Como preparar sua empresa para a LGPD?
A partir de setembro de 2020, entrou em vigor no Brasil a nova Lei Geral de Proteção de Dados, conhecida também como LGPD. A nova Lei passa a impactar e regular todas as empresas que realizam coleta e tratamento de dados pessoais e sensíveis.
Com a LGPD em vigor, as empresas, independentemente do seu porte, passam a ter a necessidade de estar em conformidade para não sofrer com as pesadas sanções que podem vir a ser aplicadas.
O que muitas empresas ainda não sabem é por onde começar a sua jornada de adequação. Mas antes de mais nada, o mais importante é entender o funcionamento da nova Lei e como ela se aplica à sua empresa.
O propósito da Lei Geral de Proteção de Dados.
Em uma sociedade onde as interações virtuais entre poder público, indivíduos e empresas crescem cada dia mais, a proteção de dados e tratamento de dados pessoais devem ganhar o foco, devido à sua importância.
Surge, então, com o objetivo de regular esse tratamento de dados, a LGPD. A Lei visa garantir que a coleta, armazenamento e tratamento dos dados de pessoas físicas só poderá ser realizada com a autorização do chamado “titular dos dados”, ou seja, a pessoa à qual esses dados se referem.
Os dados pessoais e sensíveis previstos pela lei incluem nomes, telefones, endereços, e-mails, localização, características físicas, preferências, hábitos, entre outros.
A autorização dada por parte do titular deverá ser obtida de forma clara e direta. É obrigatório também que esse seja informado a respeito da finalidade de uso de seus dados, sendo necessária uma nova autorização no caso de alteração da finalidade inicial.
O titular possui ainda o direito de revogar sua permissão a qualquer momento, o que deve ser disponibilizado para ele de forma simples e fácil.
A fiscalização.
O órgão responsável pela fiscalização do cumprimento da LGPD é a Autoridade Nacional de Proteção de Dados, também conhecida por ANPD.
É de responsabilidade do órgão averiguar reclamações não solucionadas entre clientes e empresas, no que tange à violação de dados e privacidade. Ou seja, toda fiscalização e aplicação de sanções em caráter administrativo, dentre as quais, advertências, multas, bloqueio ou eliminação dos dados pessoais e publicização da infração.
A sua atuação, porém, não está restrita ao âmbito das sanções. O órgão da administração pública federal do Brasil, também deverá promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados e privacidade.
E as penalidades?
A partir de agosto de 2021, as penalidades e sanções previstas na Lei Geral de Proteção de Dados passam a poder ser aplicadas pela ANPD.
São elas:
- Advertência administrativa;
- Multa diária ou total de até 2% sobre o faturamento total, limitada a R$ 50 milhões por infração;
- Publicização da informação;
- Bloqueio e eliminação dos dados pessoais a que se refere a infração;
- Obrigação de reparar danos eventualmente causados em decorrência do tratamento inadequados dos dados;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, podendo ser prorrogado por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo de seis meses, podendo ser prorrogado por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Na imagem e no bolso.
Desde sua implementação na União Europeia, o Regulamento Geral sobre a Proteção de Dados, também conhecido por GDPR, vem influenciando diversos países a desenvolverem suas próprias leis de proteção de dados. Surgindo, assim, no ano de 2018 a Lei de Privacidade do Consumidor da Califórnia (CCPA) e a nossa LGPD em terras brasileiras.
Seja no orçamento ou na imagem da empresa, é importante, portanto, que tenha-se a consciência do impacto que esse tipo de lei pode ter.
Uma das maiores multas da GDPR foi aplicada na companhia aérea British Airways. O órgão responsável pela supervisão da lei pediu o pagamento de £183 milhões.
O motivo da multa pedida remete ao final de 2018, quando a empresa por motivo de falha de segurança, acabou vazando dados como os nomes completos, endereços, detalhes de passagens e viagens feitas e agendadas, login e cartão de crédito de aproximadamente 500 mil dos seus clientes.
Já o Facebook viu não apenas seu bolso ser afetado, mas também sua imagem. Em 2018, a empresa recebeu a decisão de que deveria pagar uma multa no valor de US$ 5,5 bilhões para que fosse encerrada a investigação do governo americano sobre suas práticas de privacidade.
O comunicado veio através da Comissão Federal do Comércio dos Estados Unidos. Dois dias após a publicação, o valor do Facebook diminuiu em US$ 35 bilhões na bolsa de valores de tecnologia dos EUA.
A sua jornada de adequação.
Após entender como a LGPD pode ser aplicada em sua empresa, começa sua jornada de adequação. Para tornar um pouco mais simples a sua preparação, separamos o que podem ser os seus primeiros passos.
- Mapeamento de dados.
Partindo da premissa de que se você não enxerga seus dados, você não os protege, o mapeamento de dados é fundamental.
A Lei faz com que as empresas tenham a necessidade de entender quais dados estão coletando, como estão usando e com quem estão compartilhando eles. Para aprimorar a proteção de dados, esse é um importante passo inicial na jornada de compliance.
Através dele você garante um maior entendimento de como os dados se movem através da sua organização.
- O seu site em conformidade.
É importante lembrar que o seu site também precisa entrar em conformidade. Visto que é através dele, muitas vezes, que você irá se comunicar com seus clientes. Portanto, é necessário que ele tenha um banner para que os usuários possam dar ou não o seu consentimento para a coleta de dados feita através dos cookies.
Uma gestão de Cookies disponibiliza aos visitantes do seu site o controle e o gerenciamento sobre o uso de cookies utilizados.
As políticas da sua empresa também devem estar disponíveis no seu site. Desta forma, todos que o acessam podem saber sobre como ocorre essa coleta e uso de dados.
Existem diferentes tipos de políticas que podem estar presentes em um site, mas as principais e imprescindíveis são: Política de Privacidade (ou termos e condições de segurança), Política de Cookies e os Termos de Uso.
Por exemplo, se no seu site são coletados dados pessoais, seja através do uso de cookies ou até mesmo de formulários, você precisa ter estas políticas para comunicação com o usuário.
- Um canal de atendimento
Sua empresa precisa ter um canal de comunicação com seus clientes titulares de dados. Esse canal funcionará como um meio de receber o chamado Data Subject Request (Pedidos dos Titulares).
Essa plataforma de atendimento especializada nos direitos dos titulares dos dados, servirá para que quando um titular de dados desejar ter acesso às suas informações privadas, será através dele a realização dessa solicitação. Tendo, portanto, um canal especializado e adequado para esse tipo de interação.
Seus clientes podem solicitar a remoção dos dados ou pedir esclarecimentos sobre o uso deles, por exemplo. E com o atendimento adequado, seja um formulário, telefone ou e-mail, é possível melhorar essa relação com eles e garantir a transparência no uso de seus dados.
A responsabilidade da empresa.
É importante frisar que o dever de comprovar, perante à Autoridade Nacional de Proteção de Dados, que os consentimentos fornecidos pelos usuários foram obtidos em conformidade é da organização que o coleta. Ou seja, é a sua empresa que terá tal responsabilidade.
Portanto, é interessante que você tenha uma ferramenta que permita apresentar uma auditoria dos consentimentos e suas revogações.
Esse conteúdo foi produzido por Luíza Paines, redatora na empresa Privacy Tools.
