A Lei Geral de Proteção de Dados começa a valer em agosto de 2020. De pequenos negócios a gigantes multinacionais, todas as empresas terão de obedecer à legislação sobre coleta e uso de dados pessoais
A partir de agosto de 2020, a Lei Geral de Proteção de Dados (LGPD) entra em vigor no Brasil. A nova legislação prevê uma série de obrigações para as empresas, seja qual for seu porte, quando o assunto são coleta e armazenamento de dados privados de pessoas físicas. A LGPD chega após escândalos globais envolvendo coleta e uso indevido de dados de usuários. A União Europeia (UE) foi uma das pioneiras na definição de regras sobre o assunto, com a implementação, em 2018, da GDPR (sigla em inglês para Regulamento Geral de Proteção de Dados).
A versão brasileira da GDPR começa a valer somente no próximo ano, mas empreendedores não devem se enganar. O país conta com outros mecanismos que supervisionam o uso de dados pessoais, como o Marco Civil da Internet ou o Código de Defesa do Consumidor. “A novidade que a LGPD traz é uma sistematização, com a consolidação das regras aplicáveis a dados pessoais, à forma de tratamento desses dados e, principalmente, ao controle, responsabilização e prestação de contas por parte das empresas”, explica Esther Jerussalmy Cunha, sócia da área de Inovação e Tecnologia do L.O. Baptista Advogados. As punições para quem ferir os princípios da LGPD podem chegar a multas de 2% do faturamento, limitadas a R$ 50 milhões.
A expectativa é que as novas regras tragam mudanças culturais às empresas brasileiras — ou estrangeiras, já que a lei prevê que serviços usados por cidadãos brasileiros obedeçam às regras. “A LGPD é uma oportunidade que empreendedores brasileiros têm para enxergar com mais responsabilidade a questão do armazenamento de dados de pessoas físicas, o tratamento dessas informações e quais são as implicações que o uso indevido pode acarretar”, afirma Ricardo Becker, fundador e CEO do Grupo Becker, consultoria de TI.
Comunicação
Na opinião de Esther, do L.O. Baptista Advogados, o primeiro passo na jornada de adequação à LGPD é a conscientização de todos os departamentos da empresa. Essa conversa serve para informar os colaboradores sobre o assunto. Isso é importante para que não haja a ideia equivocada de que a LGPD e seus desafios são responsabilidade exclusiva da equipe de tecnologia. O processo, ressalta a advogada, pode ser liderado por diferentes departamentos, como Recursos Humanos, Jurídico, Compliance ou TI. Os primeiros treinamentos gerais vão servir para disseminar uma nova cultura em relação a dados pessoais. “Essa cultura deve permear o desenvolvimento de novos produtos e serviços, as ações de marketing e como são desenhados os sistemas de TI. Além disso, vai ajudar no engajamento para todo o processo de adequação”, afirma.
Mapeamento interno
O primeiro passo do trabalho do encarregado deve ser identificar possíveis focos de problemas na companhia. Para isso, é preciso realizar um mapeamento completo do fluxo de dados e informações de pessoas físicas. Para Ricardo, o diagnóstico pode ser realizado sem grandes dificuldades em empresas de pequeno ou médio porte, sem a necessidade de auxílio de uma consultoria, já que elas contam com processos em menor quantidade e complexidade. Perdido sobre por onde começar esse trabalho? O especialista sugere que a análise comece e seja priorizada de acordo com os processos mais críticos dentro do modelo de negócio da empresa. Este passo é essencial, já que serve como mapa na busca por eventuais brechas no tratamento de dados pessoais.
O encarregado
A LGPD prevê que cada empresa tenha um profissional dedicado aos dados: é o encarregado — internacionalmente, a função foi chamada de Data Protective Officer (DPO). A dedicação não precisa ser exclusiva para este trabalho, e há a possibilidade de contratação de uma PJ ou de uma empresa de consultoria para essa função. Entre as responsabilidades estão ser a interface entre a empresa e os titulares dos dados, fazer a ponte com a Autoridade Nacional de Dados, receber reclamações e solicitações e prestar esclarecimentos. Os especialistas sugerem que essa pessoa seja escolhida e receba um treinamento aprofundado no tema. Ricardo, do Grupo Becker, afirma que cursos com foco na lei são oferecidos por consultorias e são uma boa opção para a preparação desse profissional. A definição do DPO é importante, pois ele deve supervisionar os passos posteriores.
Encontre os erros
“A partir do mapeamento de dados, há a definição da próxima etapa, que é a revisão dos processos e a definição de políticas internas”, explica Esther. Os especialistas sugerem que o empreendedor ou o DPO façam uma série de perguntas para encontrar formas de mitigar riscos. Todos os dados coletados são necessários para o negócio? As informações transitam e são armazenadas de forma segura e são criptografadas? Todos os colaboradores que têm acesso a bases de dados de pessoas físicas precisam desse acesso para a realização de seu trabalho? As respostas devem auxiliar a encontrar processos desnecessários envolvendo dados e a criar mecanismos que evitem vazamentos ou uso indevido das informações coletadas por sua empresa.
Em busca do elo fraco
Para incentivar que toda a cadeia respeite a LGPD, a lei exige que fornecedores e parceiros também obedeçam às novas obrigações. Se a sua empresa contrata ou presta serviços, o assunto é relevante. Esse rigor em relação a parceiros serve como incentivo para a adequação, diz Esther. “Se o objetivo não for o de proteger os dados dos clientes, então que seja por preocupações relacionadas à concorrência. Quem não estiver adequado provavelmente vai sofrer com perda de mercado e ser preterido em uma situação com mais de um concorrente. Uma empresa redondinha vai querer trabalhar com quem também está redondo.”
FONTE: PEGN