LGPD: como descobrir se minha empresa está adequada?

A LGPD — Lei Geral de Proteção de Dados entrará em vigor até dia 17 de setembro de 2020, passando a valer para negócios de todos os portes que coletem dados no ambiente digital.

Por isso, empresas que ainda não se adequaram às novas medidas de proteção que a lei impõe devem correr contra o tempo.

Durante a pandemia, foi feita uma proposta de adiamento, solicitando que a lei passasse a vigorar somente em maio de 2021.

O objetivo era oferecer mais tempo para as empresas se adaptarem a essas medidas, com a premissa de que os meses de isolamento social dificultariam o processo.

Por outro lado, a necessidade do controle de dados ficou ainda mais evidente durante a quarentena, visto que o e-commerce teve um crescimento considerável no período. Em outras palavras, cada vez mais dados sendo coletados.

Assim, o Senado derrubou a solicitação de adiamento e a LGPD entrará em vigor após a sanção do presidente, que deve ocorrer em até 15 dias úteis após o recebimento do projeto na Casa Civil.

Em caso de descumprimento da Lei Geral de Proteção de Dados, as multas podem chegar até 2% do faturamento da empresa, com o teto de 50 milhões de reais.

Entretanto, ficou decidido que as punições só serão sancionadas a partir de agosto de 2021.

Isso não significa que as empresas podem descumprir ou demorar nas revisões de processos, até porque o Código de Defesa do Consumidor e tudo que envolva direito civil estará atuando plenamente, e os clientes já estão indo ao Procon e ao Tribunal de Pequenas Causas em relação a proteção de seus dados.

Agora que você já entende a importância de rever todo o tratamento de dados da sua empresa, que tal descobrir quais são as mudanças necessárias?

LGPD: pontos para adequar dentro da sua empresa

A lei exige diversas mudanças de processos dentro das empresas. Por isso, dividimos os principais pontos em ordem de ação.

Consultoria jurídica

Em primeiro lugar, não deixe de buscar uma consultoria especializada. Só assim será possível resguardar completamente a sua empresa, garantindo que nenhum ponto esteja fora do exigido em lei.

Comitê de privacidade

Na adequação, o primeiro passo é selecionar profissionais de diferentes áreas para um comitê de privacidade. 

Cada funcionário deve trazer o conhecimento de um setor específico da empresa, com o objetivo de garantir que ela esteja operando dentro da Lei.

Sempre conforme as diretrizes da LGPD, esse grupo irá avaliar riscos, rever processos e definir códigos de conduta ao lado do DPO (Digital Protection Officer).

Digital Protection Officer (DPO) ou Encarregado de Tratamento de Dados 

O Digital Protection Officer (DPO) é uma pessoa física ou jurídica legalmente responsável por comandar atividades de proteção de dados dentro da empresa.

Esse profissional ou grupo deve estar integrado a todas atividades e processos que envolvem tratamento de dados pessoais, e irá responder diretamente à Autoridade Nacional de Proteção de Dados (ANPD), órgão federal. Suas funções envolvem:

• Atender demandas de usuários e prestar esclarecimentos
• Receber comunicações da ANPD e tomar providências
• Orientar funcionários em relação às práticas que devem ser seguidas, verificando seu cumprimento dentro da empresa

Até o momento, todas as empresas que coletam dados, independente do porte, necessitam de um DPO, que deve ter sua identidade revelada nos sites das companhias.

Caso optem por pessoa jurídica, é possível contar com o trabalho de um escritório de advocacia especializado.

Na ocasião de preferirem contratar uma pessoa física, não há exigência sobre a qualificação profissional do encarregado, desde que ele domine a LGPD.

Lembrando que o DPO será responsável legalmente, seja um funcionário ou prestador de serviços. Assim, caso ele esteja envolvido em um dano causado a terceiros, sofrerá as consequências punitivas.

Revisão de processos internos

Com uma consultoria jurídica, um comitê de privacidade formado e um DPO definido, chegou a hora de repensar os processos.

O consentimento na coleta de dados precisa ser revisto. De acordo com a Lei Geral de Proteção de Dados, a forma de consentimento deve ser clara para um fim específico.

Ou seja, o titular daqueles dados precisa saber de maneira exata qual é a finalidade que será dada às suas informações.

Imagine que a empresa pede o CPF do cliente para fins fiscais. De maneira alguma esse dado pode ser tratado para outro fim que não aquele mencionado.

Caso a empresa tenha interesse em usar esse dado também em outras ações, deve inserir um opt-in afirmando essa vontade para o cliente e pedindo a sua autorização.

E, mesmo com claro consentimento, as companhias devem garantir a segurança dessas informações. 

Antes da LGPD, caso uma empresa não oferecesse segurança de dados e sofresse um ataque ou vazamento, ela não seria responsabilizada por isso.

Com a Lei, agora as empresas deverão comprovar uma estrutura mínima de segurança, preparada para assegurar a proteção da privacidade dos consumidores e usuários.

Caso aconteça um acidente, as pessoas em questão devem ser notificadas. A não notificação também sofrerá sanções jurídicas.

Em outras palavras, o comitê, juntamente com o DPO, precisarão esquadrinhar todos os processos existentes, mapeando os caminhos em relação à coleta, tratamento e uso de dados.

Todos os aplicativos e softwares usados pelas equipes diariamente também devem constar no mapeamento, já que armazenam dados.

A dica é identificar todas essas atividades e verificar o cumprimento de medidas de segurança, tempo de retenção das informações, entre outros pontos levantados pela LGPD.

Adeque seu negócio e cresça de forma sustentável

Além de realizar as adaptações para cumprimento da Lei Geral de Proteção de Dados, aproveite as mudanças para criar também um código de cultura.

Defina quais são os pilares de cultura da sua empresa, seus objetivos e metas, as habilidades intrínsecas ao mindset escolhido e compile tudo isso em um culture code que irá ajudar nas contratações, treinamentos profissionais e no caminho rumo a resultados ainda melhores.