LGPD: os primeiros passos para as PMEs

Comentários (0) Gene Talks, Tecnologia

Por Mônica Villani

A LGPD – Lei Geral de Proteção de Dados Pessoais (Lei Federal 13.709/2020) – é um dos principais assuntos que circulam no meio empresarial nas últimas semanas

Para quem ainda não sabe muito sobre esse assunto ou não tem certeza se essa lei “vai vingar”, vale explicar que a LGPD foi inspirada no Regulamento Geral sobre a Proteção de Dados – Regulamento (UE) 2016/679, também conhecido como GDPR, que entrou em vigor em maio de 2018, com o propósito de tutelar a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento dos indivíduos.

A LGPD faz parte de uma tendência global, liderada pela União Europeia e já adotada por diversos outros países, de normatização sobre a privacidade e da proteção de dados pessoais. Ao contrário da Europa (que edita normas neste sentido há mais de 25 anos), o Brasil carecia de legislação específica sobre a matéria, contando com previsões esparsas na Constituição Federal e em leis como, por exemplo, o Código Civil, o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei do Cadastro Positivo, a Lei do Acesso à Informação, dentre outras normas (inclusive setoriais), sendo a LGPD um grande marco no País.

De forma sucinta, uma das principais regras da LGPD é a obrigação, por aqueles responsáveis pelos tratamentos de dados pessoais (que vai desde a recepção e a coleta até a guarda e a eliminação, sem deixar de lado a utilização propriamente dita), sendo o tomador da decisão (controlador) ou seu mero executor (operador), de realizar o enquadramento de cada uma destas operações em uma base legal, ou seja, em uma permissão trazida pela LGPD.

Outra das obrigações-chave da LGPD diz respeito à adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situação acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento considerado inadequado ou ilícito.

Todas essas mudanças fazem com que a LGPD, pode agregar valor às empresas que demonstrarem respeito à privacidade e à proteção dos dados dos indivíduos, tornando-se um diferencial competitivo no mercado.

Apesar de publicada há mais de dois anos, o início da vigência de grande parte de seus dispositivos é iminente. Isto porque parte da LGPD já está em vigor desde 28 de dezembro de 2018 – são as disposições que tratam da criação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Sua estrutura ainda está sendo desenhada, como podemos observar no recente Decreto Federal 10.474/2020.

Além disso, por força da Lei Federal 14.010/2020, as sanções administrativas previstas na LGPD – que serão aplicadas pela ANPD, só entrarão em vigor a partir de 01 de agosto de 2021. Estas sanções vão desde advertência à aplicação de multa de até 2% do faturamento da empresa, além da publicização da infração, do bloqueio e da eliminação dos dados pessoais a que se refere a infração.

Mas isso significa que as pequenas e médias empresas não precisam se preocupar com a LGPD ainda?

Muito pelo contrário: todas as organizações estarão sujeitas, por exemplo, à atuação de outras entidades públicas que militarão em favor dos titulares dos dados pessoais, assim como às demandas individuais dos titulares, inclusive judicialmente, podendo culminar em obrigações de fazer e não fazer e em pagamento de indenizações.

Exigências decorrentes da LGPD, ainda, poderão ser feitas por outras empresas às PMEs – sejam estas clientes, fornecedoras ou até parceiras, já que a LGPD vai exigir a conformidade em toda a extensão das cadeias de tratamentos de dados pessoais.

Posto o senso de urgência, como começar a se adequar? Por onde começar?

Primeiramente, a organização deve assumir e aceitar a situação de risco que se encontra por não ter dado início à implementação das medidas de conformidade à LGPD durante seu período de vacância.

Segundo, é importante ter consciência de que não há soluções únicas, rápidas e mágicas que garantirão o cumprimento da lei (muito menos em horas ou dias). Apesar de estarmos falando de cumprimento de uma legislação, a LGPD exige um olhar holístico das organizações, que envolve desde atividades puramente jurídicas até questões relacionadas à segurança da informação e aos processos organizacionais adotados. Ao adotar recursos milagrosos, o compliance será aparente e não efetivo. Além de possivelmente ter de arcar com sanções, penalidades e indenizações, a empresa ainda terá o ônus de custear futuramente pela implementação de medidas verdadeiramente eficazes – o famoso “quem paga mal, paga duas vezes” (ou até mais, nesse caso). 

Em decorrência do parágrafo anterior, o terceiro passo é aceitar que a mudança de cultura é fundamental para estar em conformidade com a LGPD e buscar adaptar toda a organização as novas regras – um dos caminhos é disponibilizar treinamentos de conscientização.

Como passos seguintes, sugere-se disponibilizar um canal de atendimento aos titulares dos dados pessoais e buscar medidas contingenciais para evitar a violação dos direitos desses titulares – tanto para as empresas com forte presença digital como para àquelas que possuem forte estratégia comercial através de outros canais.

A nomeação do encarregado de dados (também conhecido no mercado como “DPO”) pode não parecer urgente (por conta da ausência momentânea da ANPD) mas é importante em função do seu papel de atuar como canal de comunicação entre o controlador e os titulares dos dados (e, futuramente, com a própria ANPD), assim como de disseminação das práticas a serem tomadas em relação à proteção de dados pessoais.

Enquanto essas medidas iniciais são tomadas, as organizações deverão imediatamente dar início aos seus planos de adequação à LGPD, sendo altamente recomendável a busca de profissionais qualificados e preparados para atuar na área. Um processo de conformidade envolve desde a auditoria dos fluxos de tratamento de dados da empresa até a organização do programa de governança de dados e a conscientização dos funcionários e demais envolvidos.

Mônica Villani é advogada e sócia do escritório Mônica Villani Advogados, com atuação especializada em direito empresarial e das startupscompliance de proteção de dados, com certificações EXIN PDPE® e ISFS®. Membro da Comissão de Direito Digital e Compliance da OAB de São Bernardo do Campo/SP. Assistente do LAB de Inovação da Faculdade de Direito de São Bernardo do Campo. Instrutora da Privacy Academy. www.monicavillani.adv.br
_

Foto de capa: Vitaly Vlasov no Pexels

Deixe uma resposta

O seu endereço de e-mail não será publicado.

Pin It on Pinterest

Share This