A Lei Geral de Proteção de Dados (LGPD) aguarda sanção do presidente da República Jair Bolsonaro (sem partido), e está prevista para entrar em vigor neste mês de setembro. As empresas brasileiras, naturalmente, se preocupam com as mudanças que serão causadas pelo dispositivo. Muitas, porém, não sabem nem por onde começar. Diante disso, o Centro de Liderança em Políticas de Informação (CIPL) e o Centro de Direito, Internet e Sociedade (CEDIS) do Instituto Brasiliense de Direito Público (IDP) publicaram um artigo que lista 12 prioridades para as organizações se concentrarem quando a lei for implementada.
Em meio à pandemia do novo coronavírus, cada vez mais as companhias estão cedendo ao mundo digital, oferecendo produtos e serviços online. Com isso, a questão do processamento de dados pessoais está pautando muitas discussões. Para Giovanna Carloni, gerente de política de privacidade global e líder de projetos do CIPL, a proteção de dados é “um bem valioso” para as organizações, porque “elas precisam da confiança das pessoas, que cada vez mais estão atentas à forma como seus dados estão sendo processados. É muito importante que as empresas se adequem a LGPD, mas não só isso, é preciso que elas sejam transparentes”.
De acordo com a LGPD – que regulamenta como as instituições privadas e públicas devem tratar os dados pessoais e as informações dos cidadãos – se houver infração da lei por parte da empresa, ela estará sujeita a multa simples e diária, com um limite de R$ 50 milhões por infração. Porém, as sanções administrativas, que incluem as penalidades, só terão sua vigência a partir de agosto de 2021, e as empresas poderão se adaptar durante esse tempo.
“Esse passo a passo mostra que não é um bicho de sete cabeças a adaptação à lei. Pequenas empresas, médias e grandes podem começar essa adequação”, afirma Laura Schertel Mendes, professora da Unb e diretora do Centro de Direito, Internet e Sociedade do IDP.
Para ela, o dado pessoal é um “grande ativo para as empresas, mas também é um risco. Se for utilizado da forma adequada é um grande potencial de inovação. Se você não cuida desse ativo, não percebe que se trata de direitos quando se fala de dados pessoais e não implementa medidas de segurança, o dado pode se tornar um ativo tóxico”.
As 12 prioridades
A primeira prioridade da lista é a compreensão do impacto da LGPD na empresa e obter a adesão do gestor, sócio e dono, apresentando a importância de uma política de privacidade e solicitando suporte, incluindo orçamento e recursos.
O segundo passo é designar uma pessoa responsável pela proteção de dados, que possa implementar as medidas regulamentadas.
A importância em identificar as atividades de processamento da empresa e o perfil de dados que ela é responsável é o terceiro ponto da lista. Para isso, é preciso definir uma metodologia de mapeamento desses dados e registrar o processo dos operadores de privacidade, para rever periodicamente o “ciclo de vida dos dados”.
“Fazer o mapeamento de dados é fundamental, porque se você não entende o ciclo dos dados não tem como adaptar todos os processos que a lei acaba exigindo”, diz Schertel.
Em quarto lugar está a determinação do papel e das obrigações que a organização tem como um controlador ou operador. Após isso, é preciso comunicar as mudanças aos empregados da instituição e atualizar os contratos com clientes para que estejam cientes das regras da empresa.
Avaliar os riscos de privacidade ligados ao processamento de dados da organização é o quinto passo. Para isso, implementar uma etapa de avaliação de risco de privacidade dos dados, considerando os riscos para os donos das informações tratadas, é um ponto importante para que esse item seja executado.
O artigo do CIPL e IDP cita em sexto lugar da lista de prioridades a implementação de um programa de gerenciamento de dados, para cobrir os requisitos da LGPD, com base nos riscos identificados na etapa anterior.
Em sétimo, está a definição de uma base legal para as atividades de processamento de dados da organização. Para isso, é preciso uma equipe ou indivíduos responsáveis por definir as bases jurídicas das quais a empresa depende.
Em oitavo lugar da lista, está a necessidade de definir medidas técnicas para uma segurança de dados eficaz e relatórios internos que reportem sobre os incidentes de segurança para que, se necessário, a Agência Nacional de Proteção de Dados (ANPD) seja notificada.
Toda organização tem envolvimento com terceiros, sejam empresas, indivíduos ou clientes. Diante disso, o nono lugar da lista menciona a importância de identificar todos os terceiros com que a instituição compartilha dados pessoais e estabelecer uma gestão responsável por esses dados. Em décimo, identificar o fluxo de dados com organizações internacionais e estabelecer um mecanismo de transferência de dados seguro.
No penúltimo item, o artigo menciona a criação de processos eficazes na transparência de dados e direito à privacidade. E, por último, a criação de um programa de conscientização, que treine os funcionários sobre os requisitos da LGPD na empresa.
O artigo faz parte do projeto exclusivo “Effective Implementation and Regulation Under the New Brazilian Data Protection Law (LGPD)”, da CIPL e do Centro de Direito, Internet e Sociedade (CEDIS) do IDP.
Entenda por que, afinal, a LGPD entrou em vigor já em 2020, quais as consequências imediatas e como será a atuação da ANPD. No Big Data Venia:
LGPD: 12 passos para as empresas seguirem quando a lei entrar em vigor