A partir de 1º de agosto de 2021, as empresas que ainda não estiverem adequadas à Lei Geral de Proteção de Dados (LGPD) poderão ser punidas. A lei foi aprovada em agosto de 2018 e passou a valer em setembro de 2020. Portanto, depois de um período de um ano de adaptação, as empresas precisam garantir a conformidade no tratamento e captação de dados para não sofrerem sanções.
As principais exigências da LGPD é de que as empresas tenham o consentimento explícito das pessoas sob a captação e uso de seus dados; que informem de maneira direta e também explícita a finalidade da captação e uso dessas informações, avisando ao longo do tempo a finalidade mude; comprovação do legítimo interesse em obter e tratar os dados; entre outros. Caso as definições da lei não sejam cumpridas, agora as empresas podem ter de pagar uma multa de até 2% do faturamento do negócio -- com um teto de R$50 milhões.
Apesar do tempo de adaptação, um levantamento da Agência Nacional de Proteção de Dados mostrou que 74% das empresas ainda não estão em conformidade com a LGPD. Para André França Cardoso, CEO da Acesso, empresa provedora de software e consultoria para Gestão da Informação e Qualidade dos dados, a adequação à lei não deve ter como único objetivo fugir da multa, uma vez que o tratamento correto dos dados pode se tornar um diferencial competitivo.
"Quando se faz uma avaliação a médio e longo prazo, é possível perceber que estar em conformidade com a LGPD traz vantagem competitiva no mercado. A função da governança de dados não deve ser apenas evitar penalizações", orienta o executivo.
Quem deve se adequar à lei?
Todas as empresas e instituições que obtêm dados precisam estar em conformidade com a lei. Desde condomínios que captam nome e número das pessoas para permitir a entrada, passando por lojas que fazem cadastro de seus clientes, até indústrias que precisam dos dados dos colaboradores, fornecedores e clientes.
Continua depois da publicidade |
Paulo Frosi, Diretor de Negócios Corporativos da Connectoway, empresa de soluções em tecnologia da informação e comunicação, complementa: “todas as empresas estão sujeitas às penalidades da LGPD e não somente as empresas que possuem comércio eletrônico. A lei é muito ampla e as penalidades são rígidas”.
Como se adequar à LGPD?
Para evitar as sanções e trabalhar dentro do que rege a lei, portanto, as empresas que ainda não se adequaram, precisam, o quanto antes, implementar medidas de conformidade. Além da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar o cumprimento da lei, os próprios titulares dos dados podem cobrar a adaptação das empresas que pedem e tratam suas informações, fazendo denúncias ao PROCON e outros órgãos competentes em caso de descumprimento da lei.
A head da área de direito digital da Scharlack Advogados, Caterina Formigoni Carvalho, explica que é importante fazer um mapeamento das ações de adequação à lei para não deixar brechas no processo. “Os gargalos são identificados através do mapeamento, que é a primeira fase de implementação da LGPD nas empresas. É feito um estudo para entender a realidade da empresa, quais são as atividades que envolvem o tratamento de dados pessoais e quais são as medidas de segurança adotadas. Traçados esses pontos, é possível identificar onde a empresa pode ou precisa melhorar para evitar qualquer tipo de problema”, ressalta.
Para ter certeza de que estão em conformidade com a LGPD e evitar as sanções, as empresas podem usar esse checklist, organizado pela Kryptus, empresa que oferece soluções de criptografia e segurança cibernética, como guia:
- Fazer um levantamento de quais dados pessoais e dados pessoais sensíveis são coletados para o tratamento;
- Checar se os dados pessoais e dados pessoais sensíveis que estão de acordo com as finalidades da operação de tratamento;
- Avaliar se existe a necessidade de obter o termo de consentimento para o tratamento de dados pessoais;
- Fazer um levantamento para saber quais são as bases legais utilizadas para o tratamento de dados pessoais;
- Verificar se as operações de tratamento de dados pessoais estão protegidas;
- Verificar se os dados pessoais e dados pessoais sensíveis estão protegidos contra vazamentos ou violações;
- Avaliar se existe entendimento sobre o fluxo de tratamento de dados pessoais nas operações de negócios.
- Verificar se o levantamento de riscos em relação às operações de tratamento de dados pessoais é realizado e se os riscos são conhecidos;
- Avaliar se a empresa está preparada para atender a solicitação dos titulares de dados, como exclusão, compartilhamento, armazenamento e outros direitos relacionados às operações de tratamento dos seus dados pessoais;
- Verificar como estão as atividades de implementação de ações para adequação à LGPD.
