4 dúvidas sobre a LGPD e as sanções que entraram em vigor

Editada em agosto de 2018, a Lei Geral de Proteção de Dados Pessoais merece atenção redobrada a partir de agora: as penalidades previstas já são passíveis de aplicação nas empresas ainda não adequadas aos seus princípios e requisitos.

Podem ser desde advertências, multas de até 2% do faturamento, limitadas a R$ 50 milhões, até o bloqueio dos dados.

Diante dos riscos iminentes, vamos responder dúvidas comuns sobre o tema, a fim de contribuir com o entendimento e solução.

Editada em agosto de 2018, a Lei Geral de Proteção de Dados Pessoais merece atenção redobrada a partir de agora: as penalidades previstas já são passíveis de aplicação nas empresas ainda não adequadas aos seus princípios e requisitos. Podem ser desde advertências, multas de até 2% do faturamento, limitadas a R$ 50 milhões, até o bloqueio dos dados.

Diante dos riscos iminentes, vamos responder dúvidas comuns sobre o tema, a fim de contribuir com o entendimento e solução.

Qual a importância da LGPD?

A Lei Geral de Proteção de Dados Pessoais tem por objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Assim sendo, consiste num benefício direto aos cidadãos e à sociedade.

Para isso, dispõe sobre o tratamento de dados pessoais, alcançando qualquer tipo de organização, independentemente do porte, natureza ou segmento. Então, mais que proteção, LGPD é gestão. 

Esse movimento tem ganhado força ao redor do mundo e a LGPD espelha, no Brasil, os princípios gerais de países desenvolvidos e blocos, como a União Europeia, tornando, dessa maneira, uma investida sem previsão de retrocesso.

Diante desse cenário, incluindo os direitos das pessoas, as obrigações das instituições e as penalidades rigorosíssimas para quem as descumprir, a devida adequação aos requisitos legais assume caráter emergencial, caso contrário, a sustentabilidade passa a ser ameaçada.

O que a empresa precisa fazer para adequar-se à Lei?

Em síntese, a LGPD demanda a implementação de um sistema de gestão, denominado Programa de Governança em Privacidade e a definição de responsabilidades claras para o tratamento dos dados pessoais, como o encarregado, também conhecido por DPO “Data Protection Officer”.

Esse sistema deve assegurar a proteção dos dados pessoais e tratamento adequado, de forma a garantir os direitos de seus titulares (cidadãos cujos dados estão sob a tutela da empresa). Ele abrange as atividades internas de uma organização e, ao mesmo tempo, os prestadores de serviços, pois a responsabilidade pelos dados pessoais permanece com a contratante.

Portanto, para adequar-se à LGPD, a instituição deve implementar um conjunto de práticas e procedimentos, muito além do habitual mapeamento de processos e criação de políticas, como se nota com frequência no mercado. 

O Programa de Governança em Privacidade impõe o estabelecimento de processos sistêmicos e periódicos para identificação dos riscos; mapeamento no mínimo anual dos processos; gestão dos Operadores (prestadores de serviços); controle de documentos como políticas, procedimentos, instruções; comunicação e treinamento regulares; gestão do canal de acesso; monitoramento; entre outros. 

Além disso, a empresa precisa estar preparada para as demandas do dia a dia, como práticas para consentimento e respostas no curto prazo a solicitação dos titulares, elaboração de relatórios de impacto e de incidentes, relacionamento interno do DPO com demais atores, etc.

Adicionalmente, o programa precisa contar com um complemento consistente relativo à segurança da informação. Apesar de serem matérias distintas, elas precisam estar harmonicamente interligadas.

Como se observa, todos devem estar atentos para a magnitude e abrangência da tarefa e não se contentar com o “simplório”, investindo em soluções inúteis ou parciais.

Como um Mecanismo de Integridade e Compliance ajuda na adequação à LGPD?

Quando se fala de Compliance a primeira pergunta que surge é: Compliance é burocracia? 

Tanto o Compliance quanto o Programa de Governança em Privacidade são sistemas de gestão. Ambos são similares na estrutura, porém, com focos diferenciados.

Há uma grande sinergia entre eles e, sempre que possível, recomenda-se a união das duas perspectivas. 

No entanto, não se obriga o responsável do Compliance ser o DPO, mas cumpre considerar que a sintonia das práticas e processos desses sistemas promove ganhos consideráveis para a organização.

Quando a instituição já possui um sistema de Compliance sólido e efetivo, a internalização dos conceitos da LGPD torna-se muito mais fácil e menos dispendiosa.

Aproveitar processos já estabelecidos como identificação de riscos, aplicação regular da comunicação e treinamento, gestão dos fornecedores, controles, monitoramento, auditorias internas, envolvimento da Alta Direção, entre outros, consiste na melhor solução.

Entretanto, para as empresas desprovidas de um sistema de Compliance, não cabe esperar. Implementar o Programa de Governança em Privacidade é uma necessidade legal e de sobrevivência. Deve ser feito de imediato! 

Em seguida, a sugestão é mirar os holofotes para o Compliance, visto esse tema também oferecer altos riscos, porém, com um estímulo adicional: os benefícios gerados por esse mecanismo refletem em ganhos significativos para a empresa, corroborando a importância da sua adoção.

Mesmo depois das sanções entrarem em vigor, minha empresa ainda pode se adequar à Lei?

Sim.

Conforme o assunto vai sendo disseminado e as penalidades aplicadas com manchetes na mídia destruindo imagem e reputação de instituições, crescerá a conscientização das pessoas, com ênfase no conhecimento de seus direitos. 

Cada vez mais os cidadãos serão intolerantes com as transgressões e, dessa forma, a própria sociedade assumirá papel de fiscalizadora, aumentando bastante os riscos para as demais empresas. 

Saiba o que não pode ser negligenciado na LGPD.

Vale lembrar a possibilidade de aplicação das penalidades mesmo sem uma ocorrência negativa, como vazamento, tratamento inadequado dos dados ou algum desvio de finalidade. 

Basta haver descumprimento de requisitos da LGPD, como a implementação do Programa de Governança em Privacidade, nomeação do DPO, disponibilização de canal de acesso aos titulares, entre outros.

Por isso, embora tarde, importa apressar-se para alcançar a devida adequação à LGPD. Enquanto isso não ocorrer, a instituição estará vulnerável.

A Compliance Total é especialista na implementação ou aprimoramento de Mecanismo de Integridade e possui diversas soluções para ajudar a sua empresa na adequação à LGPD.