fbpx
+55 (11) 2099-9939 comercial@advancedinfo.com.br

trong>ivil_03/_Ato2015-2018/2018/Lei/L13709.htm" target="_blank" rel="noopener noreferrer">Lei Geral de Proteção de Dados do Brasil (LGPD), prevista para entrar em vigor em agosto de 2020, tem deixado muitas empresas apreensivas. Sem dúvidas, ela é uma das leis recentes que mais vai provocar impacto nas organizações de maneira geral.

A nova lei, em grande parte é similar ao General Data Protection Regulation (GDPR), em vigor na Europa desde 2018, visa trazer mais rigor para a forma com que empresas privadas e órgãos governamentais tratam as questões de privacidade e proteção de dados dos brasileiros. Além disso, ela cria regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações, ajuda a promover o desenvolvimento tecnológico e a própria defesa do consumidor. O documento altera o Marco Civil da Internet e chega em uma época propícia, marcada por escândalos que envolvem o vazamento e uso indevido de informações pessoais.

O não cumprimento dessas regras pode acarretar, por exemplo, em multas altíssimas que chegam até mesmo a R$ 50 milhões por infração. Ainda que essa prática coloque o Brasil no grupo dos países considerados adequados na proteção à privacidade dos cidadãos, a expectativa é que os próximos meses serão de dificuldade e planejamento nas empresas.

O que muda com a LGPD?

O que muda com a LGPD é que antes não havia uma lei específica e bastante completa sobre proteção de dados pessoais (por exemplo, não havia nem definição do que são dados pessoais), e agora o Brasil saltou para um modelo inspirado no padrão da norma GDPR, bastante sofisticado e exigente. Estamos num momento de transição para essa nova realidade, que torna necessária a preparação desde já.

Quais riscos as empresas correm caso haja algum tipo de vazamento de informações de seus clientes?

Os riscos de penalidades no caso de violação da LGPD são severos. A multa é de 2% do faturamento do grupo empresarial no Brasil, até o teto de R$ 50 milhões, fora bloqueio de tratamento de dados, eliminação de dados, publicação da sanção, etc. Além da multa, pode haver indenização, como a que pende sobre a Netshoes, que teve que pagar R$ 500 mil num Termo de Ajustamento de Conduta firmado com o Ministério Público e ainda ficou ameaçada de uma ação de R$ 10 milhões e outra de R$ 85 milhões, caso venha a reincidir. É importante notar que em casos de terceirização de atividades de TI, as empresas do setor poderão atuar como operador de dados pessoais e ingressarem na cadeia de responsabilidades da empresa-cliente (que age como controladora de dados pessoais, definindo diretrizes que são implementadas na prática pela empresa de TI como operadora), aumentando bastante o seu risco.

O que as empresas precisam fazer para se adaptar a LGPD? Por onde começar?

Para se adaptar à LGPD, primeiro, as empresas precisam fazer o diagnóstico do tipo de dados pessoais que coletam, armazenam, processam e compartilham, para mapearem o que precisa ser cuidado. Em seguida, precisam verificar os fluxos de dados, para entenderem as ramificações do ecossistema de dados pessoais em que operam, e assim adaptar seus workflows com clientes, fornecedores, parceiros, pessoal interno, etc. Após essas duas etapas, deve partir para a construção de uma arquitetura documental, que inclui uma política corporativa de proteção de dados pessoais, aditivos contratuais, modelos de termo de consentimento, e diversos outros itens. Em paralelo, devem nomear um controlador e um operador de dados pessoais, figuras que a LGPD exige que sejam apontadas, para personalizar a assunção de responsabilidades.