LGPD: o que é e como aplicar na empresa?

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrará em completo vigor em 2021 para todo o território nacional. O Brasil terá então uma legislação específica para proteger os dados e a privacidade de todos os cidadãos brasileiros.

Por ser um projeto de interesse de todos os cidadãos brasileiros, a LGPD está deixando várias dúvidas para os empresários brasileiros: o que é essa lei LGPD? Qual vai ser o órgão regulamentador? Como ela impacta na minha empresa? O que fazer para me adequar?

Pensando nessas dúvidas, escrevemos esse artigo para determinar o que sua empresa deve fazer para ficar em dia com essa nova lei.

O que é LGPD?

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709) foi sancionada no dia 14 de agosto de 2018 e passa a entrar em vigor a partir de 2021. Essa regulamentação estabelece uma série de regras que todas as empresas e organizações atuantes no Brasil terão de seguir para permitir que o cidadão tenha mais controle sobre seus dados pessoais, garantindo uma transparência no uso dos dados das pessoas físicas em quaisquer meios.

Inspirada fortemente na GDPR (regulamentação europeia que foi aprovada em 2016), a LGPD determina como os dados de cidadãos podem ser coletados e estipula punições, para garantir que as empresas cumpram a lei, que variam desde multa simples de até 2%  do faturamento da empresa no seu último exercício, limitada, no total, a R$ 50 milhões por infração, até multa diária, observando o limite total da multa simples.

Com a LGPD, as empresas devem fazer alguns investimentos para padronizar a coleta dos dados dos cidadãos e principalmente aumentar a segurança dessas informações. E se tratando de segurança, alguns passos podem ser necessários:

• Consentimento do uso de dados aprovado pelo usuário;
• Proteger dados pessoais dos usuários;
• Implementar serviço de controle e segurança contra acessos indesejados, vírus, phishing e ransomware para garantir o item anterior. Veja artigo sobre a Segurança da Informação em 2018: fatos relevantes e o aumento dos ataques virtuais;
• Ter rápida resposta contra qualquer suspeita de ameaças; e
• Visibilidade e controle sobre essas ferramentas de segurança. Veja o artigo A Lumiun é uma das 117 startups que estão mudando a TI no Brasil.

Quem regulamenta a LGPD?

A partir de 2021, o órgão responsável por averiguar, investigar e punir, quando conveniente, aqueles que não cumprirem a LGPD, será a Autoridade Nacional de Proteção de Dados (ANPD). A ANPD foi criada em 2018, através de uma medida provisória (MP 869/18) para acompanhar e aplicar sanções descritas na LGPD.

Por isso, é muito importante que empresas comecem desde já a buscar os ajustes necessários em setores como RH, TI, Financeiro e Jurídico a fim de evitar desagradáveis punições a partir de 2021. Já adiantamos que é uma adaptação complexa e que leva tempo.

Como a LGPD impacta minha empresa?

A LGPD trará um controle ao  usuário que terá acesso sobre os seus dados utilizados pela empresa. Ou seja, o colaborador/cidadão passa a ter direito de saber como seus dados pessoais estão sendo utilizados pela empresa.

Para a utilização dos dados do cidadão, a Lei 13.709 determina que a empresa deve usar a boa fé e seguir alguns princípios. Dentre os princípios, destacamos os seguintes:

• Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
• Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
• Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
• Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

E ainda, a lei determina 9 hipóteses para que o tratamento de dados pela empresa seja considerado legal, as quais, gostaríamos de destacar a primeira que se encaixa na maioria das organizações:

• Mediante o fornecimento de consentimento pelo titular. A empresa só pode coletar dados do usuário mediante a sua autorização expressa. Isso significa que o cidadão precisa ser notificado sobre toda e qualquer ação que envolva o uso de seus dados pessoais.

Em suma, o grande impacto da LGPD nas empresas está relacionado com a política de coleta e segurança da informação. Onde nesse novo cenário, o usuário terá direito a toda informação sobre como a entidade, seja pública ou privada, vai usufruir de seus dados, para qual finalidade, de que forma e por quanto tempo serão armazenados e com quem poderá ser compartilhado.

Sabemos que há muita coisa para se fazer dentro das empresas para se adequar à nova lei. Por isso, é importante reiterar que as organizações devem começar a adaptar seus processos e produtos o mais rápido possível para evitar as multas da ANPD.

Adequar a empresa: próximos passos

A LGPD será aplicada a todos os setores da economia e a todos os tamanhos de empresa. Mesmo empresa avessas à tecnologia e que ainda mantenham seus registros em papel estão sujeitas à nova lei. Afinal, são dados pessoais dos cidadãos que estão guardados com a empresa independente do formato ser físico ou digital.

O primeiro passo é definir uma equipe que seja responsável por analisar os procedimentos internos quanto a coleta dos dados e o fluxo dessas informações na empresa envolvendo terceiros com os quais a empresa tenha que dividir esses dados. Empresas mais contemporâneas chamam essa equipe de “gestora de compliance“, ou seja, estar em compliance, ou compliant, é estar em conformidade com leis e regulamentos externos e internos.

Documentado todos os fluxos e detectadas as deficiências, é necessário iniciar os procedimentos para tornar a utilização de dados totalmente segura para os colaboradores quanto para a empresa.