A Lei Geral de Proteção de Dados (LGPD) aguarda sanção do presidente da República, e está prevista para entrar em vigor neste mês de setembro. As empresas brasileiras, naturalmente, se preocupam com as mudanças que serão causadas pelo dispositivo. Muitas, porém, não sabem nem por onde começar.
O que diz a LGPD?
Na mesma linha do regulamento europeu, a LGPD irá mudar a forma de funcionamento e operação das organizações ao estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades significativas para o não cumprimento da norma.
A lei entende por “dados pessoais” qualquer informação relacionada à pessoa natural identificada ou identificável, e por “tratamento de dados” toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
De acordo com a LGPD se houver infração da lei por parte da empresa, ela estará sujeita a multa simples e diária, com um limite de R$ 50 milhões por infração. Porém, as sanções administrativas, que incluem as penalidades, só terão sua vigência a partir de agosto de 2021, e as empresas poderão se adaptar durante esse tempo.
Quem são os atores envolvidos?
A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.
– O titular: é a pessoa física a quem se referem os dados pessoais.
– O controlador: é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.
– O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
– O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.
Passos indicados para começar a se adequar
– A primeira prioridade da lista é a compreensão do impacto da LGPD na empresa e obter a adesão do gestor, sócio e dono, apresentando a importância de uma política de privacidade e solicitando suporte, incluindo orçamento e recursos.
– O segundo passo é designar uma pessoa responsável pela proteção de dados, que possa implementar as medidas regulamentadas.
– A importância em identificar as atividades de cadastramento da empresa e o perfil de dados que ela é responsável é o terceiro ponto da lista. Para isso, é preciso definir uma metodologia de mapeamento desses dados e registrar o processo dos operadores de privacidade, para rever periodicamente o “ciclo de vida dos dados”.
– Outra dica é definir medidas técnicas para uma segurança de dados eficaz e relatórios internos que reportem sobre os incidentes de segurança para que, se necessário, a Agência Nacional de Proteção de Dados (ANPD) seja notificada.
– É muito importante identificar todos os terceiros com que a empresa compartilha dados pessoais e estabelecer uma gestão responsável por esses dados.
– Por último, a criação de um programa de conscientização, que treine os funcionários sobre os requisitos da LGPD na empresa.
Um site que pode ajudar a compreender melhor é o LGPD Brasil www.lgpdbrasil.com.br/
