A Lei Geral de Proteção de Dados Pessoais (LGPD), ou Lei nº 13.709/2018, que regulamenta o tratamento dos dados pessoais no Brasil, inclusive digitais, entrou em vigor em setembro de 2020, e suas penalidades pelo seu descumprimento passarão a ser aplicáveis a partir de 01/08/2021.
Importante saber que a LGPD se aplica a todas as empresas privadas e públicas de todos os setores da economia e à administração pública, que realizam o tratamento de dados pessoais e/ou dados sensíveis, o que inclui sua coleta, armazenamento e descarte, entre outros.
Ou seja, o provedor, idenpendentemente do porte, também deverá se adequar à nova lei, sendo que não há, até o presente momento, assimetria regulatória para empresas de pequeno porte, de modo que as obrigações trazidas na LGPD são as mesmas para todas as empresas.
Assim, nasce a necessidade de implementação dos princípios e normas da LGPD também na rotina das organizações, e isso deve ser traduzido tanto na adequação de contratos e segurança dos dados de clientes, como mudanças internas, ou seja, adequação do processo seletivo para novas vagas, processo de contratação, adoção de políticas de proteção de dados, Código de Ética, entre outros.
Dessa maneira, é preciso que o provedor coloque em prática um Programa de Governança e Boas Práticas em Tratamento de Dados Pessoais, conforme sugerido pela LGPD.
O Programa de Governança e Boas Práticas em Tratamento de Dados Pessoais consiste em um conjunto de ações e políticas sugerido pela LGPD para demonstrar o comprometimento da empresa com os direitos dos titulares de dados pessoais e comprovar a adequação à LGPD.
Entendemos que o esse Programa deve contemplar ao menos 4 etapas: (i) implementação, (ii) representação, (iii) capacitação e (iv) auditoria.
Mas, é importante destacar que o processo de adequação de sua empresa à LGPD deve ter como ponto de partida o comprometimento da alta direção, é indispensável que a cultura de proteção de dados seja um valor da empresa, dos colaboradores, dos sócios e diretores.
- IMPLEMENTAÇÃO:
A primeira etapa do Programa de Governança e Boas Práticas de Tratamento de Dados Pessoais tem por foco a reestruturação de comportamentos e documentos com finalidade de adequar a empresa à LGPD, o que contempla, por exemplo, a criação de políticas internas de tratamento de dados e do devido descarte; revisão dos acessos a dados pessoais por pessoas que não necessitam conhecer esses dados; adequação do processo de armazenamento de documentos; revisão do processos de RH; revisão de contratos internos (empresa x empregado) e externos (clientes e fornecedores); etc.
Ainda, é durante o processo de implementação que deverá ser realizado o mapeamento dos dados tratados, que nada mais é do que levantar todos os dados tratados pelo provedor e desenhar o seu fluxo dentro da empresa, ou seja, identificar como são coletados, quem tem acesso, com quais departamentos são compartilhados, por quanto tempo permanecem armazenados e quando são excluídos.
- REPRESENTAÇÃO – NECESSIDADE DE INDICAÇÃO DE UM DPO
A LGPD impõe como obrigação às empresas a nomeação de um DPO. Você poderá apontar alguém interno, como também poderá contratar prestador de serviço especializado.
O DPO (encarregado) é a pessoa indicada pelo controlador responsável por fazer a comunicação entre controlador, titulares e autoridade nacional.
A identidade e as informações de contato do DPO deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site da empresa.
O DPO deverá ser responsável por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, bem como, receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais – ANPD e adotar providências;
Ainda, caberá ao DPO elaborar o Relatório de Impacto à Proteção de Dados Pessoais, que é um documento que averigua os riscos do tratamento de dados pessoais e apresenta mecanismos para redução ou eliminação desses riscos. Este relatório, em determinados casos, poderá ser exigido pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que é órgão responsável pela fiscalização da LGPD.
- CAPACITAÇÃO
Conforme já mencionado, a proteção e dados deverá ser uma conduta esperada de todos da empresa, empregados, sócios ou terceirizados. Desse modo, somente é possível exigir o cumprimento das políticas de tratamento de dados se todos conhecerem a LGPD.
De tal forma, será necessária a capacitação de todos os membros da empresa, o que se sugere ser feito por meio de treinamentos regulares e fornecimento de conteúdo.
- AUDITORIA
A auditoria do Programa de Governança e Boas Práticas de Tratamento de Dados Pessoais permite que a empresa possa melhorar processos, encontrar falhas e demonstrar à ANPD seu comprometimento, de modo que as auditorias devem ser periódicas.
Por fim, vale lembrar que a LGPD instituiu novos conceitos, princípios, direitos e obrigações que, em conjunto, traduzem uma nova cultura de mercado nas operações com dados pessoais, de maior transparência e segurança, bem como autonomia do titular de dados.
Com a entrada em vigor desta lei, as empresas se obrigam a tratar os dados pessoais apenas para fins do negócio, precisam controlar o acesso e manipulação aos dados e oferecer garantias de segurança do armazenamento destes dados aos titulares que os forneceram.
O assunto é extenso, mas esperamos que esse material possa contribuir para a disseminação de conhecimento dos principais tópicos da LGPD, mas caso precise de maiores informações você poderá conversar conosco.
Dra. Anna Gardemann e Dra. Mariana Vidotti
Ambas compõem o corpo de Advogados da Gardemann & Vidotti Advogados Associados