Prestes a entrar em vigor, empresas ainda têm dúvidas e desafios para se adequarem à LGPD no Brasil
Por Edilma Rodrigues
Os incidentes de vazamento de dados, no Brasil e no mundo, são recorrentes e expõem dados de usuários e de clientes de empresas de todos os segmentos como Google, Uber, Netshoes, Banco Inter, entre outras.
Há também o uso indevido dessas informações por outras tantas companhias, com casos emblemáticos como os da Cambridge Analytica e do Facebook e, mesmo, na campanha eleitoral norte-americana.
Estas ocorrências já são punidas na Europa pela GDPR – General Data Protection Regulation – com multas e sanções severas para os infratores.
Regulamento similar brasileiro, a Lei Geral de Proteção de Dados (LGPD), deve entrar em vigor por aqui em agosto próximo. Também com punições para quem infringir uma série de exigências quanto à coleta, uso, armazenamento, processamento, compartilhamento e descarte de dados dos brasileiros e de estrangeiros que estiverem no País.
A corrida para se adequar às novas normas têm sido um dos principais focos de empresas de todos os tamanhos e mercados, como é o caso das instituições bancárias, de pagamento e outras modalidades do setor financeiro.
Mas ainda há muitas dúvidas sobre como implementar as mudanças necessárias e o tempo está se esgotando.
Processo de adequação pode levar até seis meses
A Mazars, auditoria e consultoria empresarial, alerta: as organizações devem implementar o programa o quanto antes.
O assunto é complexo, pois envolve toda a estrutura da empresa, a cultura, os seus hábitos, processos, procedimentos de manuais, as políticas internas, o mapeamento e enquadramento de informações; ou seja, é um projeto que pode levar de quatro a seis meses, dependendo do tamanho da companhia
alerta o diretor da consultoria, Heliezer Viana.
Ainda de acordo com o executivo, caso o prazo não seja estendido, as empresas terão que correr contra o tempo.
É preciso definir o comitê de LGPD interno para planejar e definir as estratégias de implementação o quanto antes e alocar um gerente de projetos para coordenar as atividades.
Algumas das áreas que devem ser contempladas neste comitê são: jurídica, de tecnologia da informação, Recursos Humanos e de processos, e esse grupo será responsável por envolver e explicar todos os procedimentos para toda a empresa.
Principais dúvidas
O advogado e DPO da Lee, Brock, Camargo Advogados (LBCA), Paulo Vinicius de Carvalho Soares, respondeu algumas das principais dúvidas quanto ao processo de adequação à LGPD ao portal LGPD Brasil.
1. Com a LGPD vou ter que apagar toda a minha base de contatos?
Caso a base de contatos seja formada pela base de clientes da empresa, não será necessário apagar. Contudo, o tratamento dos dados deve ser para a finalidade específica que justifique o seu uso de acordo com a base legal da respectiva finalidade.
No entanto, se a base de dados foi adquirida ou repassada por terceiros, provavelmente terá que apagá-la, caso os titulares dos dados não saibam que você trata estes dados pessoais.
Uma forma de remediar esta questão seria entrar em contato e os informar de modo a pegar o seu consentimento.
2. Devo apagar os dados de um contato sempre que for solicitado?
Não necessariamente. Se o tratamento dos dados for feito de acordo com uma base legal (art. 7º da LGPD) que não seja o consentimento, você poderá fazer o tratamento para aquela finalidade, com base em contrato, obrigação legal e até legítimo interesse.
3. Como será comprovado que a empresa garante a proteção dos dados?
A comprovação se dará por meio dos documentos que devem compor o Relatório de Impacto à Proteção de Dados Pessoais, tais como: mapeamento do ciclo de vida do dado pessoal, mapeamento de risco, identificação dos agentes de tratamento em cada etapa ou processo de tratamento de dados, criação de políticas, códigos de conduta e comprovantes de treinamento, entre outros. Ademais, existem certificações mundiais sobre segurança da informação, tais como a ISO 27001 e 27002.
4. Qual o valor da multa caso minha empresa não tenha se adequado à LGPD até agosto de 2020?
Em âmbito administrativo, as multas aplicadas antes da entrada em vigor da LGPD poderão ser arbitradas pelos órgãos fiscalizadores, tais como Procons, Ministério Público, entre outros.
Para cada multa será levado em consideração o grau de comprometimento da empresa com a segurança da informação e a proteção de dados pessoais, mediante a comprovação documental, a informação sobre o incidente aos titulares dos dados; o porte da empresa e seu faturamento.
5. Quanto tempo leva para uma empresa se adequar 100% à LGPD? Quais são os passos?
O prazo de adequação de uma empresa à LGPD, sem dúvidas, depende de diversos fatores, tais como porte, quantidade de filiais, quantidade de processos de tratamento de dados pessoais, número de funcionários, quantidade de sistemas e bancos de dados pessoais etc.
Recomenda-se que as empresas iniciem o quanto antes o seu procedimento de adequação, o qual pode levar entre 6 a 12 meses, a depender dos fatores. Os passos para implementação da LGPD basicamente são os seguintes:
- Conscientização da empresa;
- Mapeamento de dados;
- Produção dos mapas, fluxos e matrizes de responsabilidades;
- Identificação de Bases Legais para tratamento de dados pessoais;
- Alteração/Criação de Políticas, Contratos, Termos sobre proteção de dados pessoais; Documentos sobre o tratamento de dados pessoais;
- nomeação dos agentes de tratamento e do DPO;
- Plano de Gerenciamento de Crises;
- Criação de sistemas de gestão dos pedidos dos titulares; das autoridades e do consentimento;
- Treinamento das equipes / terceiros que fazem o tratamento dos dados pessoais;
- Auditoria e revisão constante.
Cultura, tecnologia e jurídico precisam estar alinhados às exigências da Lei
Viana da Mazars lista alguns desafios enfrentados pelas empresas se adequarem ao regulamento.
O primeiro deles diz respeito à cultura corporativa.
É preciso mudar e compreender que é preciso olhar com atenção as informações pessoais, como elas devem ser tratadas e em quais áreas, de que forma as proteger, saber até mesmo o que as empresas parceiras estão fazendo com essas informações.
Outro grande desafio, continua o executivo, está na adequação da tecnologia para atender aos critérios de segurança, o sistema e a infraestrutura.
Para quem vende produtos no e-commerce, por exemplo, quando for buscar as informações do cliente, é preciso passar o termo de consentimento, explicar qual é a sua política de segurança da informação e, permitir que ele depois de cadastrado possa visualizar os dados. Além disso, terá que explicar qual é a finalidade do uso da informação e quem terá acesso. Por fim, a área jurídica também deve ter a adequação de todas as políticas e contratos com um enquadramento de tratamento de dados de acordo com cada artigo e dispositivo da lei,”
finaliza Viana.
Com informações da LGPD Brasil e assessoria de imprensa
