Dez ações que as empresas podem fazer para se adequarem à LGPD
Durante o webinar realizado nesta sexta-feira, com o patrocínio de Sicredi Pioneira RS, a advogada Izabela Lehn - integrante do Comitê Jurídico da Associação, Comercial, Industrial e de Serviços de Novo Hamburgo, Campo Bom e Estância Velha - listou dez ações que as empresas podem fazer para se adequarem à Lei Geral de Proteção de Dados (LGPD), que está em vigor desde 18 de setembro.
1 – Criar um comitê multidisciplinar.
A equipe deve ser integrada por um representante de cada setor da empresa e irá conduzir o processo de implementação.
2 – Eleger o coordenador do projeto.
Definir um responsável para coordenar as atividades do Comitê.
3 – Mapear dados.
Identificar o fluxo interno de dados da empresa, averiguando quem coleta, onde são armazenados e com quem são compartilhados, por exemplo.
4 – Analisar riscos.
Verificar quais riscos a empresa corre em decorrência do tratamento de dados (coleta, uso e compartilhamento de dados pessoais, por exemplo) e adotar medidas para eliminá-los.
5 – Adequar as bases legais.
Os dados somente poderão ser tratados (usados) pela empresa se adequados a uma das hipóteses legais previstas na LGPD (Exemplo: para cumprir contrato de trabalho ou de prestação de serviço e para cumprir obrigações legais ou regulatórias).
6 – Revisar segurança tecnológica.
Adotar medidas técnicas e administrativas que assegurem a proteção de dados pessoais.
7 – Revisar instrumentos jurídicos.
Revisar contratos de trabalho e de prestadores de serviços, por exemplo.
8 – Adotar boas práticas e medidas de governança.
Definir a Política de Proteção de Dados Pessoais (regras da empresa quanto ao tratamento de dados), criar ou revisar políticas internas, treinar colaboradores, entre outras.
9 – Criar uma cultura de proteção de dados.
A implementação da LGPD tem que partir da alta direção da empresa, que deve divulgar internamente que a organização está se adequando, para que colaboradores adotem postura condizente com a nova legislação.
10 – Eleger um Encarregado de Dados.
Definir alguém para atuar como canal de comunicação entre a empresa, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados Pessoais). Pode ser uma pessoa física ou jurídica que conheça o negócio e irá orientar funcionários e contratados a respeito das práticas a serem adotadas para a proteção dos dados pessoais.
É preciso garantir proteção e privacidade
Empresas privadas, órgãos públicos e pessoas físicas empreendedoras devem se adequar à LGPD (Lei 13.709, de 18 de agosto de 2018), que visa proteger as pessoas físicas contra o uso indevido ou ilícito de dados pessoais comuns (como nome, CPF e RG) ou de dados pessoais sensíveis (como cor, raça, religião, filiação de caráter religioso, político ou filosófico, dados genéticos ou biométricos), armazenados em meios físicos ou digitais.
E estar adequado significa usar dados pessoais de acordo com as hipóteses legais previstas na LGPD. No caso de dados pessoais comuns (artigo 7° da LGPD), é dispensado o consentimento do titular quando os dados pessoais são usados para cumprimento de obrigações legais ou regulatórias e para a execução de contratos, por exemplo. Já em relação aos dados sensíveis (artigo 11° da LGPD), o consentimento para tratamento é a regra, mas, contudo, a LGPD prevê exceções quando o uso dos dados é realizado para cumprimento de obrigação legal, para exercício regular de direitos decorrentes de contrato e ações judiciais e para garantia da prevenção à fraude e à segurança do titular, dentre outras.
Os princípios da LGPD, segundo Izabela, auxiliam na interpretação da nova lei, destacando-se o da finalidade (deve haver uma finalidade legítima para uso dos dados), da necessidade (tratar apenas os dados necessários, evitando um passivo oculto) e da transparência (informações claras e precisas aos titulares sobre o que é feito com seus dados pessoais).
A LGPD confere direitos aos titulares, que devem ser atendidos pelos empreendedores, como, por exemplo, o direito de acesso, correção e eliminação dos dados pessoais. “O titular é o maior fiscal da LGPD e poderá recorrer ao Poder Judiciário se sofrer prejuízos em razão do tratamento indevido ou ilícito”. Também “têm legitimidade e já estão atuando em defesa dos direitos dos titulares dos dados os Procons, a Secretaria Nacional do Consumidor (Senacon), as Defensorias Públicas e o Ministério Público”, destaca.
O descumprimento da LGPD pode resultar em responsabilidade civil (a empresa terá que, se demandada judicialmente, pagar indenização por danos patrimoniais ou morais, individuais e coletivos, se houver descumprimento da LGPD). Pode resultar também em responsabilidade administrativa, que será aplicada pela ANPD (Autoridade Nacional de Proteção de Dados Pessoais), como advertência, multa simples de 2% sobre faturamento do último exercício (limitada a R$ 50 milhões), multa diária, publicização da infração e bloqueio ou eliminação de dados pessoais.
Aspectos positivos
Mas a entrada em vigor da LGPD também tem aspectos positivos, como melhoria do relacionamento com clientes e funcionários, repercussão positiva na imagem da empresa e prevenção de litígios. “Quem se preocupa com a proteção de dados é considerado ético, o que é bem-visto pelas pessoas e pelo mercado em geral”, explica a advogada.
A responsável pela fiscalização do cumprimento da LGPD é a Autoridade Nacional de Proteção de Dados (ANPD), que recentemente teve os seus membros nomeados. “As empresas somente poderão sofrer sanções administrativas por descumprimento da LGPD a partir de agosto de 2021.” Contudo, afirma, “a lei já está em vigor e o seu maior fiscalizador será o titular dos dados pessoais, sendo aconselhável que as empresas deem atenção ao assunto para garantir que o tratamento dos dados pessoais seja realizado de forma lícita e adequada, conforme prevê a nova legislação”.
