![Bruna Comin / Divulgação Bruna Comin / Divulgação](https://www.rbsdirect.com.br/filestore/5/3/5/0/5/6_f299e2b87edd580/650535_8c5defe37a1b323.jpg?w=700)
Nos últimos dias, um assunto que já vem sendo bastante difundido desde 2018, quando foi sancionada a Lei Geral de Proteção de Dados Pessoais (LGPD), ganhou ainda mais atenção. É que a lei que tem como objetivo estabelecer normas para o uso de dados pessoais em todos os setores da economia terá suas punições entrando em vigor a partir deste domingo (1º). Ela busca garantir maior segurança em relação às informações compartilhadas pelas pessoas. Na prática, estabelece regras às empresas e organizações, modificando a forma como os dados são coletados, armazenados, tratados e, principalmente, compartilhados.
A LGPD foi sancionada no Brasil em agosto de 2018, porém, somente agora é que passarão a vigorar as punições a empresas e órgãos públicos que não se adaptarem à norma. As penalidades vão de advertências, multa simples ou diárias, até suspensão e proibição de tratamentos de dados, bem como a responsabilização civil dos agentes de tratamento por danos.
A coluna conversou com os advogados Thomas Berton e Guilherme Bortolotto do escritório Berton & Bortolotto, de Flores da Cunha, e repassa algumas dicas dos profissionais especializados no tema:
Que empresas precisam se adequar à LGPD?
Todas. Não raro nos deparamos com pequenas e médias empresas que ainda não estão adaptadas ou preparadas para enfrentar a vigência das sanções e até empresas que desconhecem o que é a LGPD. Entretanto, é nosso papel ressaltar que a LGPD não faz distinção entre portes de empresas. Todas serão tratadas com o mesmo rigor legal.
As empresas precisam contratar um profissional especialista em LGPD?
A lei prevê que elas adotem uma série de medidas de segurança, técnicas e administrativas para proteger seu banco de dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, ou qualquer forma de tratamento inadequado. Cada empresa terá que ter, em seu quadro de funcionários ou de forma terceirizada, um departamento ou um encarregado de dados, profissional responsável que atua como elo entre a empresa e os titulares dos dados coletados, também fazendo uma ponte com as autoridades reguladoras.
Como serão aplicadas as punições?
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por aplicar as punições. Entretanto a competência para punir casos do tipo não será exclusiva da ANPD. Isso porque a LGPD deixa claro que as violações de direitos dos titulares nas relações de consumo ou trabalhistas continuam sujeitas à legislação pertinente. Desta forma, as sanções previstas na lei poderão ser aplicadas apenas pela ANPD, mas os órgãos de defesa do consumidor, Ministério Público, e sindicatos podem judicializar questões de violação de dados. Neste sentido, tem-se a informação que, entre janeiro deste ano e meados de junho, foram ajuizadas mais de 660 ações envolvendo conflitos de proteção de dados.
As empresas poderão creditar os investimentos para adequação da LGPD?
Recentemente houve uma decisão judicial que abriu um importante precedente ao considerar que tais investimentos possuem caráter obrigatório, tornando-os essenciais e relevantes para a atividade da empresa. Na ocasião, a Justiça Federal de Campo Grande proferiu sentença em um mandado de segurança reconhecendo o direito ao crédito de PIS e Cofins sobre os gastos com a implementação de ferramentas para atendimento à LGPD. O precedente dessa decisão pode beneficiar as empresas que tenham investimentos relativos à LGPD relacionados a consultorias jurídicas, de segurança da informação, ferramentas e programas de segurança e gestão, qualificação dos profissionais, dentre outros necessários a estabelecer um conjunto de boas práticas e governança aptos a permitir cumprir com as regras da Lei. Entretanto, é necessário salientar que se trata de entendimento pioneiro e ainda de primeira instância, sendo recomendado observar o tratamento que será dado ao tema pelos tribunais.
Como será comprovado que a empresa garante a proteção dos dados?
Por relatórios e mapeamento dos dados, por meio de políticas de privacidade e de segurança da informação ou pelos procedimentos adotados pela organização no exercício de suas atividades. É por meio do ajuste de condutas que são documentadas no processo de adequação, mas que implicam em uma mudança cultural na organização, ficando visível aos clientes e ao mercado como um todo o comprometimento daquela organização frente aos dados de seus clientes e colaboradores no exercício de suas atividades corriqueiras.
Quais são as áreas (ou setores) que mais sofrerão com os impactos da LGPD dentro de uma empresa?
Em via de regra, os setores de RH e comercial das empresas acabam sendo os que sofrerão mais impacto, uma vez que são os departamentos que possuem mais contato com os dados pessoais. Todavia, essa observação não é uma regra imutável, sendo sempre importante observar as particularidades de cada organização diante da execução de suas atividades, mapeando os setores específicos responsáveis pelo tratamento dos dados pessoais.
Quanto tempo, em média, leva para uma empresa se adequar 100% à LGPD? Quais são os passos?
Esta é uma resposta muito particular de cada organização, a qual sempre deve ser levado em consideração a quantidade de processos internos que tratam dados, bem como as medidas de segurança que já estão sendo aplicadas. Para empresas de médio e pequeno porte, sugere-se que a adequação em todos os níveis ocorra no prazo de seis meses.
Podemos elencar como os passos principais para a adequação o mapeamento do fluxo de dados dentro da organização, para que se tenha o verdadeiro conhecimento e panorama acerca do tratamento realizado pela empresa. Após isso, deve ser realizado o enquadramento do tratamento dos dados de acordo com as bases legais e princípios expostos na LGPD.
Por fim, com essa primeira análise finalizada, se opera diretamente na atuação preventiva, com a criação de políticas internas, treinamentos e mapeamento e redução de riscos e vulnerabilidades relativos aos dados.