A Lei Geral de Proteção de Dados (LGPD) é a versão brasileira da legislação que pretende regulamentar a atuação em matéria de proteção de dados pessoais, assemelhando-se ao Código Geral de Proteção de Dados (GDPR). A previsão para a entrada em vigor da lei brasileira é em maio de 2021. Entretanto, desde o início das discussões de sua efetiva implementação, os muitos pontos sensíveis que esse assunto possui, induziram as empresas a um processo de adequação às novas normas. Inclusive porque deixar para última hora pode gerar grandes problemas, que incorrem em irregularidades e punições.
Dessa forma, algumas medidas podem ser consideradas essenciais para que as empresas entrem em conformidade com o que a LGPD pretende. Dentre elas destacam-se três ações indispensáveis: (i) a criação de uma política de boas práticas e de governança para o tratamento de dados; (ii) a adoção de um sistema de segurança e sigilo de dados; e (iii) uma política de transparência para a disponibilização de informações aos titulares dos dados.
Veja também: Blog Solere: Como adequar sua empresa à Lei Geral de Proteção de Dados (LGPD)
A criação de uma política de boas práticas e de governança para o tratamento de dados é considerada um aspecto indispensável para a implementação adequada da LGPD porque é preciso ter controle e conhecimento sobre os dados. A Lei de Proteção de Dados estabelece diretrizes quanto à finalidade do tratamento, processamento, arquivamento e transmissão de dados, mas não se limita a isso. É ainda dever do operador e do controlador o mapeamento dessas informações para que seja possível explicar como foram coletados, se houve a obtenção correta do consentimento, e a finalidade desses dados.
A existência de uma estrutura de governança e boas práticas não apenas protege e garante aos titulares dos dados que não haja violações de seus direitos, como também é uma garantia às empresas. Isso porque, em algumas situações, como a própria LGPD prevê, a Autoridade Nacional de Proteção de Dados (ANPD) – órgão responsável pelo cumprimento das disposições da LGPD – poderá solicitar essas informações. Assim, o mapeamento de dados é também garantia dos controladores e operadores contra eventuais acusações de irregularidade.
Veja também: Blog Solere: LGPD e o compliance: como as empresas devem se adequar?
A adoção de um sistema de segurança e sigilo dos dados conta com previsão expressa na LGPD. Nesse caso, a ideia central é a de que os agentes de tratamento de dados são responsáveis por todo o processo de tratamento a que são expostos os dados. Por isso, devem adotar medidas de segurança, técnicas e administrativas a fim de proteger os dados. Os controladores e operadores são responsáveis por qualquer vazamento de dados que ocorra no âmbito de sua atuação, sendo isso fruto de destruição, acesso, perda ou alteração indevidos.
Para além disso, é preciso que as empresas adotem medidas não apenas para assegurar a não ocorrência de violações aos direitos dos titulares, mas que desenvolvam procedimento para que notifiquem o vazamento de dados à Autoridade competente (ANPD) e aos titulares dos dados, quando necessário. A LGPD traz essa obrigatoriedade de notificação do vazamento em seu texto, e as empresas precisam atendê-la para que estejam em conformidade.
Veja também: Blog Solere: Quais são as multas e penalidades por não cumprir a LGPD?
Por fim, é necessária a existência de uma política de transparência por parte dos agentes envolvidos no tratamento de dados. Essa parece ser uma cobrança relevante da LPGD. A ideia da acessibilidade às informações tanto por parte da Autoridade fiscalizadora como por parte dos titulares dos dados é muito importante. As organizações precisam criar um processo que viabilize o exercício desse direito pelos titulares. Um canal de contato para a realização de solicitações, um prazo razoável para resposta e a apresentação de respostas de forma clara, acessível e segura são todas medidas que as empresas precisam adotar e que são inegociáveis.
A implementação da LGPD não é um procedimento específico e pontual. Trata-se de uma nova estruturação da maneira de se pensar e atuar no que se refere ao tratamento de dados. Por isso, trata-se de um processo, que não pode e nem deve ser feito rapidamente, mas que deve inaugurar a construção de uma nova cultura. Os custos de implementação nem sempre são baratos, mas os custos das penalidades sofridas e dos impactos e dados gerados aos titulares dos dados por mera irresponsabilidade são imensuráveis. Por vezes é preciso entender que são necessários alguns passos atrás, em adequação às disposições da LGPD, para que se possa seguir caminhando à frente.
Em conclusão, este texto procura tratar sobre as medidas que as empresas devem adotar em conformidade com o que a LGPD prevê. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.
Imagem: Unsplash