021 (Lei 14.010/2020).
Nossa equipe da Agostini & Soares Advocacia está preparada para ajudar sua empresa a vencer esse novo desafio da melhor maneira possível, desde a elaboração dos termos de uso e política de privacidade até o compliance para as boas práticas.
A nova lei impõe regras específicas sobre a coleta, o tratamento, o armazenamento e compartilhamento de dados das pessoas físicas, bem como seu descarte, e reflete uma nova visão sobre o tratamento de dados pessoais e os direitos de seus titulares.
POTENCIAIS IMPACTOS NOS NEGÓCIOS
Primeiramente temos de ressaltar que essa lei é aplicável a todo e qualquer tipo ou porte de empresa, desde que tenha que coletar dados de pessoas naturais que as identifiquem.
O maior desafio é criar um ambiente em que os dados pessoais sejam vistos como propriedade do seu titular e não de quem os coleta, ou seja, a implementação da nova lei impõe uma cultura diferente daquela que o meio empresarial conhecia até então.
As violações dos preceitos da LGPD podem ser punidas com sansões que vão desde advertência até multa que podem chegar a 2% do faturamento até o limite de R$ 50 milhões por infração. Há ainda o aspecto judicial, pois, a lei já estando em vigor, as empresas que a desrespeitarem podem ser acionadas judicialmente.
Sobre a necessidade óbvia de cumprimento das novas regras, outro aspecto é o dano reputacional caso isso não venha a ocorrer, pois eventuais irregularidades no trato com dados pessoais podem ser nefastas para a imagem da empresa.
Desse modo, é importante que as empresas se mobilizem no sentido de trabalhar conjuntamente com seu corpo diretivo, colaboradores, clientes, fornecedores e consumidores na busca do objetivo de fomentar uma nova cultura que possa significar uma naturalização dos procedimentos estabelecidos pela nova LGPD.
A LGPD assegura a toda pessoa natural a titularidade de seus dados pessoais e garantia dos direitos fundamentais de liberdade, intimidade e privacidade.
POR ONDE COMEÇAR?
O tema da proteção de dados é complexo e vai exigir um estudo em cada empresa em relação à sua situação atual. Trata-se de um projeto de longo prazo, cuja implementação deverá ultrapassar várias etapas, que certamente sofrerão variações a depender do nível em que se encontrem em relação ao tema: 1 aquelas que desconhecem o assunto e estão começando “do zero”; 2 aquelas que contam com algum grau de preocupação e procedimentos; 3 aquelas que necessitam certificar as adequações e os processos já implementados, garantindo assim a conformidade exigida por lei.
O QUE A EMPRESA DEVE FAZER?
DUE DILIGENCE SOBRE DADOS PESSOAIS: Identificação dos dados (pessoal, sensível, criança, público, anonimizado), departamentos, meios (físico ou digital), operadores internos e externos para mensuração de exposição da empresa à LGPD.
AUDITORIA SOBRE O TRATAMENTO: Aderência das 20 atividades de tratamento de dados (coleta, controle, eliminação, etc.) aos princípios previstos no Art. 6º da LGPD, mediante revisão e criação de documentos (contratos, termos, políticas) para uso interno e externo.
GESTÃO DO CONSENTIMENTO E ANONIMIZAÇÃO: Para atender possível solicitação do titular e da futura agência.
GESTÃO DOS PEDIDOS DO TITULAR: Criação de banco de dados para controle dos pedidos dos titulares dos dados (acesso, anonimização, consentimento, portabilidade, etc.).
RELATÓRIO DE IMPACTO: Atendimento à ANPD e demais órgãos do Sistema Nacional de Proteção do Consumidor que poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais.
SEGURANÇA DOS DADOS: Adoção de medidas de segurança da informação para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
GOVERNANÇA DO TRATAMENTO: Criação de regras de boas práticas e governança que estabeleçam procedimentos, normas de segurança, ações educativas e mitigação de riscos no tratamento de dados pessoais.
PLANO DE COMUNICAÇÃO DE INCIDENTES: Comunicação aos órgãos fiscalizatórios (ANPD, Procon, Senacon) e à imprensa sobre incidente de segurança que acarrete risco ou dano.
VALIDAÇÃO DO TÉRMINO DO TRATAMENTO: Adoção das providências necessárias à elimina-ção dos dados tratados e verificação de eventual conservação dos dados com a elaboração de documentos que evidenciem a eliminação.
CERTIFICAÇÃO: Por auditoria especializada das práticas relacionadas à LGPD.
DATA PROTECTION OFFICER: Identificação do encarregado e sua capacitação para exercer as atividades previstas na LGPD.