LGPD requisitos e impactos para as empresas

A regulamentação das políticas de uso de dados pessoais na Europa, Estados Unidos e  em vários outros países, objetivou estabelecer diretrizes claras em relação à privacidade e segurança dos dados. O Brasil aderiu a esta tendência internacional em 14 de agosto de 2018, após oito anos de debates e diversas redações de sua norma, juntando-se assim aos 120 países que já possuíam uma lei clara sobre este tema.

A LGPD – Lei Geral de Proteção de Dados Pessoais brasileira, apoiada na GDPR (General Data Protection Regulation) da união europeia,  estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Entende por dados pessoais qualquer informação relacionada à pessoa natural identificada ou identificável, como nome, RG, CPF, número de telefone, endereço, etc., e por tratamento de dados toda operação realizada com dados pessoais.

A norma estabelece pontos que tornam lícitos o tratamento de dados, como por exemplo, o consentimento por parte do titular e o uso para finalidades legítimas por parte da empresa. Além disso, estabelece princípios para observância das organizações com o  da necessidade e transparência em relatar para que os dados serão utilizados. Este princípio da necessidade diz respeito ao fato de muitas empresas terem a cultura de acumular dados mesmo antes de saberem para que os utilizarão. A LGPD limita as informações coletadas ao mínimo necessário às finalidades da empresa.

Neste processo, assumem responsabilidades claras e passíveis de sanções os intitulados Controladores – pessoas naturais ou jurídicas as quais competem as decisões sobre o tratamento dos dados, os Processadores que realizam o tratamento dos dados e os Encarregados que são indicados pelos controladores e fazem a comunicação entre os titulares que terão seus dados processados e os controladores.

As penalidades previstas na LGPD pela não observância da norma, variam conforme o incidente:

  • uma advertência simples que visa unicamente a educação da empresa;
  • multas que podem atingir até 50 milhões de reais ou 2% do faturamento da companhia; 
  • multas diárias para impedir que o uso dos dados continue ou
  • a interrupção de todas as atividades que utilizam as informações pessoais.
Diante disso, e bem antes do início da vigência das sanções da lei,  é importante estabelecer um plano de ação para atender aos requisitos mínimos de conformidade.

Vigência Imediata

Após idas e vindas entre Senado, Câmara e Governo Federal, a última posição a respeito, definida em 26/08/2020, derruba a Medida Provisória (MP 959/20) criada pelo atual presidente que estabelecia a data de 03 de maio de 2021 para entrada em vigor da norma. Como o próprio nome diz, a medida era provisória, ou seja, precisava ser validada pelo Congresso Nacional, o que ocorreu nesta última quarta-feira (26/08). Foi estabelecida a entrada em vigor da lei de forma imediata, ou seja, as empresas já devem atuar segundo as definições da norma. Ficou definido também, que as multas pelo não cumprimento da LGPD só serão aplicada a partir de 03 de agosto de 2021.  Empresas têm, portanto, alguns meses para ajustarem seus processos, ferramentas e relações comerciais.

Impactos para as Empresas

Dados de clientes são fontes de informações importantes para as atuais estratégias das empresas, geram insights, mostram tendências e potencializam oportunidades de negócios. A dependência destas informações faz com que as empresas precisem priorizar os cuidados exigidos pela nova lei dentro de um planejamento criterioso. 

O ponto fundamental da norma é garantir o consentimento e a privacidade das informações, qualquer problema relacionado a isso pode impedir o uso dos dados e, portanto, impactar na visão dos negócios e seus resultados.

O princípio do consentimento obriga as empresas a repensar suas interações com os clientes, pois o simples pedido de autorização de acesso pode gerar abandono. O legítimo interesse será o ponto de mudança para o aceite. O consentimento implícito não será mais válido.

O cliente, que ganhou maior controle sobre o uso de seus dados, tem direito ao acesso e remoção de suas informações e as empresas têm prazo limite de 15 dias para retorno, devem comprovar o cumprimento da solicitação e também emitir relatórios de Impacto de Proteção de Dados.

É importante por isso, ter os dados armazenados em plataforma que facilite a alteração, atualização ou exclusão dos dados . Além de ser capaz de hospedar o registro do consentimento de cada usuário.

Portanto, para preparar-se estruturalmente para este novo momento que a norma impõem, é necessário mapear todos os dados pessoais tratados pela empresa visando otimizar os processos e utilizar o menor número possível de dados para a finalidade que se pretende atingir, adequando-se assim a legislação e não correndo riscos.

  • Realizar o mapeamento das suas atividades analisando as necessidades legítimas, a natureza dos dados trabalhados em suas operações e os possíveis pontos críticos no que tange ao tratamento dos dados pessoais;
  • Avaliar a plataforma de armazenamento das informações. Duplicar informações entre diferentes sistemas pode gerar risco de vazamento. Se houver qualquer tipo de violação, ou exposição, o usuário deverá ser informado em até 72 horas ou a empresa será multada;
  • Verificar se os dados possuem autorização das pessoas físicas para seu uso. Esta etapa fará com que revise todo o cadastro de seus clientes, consumidores, colaboradores, etc.. Sem requisitos claros e rastreáveis do consentimento os dados precisarão ser eliminados;
  • Implementar gerenciamento inteligente que garanta acesso a disponibilidade desses dados a qualquer momento;
  • Verificar as tecnologias para criptografia de dados pessoais, filtro de conteúdo de e-mail, auditoria de dados, DLP (Data Loss Prevention), etc.. As ferramentas utilizadas precisam garantir que o processamento dos dados seja feito de forma segura e com respeito a privacidade do indivíduo;
  • Reavaliar contratos fazendo uma gestão mais transparente junto aos colaboradores, terceiros e parceiros comerciais sobre o uso dos dados.

A LGPD prevê também, a criação de um comitê de segurança nas empresas com um profissional especializado em privacidade e em adotar políticas de proteção dados.

Um pouco diferente do que muitos pensam, o foco da LGPD não é restringir ou cercear a coleta de dados. Por exemplo, se o usuário compra na internet seus dados ficarão armazenados, é inevitável. Desde que a empresa assegure o sigilo destes, não há problema nenhum no procedimento. O ponto imprescindível é a transparência do uso dos dados que não poderá ser desviado. Um bom projeto de dados é fundamental, definindo o que se irá coletar, como se irá usar e por quanto tempo, este é o foco da lei. 

Não parece simples, mas se bem planejado é. E o mercado já possui ferramentas e profissionais preparados que podem auxiliar sua empresa a entender em que posição ela está e quais passos devem ser dados no curto e médio prazos para atender a norma. Não perca tempo!

 

Assuntos Relacionados