Não há para onde fugir. A LGPD chegou e chegou para ficar. Mas, e agora? Como isso afeta o mercado? O empreendedor atual precisa mudar algo em relação ao seu negócio?
Em meio a tanto conteúdo sobre LGPD na internet, este artigo visa responder a todas essas questões de maneira rápida e clara.
Mas afinal, o que é LGPD?
LGPD é a sigla para Lei Geral de Proteção de Dados. Ela entrou em vigor em 2020, e foi criada para auxiliar o governo a regulamentar a utilização, o compartilhamento e o armazenamento de dados pessoais dos brasileiros por parte de instituições públicas e privadas.
A LGPD tem como objetivo proteger os direitos fundamentais de liberdade e privacidade do cidadão. Ela estipula uma série de obrigações às organizações do Brasil, e é aplicada pela ANPD, a Autoridade Nacional de Proteção de Dados, um órgão federal desenvolvido para fiscalizar como as informações pessoais dos brasileiros são utilizadas pelas empresas.
Por que devo me adequar à LGDP?
Primeiramente, por se tratar de uma lei governamental em vigência em território nacional, sua conformidade é obrigatória. Andar conforme os regimentos nacionais é dever cívico de todo brasileiro, seja ele pessoa física ou jurídica.
São inúmeras as sanções referidas na LGPD em caso do seu não cumprimento por parte das companhias brasileiras. As normas estipulam multas pesadas, que podem chegar à casa dos R$50.000.000,00 (cinquenta milhões de reais).
Além do mais, o uso indevido dos dados protegidos pela lei pode colocar em risco a reputação da sua empresa e a confiabilidade de seus produtos ou serviços, culminando, inclusive, na falência do negócio. Se adequar à LGPD, portanto, é hoje uma questão de extrema urgência.
E como entrar em conformidade com a LGPD?
Dentre as tantas exigências prescritas na lei, e baseados nas recomendações fornecidas pelo governo federal, resumimos os passos fundamentais para a adequação à LGPD em uma checklist simplificada para o seu auxílio. Assim, para legalizar o seu negócio, sugerimos que você:
- Analise as bases jurídicas que devem ser consideradas para a abordagem de dados pessoais no seu modelo de negócio.
- Identifique, mapeie e organize os dados pessoais que sua empresa tenha em mãos, com atenção especial àqueles que exigem cuidados ainda mais específicos no manuseio (como os dados pessoais sensíveis e os concernentes a menores de idade).
- Informe aos titulares desses dados, antes de efetuar seu manuseio, as finalidades da ação, os dados recolhidos, os destinatários e os seus direitos quanto à privacidade e à segurança.
- Divulgue, de forma clara, em um website ou através de qualquer outro meio de fácil acesso, as circunstâncias em que sua empresa, no exercício de suas competências, aborda qualquer tipo de dado pessoal, e a previsão legal, os procedimentos e as práticas utilizadas na abordagem.
- Elabore medidas técnicas, normas e políticas corporativas que contemplem os requisitos da LGPD para a adequação e a demonstração dessa conformidade, caso algum titular, ou até mesmo a ANPD, requisite.
- Estruture um RIP (Relatório de Impacto de Privacidade). A construção do documento parte do detalhamento de todos os processos de tratamento, pelos quais os dados passam durante o seu ciclo de vida na operação, assim como das bases legais e medidas de segurança adotadas. Essa descrição permite identificar o data mapping da empresa, e endereçar quais medidas devem ser tomadas e quais agentes devem ser envolvidos na operação.
- Implante um plano de formação para que colaboradores, prestadores e demais ativos de sua empresa tenham consciência sobre a importância da privacidade no trato de dados pessoais.
- Designe um encarregado de dados, um DPO – caso seja necessário (os padrões de necessidade são definidos pela ANPD, segundo o volume de dados tratados, porte da empresa, etc.) – que irá interagir com o público e com a própria ANPD.
- Adapte e revise seus procedimentos, contratos e formulários, habilitando meios digitais para atender os proprietários dos dados em demandas de solicitação e revogação do seu consentimento, e caso eles queriam entender melhor sobre como seus dados estão sendo tratados.
- Responda às demandas do titular com rapidez. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante solicitação do titular: em formato simples, imediatamente; ou por declaração clara e completa, provido no prazo de até quinze dias, e que indique a origem dos dados, os critérios utilizados e a finalidade do tratamento. E, caso ele faça uma determinada requisição que lhe seja negada, o cidadão tem o direito de saber os motivos da rejeição e, ainda, de fazer uma reclamação à ANPD e/ou entrar com uma ação judicial.
- Lembre-se que o titular do dado tem a prerrogativa de se opor ao tratamento, mesmo que este tenha como fim o interesse público. Porém, neste caso, o titular deve apresentar à instituição as razões da oposição, e essa poderá continuar o tratamento dos dados e recusar, assim, o pedido: se ele demonstrar motivos legítimos que se sobreponham aos interesses e os direitos do indivíduo; ou caso os dados sejam necessários para declaração, exercício ou defesa de um direito em um processo judicial.
- Não se esqueça que o titular dos dados também tem direitos perante um órgão público, regidos por outras legislações, em especial a Lei do Habeas Data, a Lei Geral do Processo Administrativo, e a Lei de Acesso à Informação.
- Efetue análises de riscos e adote medidas para fazer frente às falhas que possam ferir os direitos e a liberdade do titular dos dados.
- Estabeleça protocolos para gerir e, se for o caso, notificar brechas de segurança e vazamentos de dados. Dados pessoais vazados acidental ou ilicitamente a destinatários não autorizados, ou que fiquem temporariamente indisponíveis ou sejam alterados: qualquer violação deve ser notificada ao titular dos dados e à ANPD, o mais rápido possível.
- Não transfira a entidades privadas, sem consentimento do titular, dados pessoais que constam em bases a que tenha acesso. Exceto: em casos de execução descentralizada de atividade pública que exija a transferência, observado o disposto na LAI; se for indicado um DPO para o tratamento dos dados pessoais; com respaldo em contratos, convênios ou afins comunicados à ANPD; quando for para prevenir fraudes e irregularidades; para resguardar a segurança e a integridade do titular; quando houver outra previsão legal para tal; ou nos casos em que os dados já forem acessíveis publicamente.
- Tenha em mente que o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado, depende de consentimento do titular, exceto nas hipóteses de dispensa de consentimento previstas na LGPD e nos casos citados no item anterior.
- Disponibilize os dados em formato inalterável para compartilhamento com outros órgãos públicos, quando isso for necessário para políticas e serviços públicos, descentralização da atividade pública, e para a disseminação e o acesso das informações pela sociedade.
- Atente-se que a LGPD permite a transferência de dados além-fronteira, desde que seja: com o consentimento específico do titular; a pedido do titular para que esse possa executar pré-contrato ou contrato; para proteção da vida e da integridade física do titular ou de terceiro; para ajudar na execução de política pública; para país ou organismo internacional que projeta dados pessoais de forma compatível com o Brasil; para cooperar juridicamente com órgãos públicos de inteligência, investigação, ou por conta de compromisso assumido via acordo internacional; para cumprir obrigação legal; com a autorização da ANPD; comprovado que o controlador segue a LGPD na forma de normas globais, selos, certificados e códigos de conduta.
- Conheça o texto da LGPD na sua íntegra. Examine-o com o auxílio do seu departamento jurídico. Você pode acessá-lo clicando aqui.
Conclusão
O advento da LGPD afetou drasticamente a forma com a qual o mercado nacional lida com as informações do seu público. Atualmente, qualquer tipo de dado pessoal criado, compartilhado e armazenado deve passar pelo crivo da nova lei. Portanto, o empreendedor brasileiro precisa se conformar com as normas atuais se quiser agir devidamente.
Existem hoje inúmeras medidas e ferramentas altamente efetivas que podem ser facilmente adotadas para que uma empresa se adeque à LGPD.
Não há mais desculpas; a sobrevivência do seu negócio depende dessa adequação.