por

Adequação de pessoas jurídicas à LGPD

Adequação de pessoas jurídicas à LGPD
por

**O QUE É LGPD?**

A Lei Geral de Proteção de Dados (LGPD) é a Lei nº 13.709, de 14 de agosto de 2018, que entrou em vigor na última sexta-feira, 18 de setembro de 2020. Foi editada com o objetivo de regulamentar a proteção e o tratamento de dados pessoais e assegurar direitos relacionados à defesa da liberdade, da privacidade e da autodeterminação informativa.

Com fundamento da nova lei, toda pessoa natural (titular) cujos dados pessoais são objeto de tratamento por outra pessoa natural ou jurídica, de direito público ou privado (controladores e operadores), tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, assim como pode se opor à forma com que estão sendo tratados e inclusive solicitar a sua eliminação, salvo algumas situações de exceção.

A **Autoridade Nacional de Proteção de Dados – ANPD**, órgão previsto na LGPD como responsável por editar regulamentos e procedimentos sobre proteção de dados e privacidade, embora tenha sido estruturada no Decreto nº 10.474, de 26 de agosto de 2020, ainda não foi efetivamente constituída, o que dificulta o balizamento das ações de adequação necessárias para o cumprimento da nova lei. No entanto, a base principiológica da LGPD já vem sendo utilizada como fundamento acessório em decisões do Poder Judiciário em todo o país, afetando a vida das empresas e dos titulares dos dados, vez que o direito à privacidade e à proteção de dados pessoais é considerado direito subjetivo fundamental.

A responsabilização civil pelos danos causados em decorrência da violação de dados não é questão nova no direito brasileiro e a Constituição, o Código de Defesa do Consumidor, o Marco Civil da internet, além de outras normas de direito civil e digital, são usados como fundamento para proteger os direitos dos titulares de dados, bem antes da vigência da LGPD. O contencioso de dados, seja via demandas coletivas ou individuais, é uma realidade e vem sendo continuamente intensificado.

**EXIGÊNCIAS DA LGPD: SEGURANÇA, SIGILO, GOVERNANÇA E BOAS PRÁTICAS**

– Adoção de medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

– Adoção de regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

– Implementação de programa de governança em privacidade que seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; conte com planos de resposta a incidentes e remediação; e seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

**PENALIDADES PREVISTAS NA LGPD**

A utilização indevida de dados pode gerar a responsabilização da empresa por danos causados aos titulares, assim como prejuízo à imagem da própria empresa, que terá sua credibilidade atingida. Além disso, poderão ser aplicadas penalidades abaixo listadas, constantes da LGPD, que vigorarão a partir de 2021:

  • Advertência;
  • Multas de até 2% do faturamento (limitado a 50 milhões por infração);
  • Publicidade da Infração;
  • Bloqueio e Eliminação dos dados violados;
  • Suspensão por até 06 meses das atividades, prorrogável por igual período, de tratamento de dados em caso de reincidência;
  • Suspensão parcial do funcionamento do banco de dados;
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

**COMPLIANCE DE DADOS: PROGRAMA DE GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO ADEQUADO À LGPD**

Para formulação de um Programa de Privacidade e Proteção de Dados eficiente, é preciso conhecer a empresa e seu modelo de negócio. Não há fórmula geral que possa ser aplicada indistintamente, devendo cada caso ser analisado individualmente, para que se possa adaptar à própria realidade as boas práticas de armazenamento e segurança dos dados tratados pela empresa.

É preciso também conhecer os conceitos básicos constantes na LGPD, a exemplo de:

  • Dado pessoal é a informação relacionada a pessoa natural identificada ou identificável.
  • Dado pessoal sensível é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  • Tratamento de dados é toda operação realizada com dados pessoais, desde a coleta, até a produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Os seguintes questionamentos podem dar a direção a seguir e permitir o planejamento das ações:

  • Qual o perfil da empresa e modelo de negócio adotado? Listar as atividades desempenhadas, a quantidade de funcionários e de clientes, e estrutura de Governança existente.
  • Que espécie de dados pessoais a empresa coleta (inclusive o de funcionários, colaboradores, clientes e terceiros) e com que finalidade?
  • Como se dá o tratamento dos dados pessoais em todo o processo, da coleta ao descarte, e onde são armazenados?
  • A empresa coleta, utiliza ou armazena dados pessoais em bancos localizados fora do território nacional?
  • Como a empresa define sua política de segurança de dados? Possui controles de utilização de e-mails e/ou de compartilhamento de documentos? Faz análise de risco periódica?

Para a estruturação do Programa, de posse das informações acima, faz-se necessário tomar as seguintes providências:

  • Mapeamento dos dados e processos existentes
  • Definição do Encarregado de Dados (DPO)
  • Relatório de impacto
  • Estabelecimento de política de privacidade e segurança da informação
  • Treinamento dos integrantes da empresa em boas práticas de tratamento de dados, uso de e-mails, compartilhamento de documentos, segurança da informação
  • Plano de resposta a incidentes
  • Adequação dos contratos de trabalho, dos contratos com fornecedores e clientes

**IMPORTANTE**

**ENGAJAMENTO.** Não adianta criar um Programa de Governança cujas normas e procedimentos não consigam ser cumpridos, para isso é preciso o efetivo engajamento da alta direção e a realização de campanhas de esclarecimento e orientação, cursos, palestras, cartilhas, e demais ações de conscientização de todos os integrantes.

**PLANEJAMENTO.** Não se pode sanar todas as deficiências de uma só vez. É necessário o estabelecimento das prioridades e de cronograma, para cumprimento das tarefas designadas.- MULTIDISCIPLINARIDADE. A elaboração e a efetivação do Programa é tarefa multidisciplinar, demandando a participação ativa de profissionais do direito, de tecnologia da informação (TI) e da área de gestão da própria empresa.

**PUBLICIDADE.** É necessário o registro e a divulgação da política de proteção de dados e dos procedimentos adotados, para garantir a transparência e mitigar a responsabilidade por eventuais vazamentos de dados.

**CONTINUIDADE.** O Programa de Governança deve ser permanentemente monitorado e atualizado, de modo que integre a cultura organizacional.