Brasília – Entrou em vigor desde o domingo, 1º, a Lei Geral de Proteção de Dados (LGPD).Tanto órgãos públicos, quanto empresas privadas, poderão receber sanção pelo uso incorreto dos dados pessoais do cidadão. Os artigos 52, 53 e 54, da LGPD, que preveem sanções administrativas pelas infrações cometidas com o uso de dados são considerados rigorosos. A LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.

Sanções

Dentre as sanções administrativas previstas na LGPD para o caso de violação das regras previstas, destacam-se a advertência, com possibilidade de medidas corretivas; a multa de até 2% do faturamento da empresa ou órgão público infrator, com limite de até R$ 50 milhões; o bloqueio ou a eliminação dos dados pessoais relacionados à irregularidade, a suspensão parcial do funcionamento do banco de dados ou a proibição parcial ou total da atividade de tratamento.

O art. 53 prevê que a Autoridade Nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações, que deverá ser objeto de consulta pública. A Autoridade Nacional de Proteção de Dados já está completa. Seus cinco diretores foram aprovados pelo Senado, em outubro de 2020. São eles:

Diretor-presidente: Waldemar Gonçalves Ortunho Júnior

Diretoria: Arthur Pereira Sabbat, Joacil Basilio Rael, Nairane Farias Rabelo Leitão e Miriam Wimmer.

Regulamentação

Também no dia 1º de agosto passa a valer a portaria nº 16 da Autoridade Nacional de Proteção de Dados (ANPD), publicada no dia 09 de julho de 2021. A portaria dispõe sobre o processo de regulamentação no âmbito da entidade. Essa portaria estabelece procedimentos para a elaboração da agenda regulatória e de atos normativos editados pela autoridade nacional, incluindo regras aplicáveis sobre consultas à sociedade, elaboração de análises e avaliações de impacto regulatório.

LGPD

A LGPD tem 65 artigos, distribuídos em 10 capítulos. O texto foi inspirado em linhas específicas da regulação europeia — o Regulamento Geral de Proteção de Dados. Estão abrangidos pela proteção da lei quaisquer dados, como nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc). Nos casos de contratos de adesão, quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço, o titular deverá ser informado com destaque sobre isso.

Quem infringir a lei fica sujeito a advertência, multa simples, multa diária, suspensão parcial ou total de funcionamento, além de outras sanções.

O responsável que, em razão do exercício de atividade de tratamento de dados, causar dano patrimonial, moral, individual ou coletivo, é obrigado a repará-lo. O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

A lei tem o conceito de dados sensíveis, que recebem tratamento diferenciado: sobre origem racial ou étnica; convicções religiosas; opiniões políticas; filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político; dados referentes à saúde ou à vida sexual; e dados genéticos ou biométricos quando vinculados a uma pessoa natural.

Empresas precisam se adequar

As empresas e órgão públicos tem algumas tarefas importantes que devem ser adotadas para que estejam regulares diante da LGPD.

No dia 18 de Setembro de 2020 a Lei Geral de Proteção de Dados (LGPD) finalmente entrou em vigor. Após a sua aprovação em 2018, as empresas tiveram 2 anos para adequar seus processos, mas muitas ainda não o fizeram.

Embora as sanções administrativas nela previstas permaneçam adiadas até agosto de 2021, incluindo as multas, que podem chegar a 50 milhões de reais ou a 2% do faturamento anual das organizações, diversas novas vulnerabilidades já surgiram para as empresas.

Em 02 de Outubro, para citar um exemplo, a construtora Cyrela foi condenada pelo Ministério Público de São Paulo a pagar R$ 10 mil a um cliente que teve seus dados compartilhados com parceiros sem autorização.

A reportagem do Blog do Zé Dudu preparou um guia para ajudar no entendimento da legislação.

Para estar em conformidade com as mais de 50 obrigações trazidas pela LGPD existem alguns passos que as organizações precisam seguir em sua jornada de adequação à nova lei, como demonstrado abaixo:

1. Garantir o Apoio da Direção

Como qualquer iniciativa dentro da companhia, sem o apoio dos responsáveis por gerir as operações da organização e sem a demonstração explícita de comprometimento dos mesmos aos esforços destinados para a adequação da empresa à LGPD, dificilmente a empresa terá sucesso em sua jornada. É preciso garantir o apoio na mudança de cultura, além da disponibilidade de tempo e recursos.

2. Mapear os Dados e as Atividades de Tratamento

Um dos principais passos na jornada de adequação de uma organização se dá através de um mergulho em suas operações para que seja possível a identificação de:

Processos que envolvam o tratamento de dados pessoais,

Quais são os dados,

Qual é o ciclo de vida dessas informações,

Onde estão armazenados,

Para quais finalidades são tratados e,

Quais são o fluxo destes dados e os atores envolvidos em seu processamento.

Todas essas informações permitem a elaboração de um Inventário de Dados, do Fluxo de Dados da empresa e do Registro das Atividades de Tratamento por ela conduzidas.

3. Identificar as obrigações de privacidade aplicáveis e verificar seu nível de adequação

A organização deve mapear quais são as regulações e legislações de privacidade aplicáveis à atividade empresarial que desenvolve e avaliar qual seu grau de atendimento aos requisitos trazidos pela LGPD.

4. Identificar as bases legais aplicáveis

Com base no mapeamento das atividades de tratamento de dados pessoais realizada no segundo passo, a organização deve definir qual é a base legal, dentre as dez previstas para dados pessoais e as oito para dados pessoais sensíveis, que autoriza a condução que cada uma das operações de tratamento performadas pela empresa.

5. Avaliar os Controles e analisar o Risco de Privacidade e Segurança

As companhias devem identificar os riscos de privacidade dados aos quais estão sujeitas, e, quais os controles necessários para mitigá-los.

6. Elaborar um plano de adequação

Com base nas informações coletadas nos passos anteriores, a organização deve detectar quais são as ações que necessitam ser tomadas para sua adequação às obrigações presentes na LGPD, traçar um cronograma para a condução destas ações, e, definir prazos e responsáveis por cada uma delas.

7. Implementar as ações pertinentes

Dentre os possíveis endereçamentos estão a designação de um “encarregado de dados” (DPO), a elaboração das políticas e procedimentos pertinentes como:

• Procedimentos de resposta a incidentes de segurança,
• Procedimento de resposta à requisição de titular ou da ANPD,
• Políticas de Privacidade e Segurança da Informação,
• Implementação de soluções de segurança da informação,
• Revisão de cláusulas contratuais,
• Condução de treinamentos e atividades de comunicação com as partes pertinentes etc.

8. Monitorar e aperfeiçoar continuamente

O ciclo PDCA é totalmente aplicável a um programa de privacidade. Sua adequação deve ser periodicamente monitorada e os aprimoramentos relevantes continuamente implementados.

Conclusão

Com o início da vigência da LGPD as organizações já estão vulneráveis e a jornada de adequação é longa. Por isso, quanto antes as empresas se movimentarem, mais cedo reduzirão sua vulnerabilidade às consequências do descumprimento das obrigações presentes na LGPD.

Para ajudar sua equipe a chegar ao próximo nível, você pode contar com o auxílio de consultorias de adequação à LGPD disponíveis no mercado.

Reportagem: Val-André Mutran – Correspondente do Blog do Zé Dudu em Brasília.