Um assunto importante tem sido amplamente discutido por especialistas neste ano de 2020, pois é o ano em que entra em vigor a Lei Geral de Proteção de Dados de Nº 13.709 sancionada em 14 de Agosto de 2018 e que entra em vigor, se não houver alterações, a partir de Agosto de 2020. Embora seja uma assunto bastante discutido por especialistas das áreas envolvidas, é um termo ainda desconhecido ou desacreditado por muitos empresários e profissionais das áreas diretamente atingidas. Em várias visitas realizadas à algumas empresas de pequeno, médio e grande porte, tenho escutado opiniões destoantes e até mesmo bastante desinformação em relação ao que se trata esta Lei. Alguns empresários acreditam que esta será apenas mais uma lei, como SPED contábil e E-social do passado recente, cujo desatendimento era acompanhado de promessas de severas consequências que não se efetivaram até o momento. Já alguns dos profissionais de T.I ou da Área de Segurança da Informação com quem tenho conversado, alguns acreditam que esta Lei irá “pegar” apenas para grandes empresas do segmento digital como grandes E-commerces e Bancos Digitais, outros acreditam que a falta de fiscalização ou a incapacidade do governo em fiscalizar, tornará esta Lei efetiva apenas para eventos com sinistros e vazamento de dados em grande escala, outros nada sabem a respeito e da existência desta lei e outros são céticos em relação a LGPD, não acreditam de fato, até me disseram que será como a “Lei do Farol”, Lei 13.290/16 de 2016, que obrigava motoristas a ligarem os faróis dos veículos automotores durante o dia, logo após sanção começaram as polemicas em torno desta lei e em setembro de 2016 a Justiça Federal suspendeu a Lei do Farol por meio de uma liminar, a medida não durou e, em outubro, a regra voltou a valer com muitas dúvidas sobre sua aplicação, sob a justificativa de que as vias do país não tinham sinalização suficiente para indicar a necessidade do farol baixo e de que a lei não era clara em relação ao seu uso em locais urbanos. Desde que a lei entrou em vigor, em oito de julho de 2016, o presidente Jair Bolsonaro se opôs à determinação e entregou à Câmara dos Deputados uma proposta para alterar o Código de Trânsito Brasileiro (CTB). Entre as mudanças está o fim da obrigatoriedade do farol aceso durante o dia nas rodovias, o texto prevê o uso do farol apenas nas rodovias de faixas simples e não duplicadas. Até podemos fazer um paralelo entre a “Lei do Farol” e LGPD, no entanto a LGPD possui algumas especifidades que se diferencia da “lei do farol” ou de qualquer outra lei, e por isso deverá ser levado a sério. Veremos a seguir, neste artigo, alguns pontos;
O que é a LGPD
Para você que ainda nunca ouviu falar desta lei, a LGPD é uma sigla adotada para designar a Lei Geral de Proteção de Dados (Lei nr 13.709) sancionada em 14 de agosto de 2018 e que entra em vigor a partir de agosto de 2020. Seu principal objetivo é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios. Esta lei chega para alterar a Lei nr 12.965, de 23 de abril de 2014, popularmente chamada de Marco Civil da Internet que regulava estas transações até então.
A LGPD tem como base a GDPR, regulamentação europeia aprovada em maio de 2018 e usa os direitos fundamentais de liberdade e de privacidade como norte para estabelecer regras a respeito da coleta e armazenamento, de dados pessoais e seu compartilhamento. A intenção é proporcionar proteção dos dados das pessoas físicas contando com a penalidade de multas que podem ir até R$50 milhões por infração para motivar o seu cumprimento por parte das empresas.
A quem se aplica?
Aqui está um dos pontos que causa distorções nas opiniões dos profissionais das áreas afetadas, como profissionais de Tecnologia, Empresários e Gestores de RH. Segundo a lei no artigo 1,2, 3, 4, 33 e 64, determina que as regras da LGPD valem em todo o território nacional e que prevalece sobre quaisquer outras leis municipais ou estaduais. Temos também a especificação de que a LGPD se aplica “inclusive nos meios digitais”. Quando se fala sobre a lei, a proteção de dados na internet e em meios eletrônicos costuma ser o foco, mas é fundamental entender que suas normas valem para todo e qualquer tratamento de dados, inclusive analógicos (fichas de cadastro no papel, verificações presenciais de documentos etc.).
Traduzindo em miúdos, no setor privado, se a empresa armazenar informações capaz de identificar pessoas físicas e/ou pessoas Jurídicas (Clientes ou Fornecedores), seja por meio digital ou analógicos (fichas de papel e etc), irão se enquadrar na LGPD.
Podemos começar listando alguns seguimentos de empresas, cujo modelo de negócio envolve a armazenagem de dados pessoais identificáveis;
- Farmácias
- Lojas de Materiais de Construção
- Supermercados
- Clinicas e Hospitais
- Lojas de Roupas e Sapatos
- Industrias
- Provedores de Internet e Telefonia
- Operadoras e Administradoras de Cartão
- Locadoras
Podemos observar que é praticamente quase todos os seguimentos e empresas que estão presentes em nosso dia a dia, qualquer modelo de negócio que requer o cadastro de pessoa física para qualquer finalidade que seja, estará enquadrado na LGPD.
Aonde se aplica?
De acordo com a LGPD, qualquer modelo de negócio que requer o cadastro de pessoa física estará enquadrado na lei. Identificar dentro da sua organização onde deverá aplicar e seguir as exigências da Lei Geral de Proteção de Dados é o desafio de cada organização. Cada empresa possui suas particularidades, identificar aonde aplicar as exigências da lei é um grande desafio e um tanto quanto trabalhoso.
Vai muito além dos sistemas de Tecnologia da Informação e comunicação como provedores de acesso a internet, telefonia e Softwares Houses. Os desenvolvedores de software, provedores de acesso a dados e voz terão que adequarem os seus sistemas para atender as exigências da Lei, no entanto isso vai muito além da responsabilidade de terceiros, dos provedores de serviços e de funcionalidades sistêmicas.
Além da segurança da Informação
Ter um bom firewall, o melhor Antivirus do mercado, um bom sistema de gerenciamento ou uma topologia de redes segura, embora necessário não é o suficiente para se proteger e adequar a LGPD. A lei trata da segurança dos dados, vazamentos ou compartilhamentos não autorizados pelo titular do dado, mexe com toda organização e o seu modelo de negócio, pois nem sempre o vazamento ou compartilhamento não autorizado de dados está associado a uma invasão ou falha dos sistemas. Vai muito além da T.I, envolve todos os departamentos das empresas que usualmente tratam dados pessoais, posso citar alguns exemplos; Departamento comercial, Logística, Recursos Humanos, Jurídico, Compliance.
Após a lei entrar em vigor, os dados de clientes ou fornecedores armazenados em seu banco de dados ou arquivos, deixam de pertencer a sua organização e passam ser de propriedade de quem aquele dado se refere ou o identifica, falando a grosso modo, sua organização deixa de ser o “dono” e passa ser apenas o mantenedor desses dados. Para utilizar esses dados, a lei estabelece que o titular do dado deve autorizar previamente o uso dos seus dados e a organização precisa informar de forma clara para qual finalidade os dados serão utilizados. A organização também será obrigada informar para o titular dos dados quais os dados possuem e ainda garantir ao titular o direito do esquecimento, ou seja, o titular do dado poderá solicitar sem qualquer dificuldade a exclusão dos seus dados na organização que o detêm.
É realmente difícil imaginar essa lei “pegar” para todos, é difícil compreender como os pequenos empresários farão para se adequarem, manter um minimo de segurança possível dentro da sua organização para prevenir o uso não autorizado de dados e garantir a manutenção desses dados perante os titulares, será apenas mais uma lei para os “grandões”?
Porque você deve acreditar na LGPD
A lei de proteção de dados tem alguns componentes diferentes de experiências anteriores, como relatado no inicio deste artigo, a LGPD é diferente da “lei do farol”, pois a Lei Geral de Proteção de dados tem uma pressão que vem de “fora”.
Em 24 de outubro de 1995 consolidou-se a Diretiva 46/95/CE do Conselho Europeu, que passou a disciplinar o tratamento de dados pessoais, visando proteger os indivíduos que estavam sob os domínios europeus, especialmente quanto ao intercâmbio internacional de dados com países de fora daquele bloco. A Comunidade Européia passou a exigir dos países de fora do bloco um selo de adequação às normas vigentes de proteção de dados pessoais, para quem quisesse tratar/compartilhar dados de cidadãos europeus. Foi uma grande sacada da UE que acabou por impor o modelo de proteção de dados que mais atendiam aos seus interesses, contra o domínio de norte americanos e chineses.
E nesse contexto, os países passaram a regulamentar leis internas de proteção de dados, visando estar adequados às normas européias, como forma, inclusive de garantir a competitividade de suas empresas. Os nossos vizinhos Argentina e Uruguai há muito tempo já têm sua regulamentação e são reconhecimentos pela União Européia como países adequados e confiáveis no tratamento de dados pessoais. Qualquer empresa desses dois países “hermanos” terão maior competitividade que uma empresa idêntica que venha a ser criada aqui no Brasil, tendo em vista que ainda não somos países adequados aos termos da lei Européia.
O Brasil é apenas o 103º país do globo terrestre que regulamentou a proteção de dados pessoais. Não é necessário esforço para compreendermos que estamos atrasados, e com uma grande defasagem competitiva com países de relevância econômica muito inferior à brasileira. E neste ponto está o que impulsiona a LGPD.
Como aplicar a LGPD na Organização
Tendo ciência dessas particularidades, que indica que a LGPD vai “pegar”, é necessário que os setores das organizações que trabalhem diretamente ou indiretamente com dados identificáveis, estejam alinhados e comprometidos a seguir todas as exigências da LGPD para proteção e a segurança dos dados. Após estudar a Lei Geral de Proteção de dados, identifiquei algumas coisas que as empresas terão que fazer para se adequarem a lei, conforme segue abaixo;
Antes de mais nada, é necessário que a empresa nomeie as pessoas responsáveis para liderarem a implantação e manutenção da LGPD, o ideal é que equipe seja composta por um profissional de cada área e obrigatoriamente um controlador ou um responsável por gerenciar esse time. Este responsável poderá ser denominado como DPO (Oficial de proteção de dados), o DPO guia a organização na proteção dos dados pessoais armazenados por ela. Para isso, deve ter excelentes habilidades de gerenciamento e ser capaz de interagir tanto com a equipe interna (em todos os níveis) quanto com as autoridades externas, além de orientar a companhia sobre como obter a conformidade, quem exercer essa função vai ter de falar com várias áreas da companhia, pode ser até que seja apenas uma função assumida por um executivo de Infraestrutura de T.I ou segurança da informação. Portanto muitas empresas vão precisar ter um DPO.
Não importa o tamanho da sua empresa, chegou a hora de checar a integridade da sua rede de dados, se você nunca levou muito a sério a segurança da sua rede, esse é o momento adequado para mudar o seu ponto de vista, reveja a topologia da sua rede, como anda as atualizações dos seus servidores, reveja as configurações e regras do seu servidor de Firewall, tenha um bom antivírus e o mantenha sempre atualizado, invista em treinamentos de usuários (eles serão os seus maiores problemas), procure informar se a software House do seu ERP, CRM e outros softwares que sua empresa utiliza, está se preparando para LGPD, garanta isso e estejam alinhados. Se você não tem um Departamento de T.I, você tem um grande problema que precisa resolver, busque uma consultoria e comece a trabalhar o quanto antes.
Departamentos Comerciais e Recursos Humanos deverão estarem alinhados ao Jurídico e ao T.I da empresa para modificarem alguns pontos para o tratamento de informações. Termos jurídicos e politicas de privacidades deverão ser elaborados ou modificados para garantir a aplicabilidade da LGPD de forma adequada aos objetivos do seu negócio.
Outras atividades precisam ser realizadas tais como;
- Realizar um mapeamento geral de todas as atividades que envolvem tratamentos de dados pessoais, incluindo processos de coleta, armazenamento e compartilhamento, verificando, também, se há tratamento de dados pessoais sensíveis.Definir quais estratégias adotar para adequação.
- Alocar responsabilidades internas para execução das ações necessárias.
- Implementar ferramentas que permitam aos titulares de dados pessoais exercerem seus direitos garantidos pela LGPD.
- Revisar, rlaborar, adaptar e aditar contratos que envolvam tratamento e/ou compartilhamento de dados pessoais, tanto nas relações com usuários e consumidores, quanto nas relações com fornecedores e parceiros comerciais.
- Desenvolver relatórios de impacto à proteção de dados pessoais nos casos de tratamento baseado em legítimo interesse e em outras situações em que isso seja recomendável.
- Elaborar e revisar políticas internas, planos de resposta a incidentes e outros documentos sobre privacidade e proteção de dados pessoais.
- Revisar e implementar técnicas e procedimentos de segurança da informação e programas de privacidade desde a concepção e como padrão (privacy by design/by default).
- Estabelecer um programa de governança em proteção de dados pessoais.
Criar ou definir uma politica de segurança adequada à LGPD, fará uma grande diferença para que você consiga evitar vazamentos ou compartilhamentos não autorizados, além é claro de não ser autuado com multas pesadas impostas pelos órgãos fiscalizadores.
Quem irá fiscalizar?
Para garantir a aplicação e fiscalização da LGPD foi criada a ANPD(Autoridade Nacional de Proteção de Dados) que será a responsável por “ditar as regras do jogo” e lançar diretrizes para prática do tratamento de dados pessoais no Brasil. A ANPD será incumbida de tornar a LGPD mais clara, acessível e palatável, tanto para os titulares de dados quanto para os agentes de tratamento. O que garantirá mais segurança jurídica às transações que envolvem o tratamento das informações pessoais. Mas não é só a ANPD quem vai buscar o cumprimento da lei. Os Procons estaduais, o MP e as associações de defesa de consumidor terão um papel muito importante. E não só nas relações de consumo, mas nas de emprego também. Afinal, as empresas também fazem tratamento de dados pessoais dos seus funcionários. Portanto fique atento, o cumprimento da LGPD será fiscalizado por toda a sociedade.
Você começou a se preparar?
Eai? Você ainda continua acreditando que a LGPD não vai “pegar”?
Neste artigo tivemos bastante motivos para pensar ao contrario, não vamos querer correr o risco, o quanto antes você começar a se organizar, menos trabalho e problemas você terá quando realmente a ANPD começar a fiscalizar. Não importa o tamanho da sua empresa, embora pareça “caro”, pequenos ou grandes terão que se adequarem. A lei não estabelece um tamanho ou um faturamento minimo das organizações que terão que atender todas essas exigências. Para muitos é difícil compreender como uma pequena organização conseguirá atender todas essas exigências, cada empresa possui suas particularidades, identificar e aplicar as exigências da lei é um desafio enorme e trabalhoso.
Precisa de Ajuda?
Sabe aqueles momentos que você tem um problema, mas não consegue resolver sozinho e não sabe quem procurar pra te ajudar? A Alluran está ao seu lado e pode resolver para você. Conte com uma equipe especializada, conte conosco!