Atualização LGPD - Fique por dentro

Autoridade Nacional de Proteção de Dados lança novo guia orientativo.

Conheça essa e outras iniciativas para auxiliar empresas na adequação à LGPD; saiba por onde começar, como a tecnologia pode ajudá-lo e quais os ganhos.

A Lei Geral de Proteção de Dados (Lei 13.709), conhecida como LGPD, ainda permanece um terreno arenoso para muitas organizações, principalmente as pequenas e médias. Segundo uma pesquisa da empresa de software Capterra, apenas 37% das empresas estão totalmente adaptadas à lei. 

Após 2 anos de promulgação da LGPD, esse número soa como um sinal de alerta para a necessidade de apoiar os agentes de tratamento, no caso, o controlador e o operador de dados pessoais. 

O momento é de adaptação cultural à Lei, que traz ganhos para toda a sociedade, pois faz com que as empresas tratem os dados pessoais aos quais tem acesso de forma ética, responsável e não discriminatória.

De olho na adequação de micro e pequenas empresas à LGPD, em setembro, a Ordem dos Advogados do Brasil (OAB), por meio da Comissão Especial de Proteção de Dados, promoveu um webinar para debater os desafios da proteção de dados neste segmento de empresas.

Na abertura do evento “Maratona LGPD: Os Desafios na Proteção de Dados Pessoais”, realizado em parceria com o Sebrae, o diretor-presidente da Autoridade Nacional de Proteção de Dados (ANPD), Waldemar Ortunho, destacou que os pequenos negócios receberam atenção especial com a previsão de flexibilização da lei desde o decreto. 

É uma preocupação não tumultuar o cenário das empresas brasileiras, em especial das micro e pequenas empresas e startups, que são importantíssimas para o Brasil, que não teriam como arcar com as mesmas regras como uma Big Data”, pontuou Ortunho.

Guia orientativo de segurança da informação

Foi justamente para auxiliar os agentes de tratamento de pequeno porte a fazerem adequações das empresas à LGPD, que a Autoridade Nacional de Proteção de Dados lançou neste mês de outubro o Guia Orientativo de Segurança da Informação para Agentes de Pequeno Porte

Voltado aos agentes, que em função de seu tamanho não possuem pessoas especializadas em segurança da informação no seu quadro de funcionários, o Guia apresenta medidas administrativas e técnicas de segurança da informação.

Além disso, traz medidas relacionadas ao uso de dispositivos móveis, como smartphones e laptops, e ao serviço de nuvem, que inclui servidores, armazenamento, bancos de dados, rede, software, análise e inteligência, pela Internet.

O Guia traz ainda, um checklist que facilita a visualização das sugestões que serão adotadas, com o objetivo de proteger os dados pessoais sob a guarda dos agentes. A lista serve para uso interno das organizações e torna objetivas e palpáveis as providências a serem tomadas. 

Em maio deste ano, a ANPD já havia publicado um primeiro documento, o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. 

Esse Guia explica quem pode exercer a função do controlador, do operador e do encarregado; as definições legais; os respectivos regimes de responsabilidade; casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes. 

Ele auxilia a dirimir as principais dúvidas sobre o tema e estabelecer diretrizes relativas aos agentes de tratamento. E explica quem são os atores da Lei, aqueles que fazem parte do processo de tratamento de dados, e suas atribuições.

“Esses dois guias da ANPD são muito relevantes porque eles simplificam o entendimento e procedimentos que às vezes são vendidos como algo quase inalcançável”, afirma Alice Ferreira, fundadora e professora do método GPS LGPD, para Consultoria em Privacidade e Proteção de Dados.

Adequação e Sanções

“Quando a Autoridade Nacional de Proteção de Dados oferece um checklist que possibilita sua empresa verificar o que tem controle de acesso, o que tem monitoramento, há quanto tempo você faz a revisão das suas redes, a empresa já está caminhando para uma adequação. E essa é uma ação efetiva da transmissão cultural e de educação das empresas”, afirma Alice. 

Toda essa preocupação tem um motivo: as sanções para quem violar os direitos dos titulares de dados e as obrigações para quem coleta e trata registros entraram em vigor a partir de 1º de agosto deste ano. 

As sanções vão desde advertências com indicação de prazo para adoção de medidas corretivas, até multas de R$ 50 milhões de reais para órgãos públicos e empresas físicas ou virtuais que descumprirem as normas de proteção de dados pessoais.

Porém, a própria ANPD considerou que nesse primeiro momento é tempo de fazer uma transição educacional. A medida se justifica. “Ainda que a lei tivesse o período de vacatio legis, que foi de dois anos, de quando ela foi sancionada até começar a valer, não houve nenhuma iniciativa governamental para educar as empresas”, ressalta Alice. 

Esse tema também foi tratado durante o evento da OAB em parceria com o Sebrae. Waldemar Ortunho ressaltou o viés educativo da atuação da ANPD na aplicação da lei, no que diz respeito às sanções previstas. 

“Nós temos ideias de sanções educativas e queremos atuar junto do mercado de uma forma mais moderna. Para isso estamos trabalhando dessa forma responsiva, chamamos o regulado e vemos o que é melhor para o titular dos dados, dando prazo para que a empresa se adeque à norma”, afirmou Ortunho.
Segundo o cronograma de trabalho da ANPD, o período até o final de 2021 será dedicado à educação.

O que "pega" nas empresas

Esse viés educativo da ANPD é fundamental para as empresas terem tempo de incorporar a segurança da informação à sua cultura corporativa.
Segundo Fábio Betolino, Gerente Comercial da Quality Way, são muitas as dificuldades das empresas na adequação de suas operações à LGPD. 

E ele lista algumas delas: desconhecimento sobre o tema e de seus impactos para o negócio, falta de organização baseada em processos e tecnologia, baixa ou inexistente cultura em privacidade de dados, necessidade de investir em segurança da informação e profissionais qualificados para o tema e adequação a LGPD por obrigação e não por entender que os controles são cruciais para a governança corporativa e para a continuidade do negócio.

A especialista Alice Ferreira aponta ainda a dificuldade de engajar os colaboradores no processo de adequação. O problema é que, enquanto os colaboradores não entenderem realmente a relevância da segurança de dados, o processo não funciona. “Enquanto o consultor está indo lá, as pessoas estão respeitando. Daqui a seis meses, quando se encerra o projeto de consultoria, todo mundo volta a trabalhar do mesmo jeito”, lamenta Alice.

Consulta pública prevê procedimentos simplificados para pequenas empresas

Outra ação recente no entorno da LGPD foi a consulta pública realizada pela APND e encerrada em 14 de outubro. 

Ela reuniu contribuições para estabelecer a adoção de procedimentos simplificados e diferenciados de aplicação da LGPD para startups, microempresas e empresas de pequeno porte. 

Até o fechamento deste artigo, a ANPD ainda não havia divulgado o resultado. Mas já é possível ter boas expectativas. “O que a gente espera dessa consulta pública é que se criem parâmetros concisos de exoneração da indicação de encarregado de dados, que tem que contemplar faturamento e quantidade de titulares”, afirma Alice. 

A especialista explica ainda que é necessário ter essa balança para poder encaixar em cada perfil de empresa. Uma startup às vezes pode faturar na casa dos milhões e tratar dados num volume extremamente gigantesco. 

“Mas se a LGPD estabelece a simplificação da indicação de encarregado de dados de acordo com o faturamento ou o volume de dados, aí já se consegue dizer quem está isento de fazer uma indicação de encarregado. Porque o encarregado, querendo ou não, é um ônus econômico constante para a empresa”, diz a advogada. 

Segundo Alice, dois dos segmentos de empresas que têm tido mais dificuldade na adequação da LGPD são o e-commerce e os infoprodutores. Isso porque muitas plataformas que fazem hospedagem em sites de vendas ainda não são tão transparentes quanto à LGPD. 

“E-commerce e infoprodutores ainda não têm muita clareza do que a sua hospedagem garante de segurança, e estão um pouco assustados”, afirma.
Por sua vez, as empresas que hospedam os negócios precisam dar transparência. Se eles não garantem segurança, sua empresa não pode garantir.

Sua empresa quer se adequar. Ok, mas, por onde começar?

Há um problema recorrente nas empresas: elas evitam procurar um consultor, protelam o processo de adequação e evitam até mesmo buscar informação, o que é um erro. 

“Ela sabe que quando começa a trabalhar com isso, vai ter que nomear alguém, e isso significa mais um encargo mensal. Deixa para depois, porque agora não tem como pensar nisso, acaba fugindo até onde consegue, ao invés de já procurar orientação”, diz Alice Ferreira.

A primeira coisa a fazer é ver onde estão os dados pessoais e entender qual é o processo de entrada e saída desses dados, para fazer a cadeia de tratamento. 

Depois, é preciso treinar a equipe, porque não dá para iniciar um projeto de adequação sem equipe treinada para fazer acontecer. É gastar dinheiro.
Sua empresa não terá como fugir dos domínios da LGPD. Sua adequação será questão de tempo. Afinal, toda empresa está sujeita a fazer o tratamento dos dados.
 

Desde o momento em que você recebe um currículo para fazer um processo de seleção, alguém vai receber o currículo e irá tratar dados. 

Quem vai avaliar os candidatos, está tratando dados. Quem vai depois assinar a carteira, está tratando dados. Só aí você tem um procedimento de entrada e saída de dados que precisa ser tratado. Depois você trata os dados dos funcionários e os compartilha com o contador, com o banco, com o plano de saúde.
Armazena dados previdenciários pelo período que a lei determina. Além disso, tem os dados de cliente, dados de entrada e saída de visitantes na portaria, tudo isso são dados pessoais, sujeitos à LGPD. 

Entendendo o “caminho da informação”, você passa a entender qual é a extensão das informações de pessoas, ou seja, nome e CPF. E, portanto, você começa a estabelecer as seguranças legais e os pontos de melhoria.

Soluções para a adequação

Já existem muitos recursos para auxiliar as empresas nessa conformidade. Do ponto de vista de processos e da tecnologia, a Quality Way oferece as seguintes soluções para adequação das empresas à LGPD: 

  • Avaliação contextual do negócio, seus riscos e suas peculiaridades
  • Assessment personalizado adequado às necessidades e condições de cada cliente
  • Diagnóstico de Segurança da Informação e Privacidade de Dados (Focado nas normas ISO 27001, 27002, 27701) e outras normas de referência (ISO-28500 – Governança, ISO-31000 – Riscos Corporativos, ISO-22301 – Continuidade, ISO-27005 – Risco SI)
  • Mapeamento de Dados (Data Mapping)
  • Relatório Geral de Processamento e Plano de Ação customizado
  • Estruturação dos processos relativos a dados pessoais
  • Treinamento e conscientização sobre a LGPD
  • Manutenção (DPO as a Service)

“Busque informação, independente se você está disponível para fazer investimento em processo de adequação ou não. Comece buscando informação, porque quanto mais você souber sobre a Lei, mais você vai observar os próprios processos internos”, recomenda Alice. 

“Muita gente não busca informação achando que precisam tirar 20% do faturamento anual da empresa para isso. E eu vejo empresas que já buscaram informação e conseguem contratar com mais segurança o profissional porque ela já sabe que não vai ser enganada”, complementa.

Quais os benefícios para a empresa e para a sociedade?

Para Fábio Bertolino, a LGPD traz muitos ganhos para as empresas, entre eles maior governança e controle corporativo, maior segurança sobre os ativos da empresa e melhora da imagem perante ao mercado e sociedade.

“As empresas demonstram preocupação com questões de qualidade, governança corporativa, social, ambiental e sustentabilidade (ESG)”, afirma.
Ganham as empresas, ganha toda a sociedade, pontua Alice. Não importa se todos os nossos dados pessoais já estão circulando na internet. Geralmente estão. 

“Para o cidadão, o maior ganho é a gente de fato saber o que aquela empresa faz com nossos dados. Se aquela empresa está me tratando de forma ética ou discriminatória e se não está compartilhando as minhas informações.”

Assuntos Relacionados