Lei criada para regulamentar o tratamento dos dados pessoais pelas empresas entrará em vigor em agosto de 2020
A Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), foi inspirada na lei GDPR Europeia sobre proteção dos dados já existente desde a década de 90. A LGPD foi sancionada pelo Presidente da República em agosto de 2018 e está prevista para entrar em vigor em agosto de 2020, com o objetivo de regulamentar o tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas.
Por esta nova lei toda empresa que incluir em sua base informações de seus clientes, deverá cumprir os procedimentos previstos na nova lei. A multa para as empresas que não cumprirem com as exigências da lei, estarão sujeitas a uma multa que pode chegar a até R$ 50 milhões.
O prazo até agosto de 2020 foi fixado para que as empresas tenham tempo suficiente para se adaptarem e conseguirem colocar em prática as novas exigências de proteção e transparência no tratamento das informações de seus clientes e usuários.
O principal ponto da lei é a proteção de dados e garantia de tratamento diferenciado de informações pessoais consideradas sensíveis. O texto da lei destaca quais informações são consideradas sensíveis: “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”.
Fica determinado que a empresa deverá explicar ao proprietário da informação a razão pela qual vai usar algum dado seu e deve haver uma aprovação prévia, expressa da pessoa, antes da utilização, assim como o compartilhamento dessas informações para outras empresas.
A lei quer coibir o uso indiscriminado de dados pessoais informados por meio de cadastros e garantir ao cidadão o direito de estar ciente sobre como será feito o tratamento de suas informações e para qual finalidade específica elas serão usadas, com isso esperasse que o cidadão passe a ter controle sobre as suas informações armazenadas pela empresa, com detalhes sobre onde estará esse armazenamento e qual o nível de segurança da informação.
O cidadão poderá exigir que uma determinada empresa informe quais dados seus estão armazenados e poderá exigir que estes sejam apagados, exigindo dessa forma, uma grande atenção das empresas quanto ao relacionamento com seus clientes e usuários.
Além de terem que agir com cuidado com a coleta, catalogação, controle de acesso aos dados e armazenamento de dados pessoais de seus clientes, as empresas também deverão adotar cautelas ao compartilhar dados pessoais com outras empresas. Vale aqui destacar uma das regras importantes, a qual afeta diretamente os serviços prestados entre empresas b2b (business to business): a necessidade de consentimento expresso e específico do titular dos dados para qualquer operação envolvendo o tratamento de dados pessoais de terceiros, inclusive no tocante à coleta e ao compartilhamento.
Alguns especialistas no mercado destacam que a abrangência da lei para qualquer tipo de empresa poderá causar uma grande dificuldade ou até mesmo inviabilizar o negócio de pequenas empresas. Tenta-se argumentar que não se deve dar o mesmo tratamento e rigor a grandes empresas multibilionárias e pequenas empresas, como ONGs, consultórios e escolas particulares, uma vez que os potenciais danos do uso indevido de dados pessoais por multinacionais e grandes empresas de tecnologia é bem maior do que o causado por uma empresa pequena ou média.
Tratamento dos dados e controle da informação
O tratamento dos dados pode é todo procedimento que envolve a utilização de dados pessoais, como coleta, organização, classificação, utilização, processamento, armazenamento, controle de acesso, proteção, compartilhamento, transferência, eliminação, entre outros pontos.
Para executar os processos são necessárias três figuras centrais que as empresas deverão ter em seu quadro: o controlador, o operador e o encarregado. O controlador toma as decisões sobre o tratamento dos dados e suas orientações são colocadas em prática pelo operador. Esses dois profissionais, controlador e operador, são os chamados agentes de tratamento. O encarregado tem a missão de fazer a “ponte” entre o controlador, a pessoa dona dos dados e a agência governamental responsável pela fiscalização da lei.
Pontos de atenção após a LGPD entrar em vigor
As empresas públicas ou privadas terão que investir em implantação de uma estrutura e uma política interna de compliance digital acerca do tratamento dos dados de seus clientes.
O processo de análise deverá ser iniciado por um diagnóstico feito pela da equipe de TI, da própria empresa ou terceirizada, com relatórios de análises de risco e análises de impacto das novas exigências. Dessa forma, será possível verificar em qual a atual situação da empresa, pontos vulneráveis de seus sistemas e identificação dos maiores fatores de risco.
Sugere-se que as empresas criem um comitê para atuar exclusivamente na elaboração de políticas internas, metas e planos de gerenciamento de proteção dos dados, assim como planos de emergência para gestão de crises envolvendo segurança e privacidade. É fundamental que membros da alta cúpula da empresa, que possuem poder de decisão, participem desse comitê.
É importantíssimo desenvolver programas de treinamento sobre a nova legislação para toda equipe envolvida.
A punição para as empresas que descumprirem a LGPD será de até 2% de seu faturamento, dependendo do impacto da violação e poderá ter um valor máximo de sanção de R$ 50 milhões.
Existe proposta em tramitação na Câmara dos Deputados solicitando prorrogação do prazo de 2020 para 2022 para entrada em vigor da LGPD, porém uma eventual prorrogação para mais dois anos pode desencadear sérios problemas, tanto sob perspectiva de segurança jurídica, quanto sob a ótica do mercado. Devido a isso, é pouco provável que esse prazo seja prorrogado. O melhor é se preparar desde já e implementar a LGPD o quanto antes.
Como será a fiscalização?
Foi criada pela lei 13.853 a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal responsável por definir normas, zelar e fiscalizar o cumprimento da LGPD, além de aplicar as sanções previstas para as empresas que descumprirem as exigências e será gerida por um conselho.
O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto de 23 representantes, titulares e suplentes, de órgãos públicos e da sociedade civil, sendo cinco deles membros do Conselho Diretor do órgão, que serão escolhidos e nomeados pelo presidente da República, após aprovação pelo Senado Federal, e ocuparão cargos comissionados.
A ANPD ficará subordinada diretamente à presidência da República nos dois primeiros anos de sua implementação e depois será transformada numa autarquia, com independência de atuação. Terá natureza transitória, podendo ser transformada em autarquia vinculada à Presidência da República após dois anos, a critério do governo.
Como implementar a LGPD na minha empresa?
A Siom Consultoria conta com equipe de consultores especializados na implementação da LGPD. Consulte-nos para fazermos uma avaliação e apresentação para a sua empresa.
