A Lei Geral de Proteção de Dados (LGPD) foi sancionada em agosto de 2018, porém muita gente ainda têm dúvidas sobre a LGPD. Como tais regras afetaram a operação de todas as empresas que trabalham com a coleta e a utilização de dados pessoais de brasileiros, foi necessário buscar a adequação. 

No processo de implementação da LGPD, inúmeros gestores e empresários se deparam com dúvidas. Questões como “em quais situações a LGPD se aplica?”, “como comprovar se a minha empresa está de acordo com as regras?”, “Preciso treinar meus funcionários?” são apenas alguns dos questionamentos mais comuns. No post de hoje vamos tirar as principais dúvidas sobre a implementação da LGPD e quais medidas adotar para evitar multas e sanções. Para saber mais, não deixe de conferir!

Desde quando está valendo a LGPD? Preciso me preocupar com a implementação imediata?

A LGPD está valendo desde 18.09.2020. Porém, de acordo com a Autoridade Nacional de Proteção de Dados (ANPD), órgão que é responsável pela aplicação e fiscalização da lei, as sanções só começaram a ser aplicadas a partir de agosto de 2021.

As multas previstas na lei podem chegar até R$ 50.000.000,00 por infração. Assim, empresas que ainda não se adequaram devem buscar o quanto antes implementar as regras da LGPD. Para o cumprimento integral, além de treinamento dos funcionários, é essencial investir em uma infraestrutura de TI. Por essa razão, buscar uma boa assessoria profissional especializada pode ser uma ótima solução para a adequação correta da empresa.

Qualquer empresa precisa se adequar a LGPD?

Não. Somente as empresas que processam dados pessoais de brasileiros precisam se adequar a LGPD. É importante destacar que não importa se a empresa tem a sua base no Brasil ou fora do território nacional, em ambos os casos, se ela faz o tratamento de dados pessoais de brasileiros, ela deverá se adequar.

Em quais situações a LGPD não se aplica?

A LGPD não se aplica para:

  •       Pessoas ou empresas que realizam coleta de dados e informações para fins exclusivamente particulares e não econômicos (Exemplo: uma empresa que possui uma câmera de segurança e capta imagens da rua com a finalidade de proteger o local ou a sede);
  •       Pessoas e empresas que realizam a coleta e processamento de dados para fins jornalísticos, artísticos ou acadêmicos;
  •       Ações ou situações envolvendo a coleta e processamento de dados para fins de segurança pública, defesa nacional, segurança de Estado ou atividades investigativas policiais;
  •       Coleta e processamento de dados que são de fora do Brasil e que não sejam objeto de comunicação, uso compartilhado com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com um terceiro país, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado com o da LGPD.

Todos os dados que a minha empresa coleta são passíveis de adequação pela LGDP?

Não. Somente dados pessoais precisam ser tratados e coletados de acordo com as regras da LGPD. Em outras palavras, quaisquer dados que sirvam para identificar alguém, estão sujeitos a regulamentação da lei.

Preciso apagar minha base de dados? Como faço para adequá-la a LGPD?

Essa é uma pergunta bastante interessante. Na verdade, não é preciso apagar toda a base de dados. Porém, todos aqueles dados que já foram coletados pela empresa antes da lei entrar em vigor, precisam ser processados com propósitos legítimos, específicos e explícitos. Assim, a coleta de dados para estar adequada a LGPD precisa ter uma finalidade e ser compatível com a atividade que a empresa presta. Com a vigência da lei, a empresa não deve manter dados só por manter. Ela precisa mostrar que essa coleta e processamento, além de ser autorizada pelo titular desses dados, possui uma real utilidade para a empresa.

Caso a empresa possua uma grande base de dados coletados, mas não sabe exatamente qual a finalidade disso, primeiro é preciso definir um objetivo para o processamento de dados que esteja alinhado com a atividade da empresa. Depois disso, a empresa pode promover o descarte de dados que não servem para essa utilidade.

Por fim, é importante destacar que, dados obtidos sem qualquer consentimento do titular, como é o caso da compra de mailings por exemplo, devem ser descartados sob pena da aplicação de sanções.

Preciso diferenciar a proteção de dados sensíveis dos demais dados? Como posso fazer isso?

Segundo a LGPD dados sensíveis são aqueles que “revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa”.

De acordo com a lei, nenhuma empresa ou indivíduo pode fazer uso desses dados, exceto se houver consentimento do titular ou em situações que envolvem o cumprimento de obrigação legal ou regulatória; situações ligadas a políticas públicas; estudos via órgão de pesquisa; direito, contrato ou processo; preservação da vida ou da integridade física de uma pessoa; prevenção de fraudes contra o titular; ou a tutela de procedimentos feita por profissionais das áreas da saúde ou sanitária.

Tirando essas situações, utilizar dados sensíveis é considerado como uma prática ilegal, passível de aplicação de sanções que podem chegar a multas no valor de até 2% do faturamento da empresa, limitadas a R$ 50 milhões. Além das multas, em casos mais graves, a empresa também pode ter suas atividades suspensas.

Sabendo disso, o ideal é que a empresa adote algum tipo de blindagem para dados sensíveis, fazendo assim com que somente pessoas autorizadas e responsáveis tenham acesso a esses dados. Esse tipo de medida também evita o vazamento de informações que podem prejudicar a empresa.

Como consigo comprovar que minha empresa está regularizada?

Todas as empresas devem apresentar documentos que atestam a sua regularização. Um desses documentos é o Relatório de Impacto a Proteção de Dados Pessoais, que deve conter: mapeamento do ciclo de vida do dado pessoal, mapeamento de risco, identificação de agentes de tratamento em cada etapa, processo de tratamento, criação de políticas, código de conduta, comprovante de treinamentos, entre outros. Certificados de Segurança da Informação, tais como o ISO 27001 e ISSO 27002 também são válidos para essa finalidade.

Caso eu descumpra com as regras da LGPD, quais são as possíveis sanções?

A lei traz diferentes sanções que serão aplicadas de forma proporcional, conforme a infração cometida pela empresa. São elas:

  •       Advertência, com indicação de prazo para adoção de medidas corretivas;
  •       Multa simples no valor de 2% do faturamento anual da empresa, considerando o seu último exercício financeiro. Essa multa terá o limite máximo de 50 milhões de reais por infração;
  •       Multa diária no mesmo limite da multa simples caso o descumprimento continue;
  •       Publicidade da infração após devidamente apurada e confirmada;
  •       Eliminação de todos os dados pessoais que são objeto de infração;
  •       Suspensão parcial do funcionamento do banco de dados da empresa, com prazo de 6 meses prorrogável por mais 6 meses, caso não haja a regularização da atividade. Também há possibilidade de suspensão do exercício da atividade de tratamento de dados pessoais em igual período;
  •       Proibição parcial ou total de todas as atividades relacionadas a tratamentos de dados.

 Vale destacar que a aplicação de sanções pela autoridade fiscalizadora depende de um processo administrativo que comprove o descumprimento da lei pela empresa.

A empresa pode ser processada por uma pessoa (titular de dados) em razão do não cumprimento da LGPD?

Sim. Caso um indivíduo, que seja titular dos dados utilizados pela empresa, se sinta lesado pela má utilização dos seus dados, ele poderá sim solicitar a reparação dos danos sofridos por meio de uma ação indenizatória de danos morais, por exemplo. Naturalmente, o nexo causal entre a ação da empresa e o dano precisam ser comprovados. Porém, esse é o tipo de situação que pode ocorrer.

É fundamental ter em mente que, independente das sanções administrativas previstas na LGPD (tópico anterior), é possível que a empresa sofra sanções civis ou mesmo penais, pelos titulares de dados pessoais.

Preciso treinar meus funcionários em razão da LGPD?

Segundo a própria LGPD (artigo 50), as empresas devem promover ações educativas e treinamentos voltados a adequação do tratamento de dados. Assim, é recomendável buscar uma assessoria de profissionais especializados para realizar esse tipo de educação/conscientização dentro da empresa. Além disso, no caso de setores que lidam diariamente com dados pessoais, como é o caso do setor de Recursos Humanos por exemplo, recomenda-se um treinamento específico, que seja adaptado tanto a realidade do setor, quanto ao modelo de negócios da empresa.

DPO contratado ou terceirizado: qual a melhor alternativa?

O DPO, ou data protection officer, é um profissional encarregado de cuidar das inúmeras questões referentes à proteção de dados da empresa. Uma das principais dúvidas sobre o DPO, no entanto, é se ele precisa ser alguém contratado da empresa ou pode ser terceirizado e qual destas situações é a mais favorável.

Pela LGPD, a modalidade de contratação do DPO fica a cargo da empresa. Independentemente de terceirizar ou contratar esse profissional, a empresa é responsável pelo tratamento de dados. Assim, é importante buscar alguém que efetivamente esteja capacitado para realizar ações voltadas a proteção de dados internamente.

As vantagens de ter um DPO contratado é que ele terá maior conhecimento dos procedimentos internos e maior engajamento com a organização. Contudo, a empresa deve avaliar todas as questões envolvendo os ônus da contratação desse tipo de profissional, já que contratar costuma ser mais caro que terceirizar.  

Terceirizar o DPO, por sua vez, pode ser mais interessante para empresas que não lidam com um grande volume de dados, ou ainda, não possuem verba para esse tipo de contratação.

Minha empresa está pronta para se adaptar as regras LGPD. E agora?

Agora que você já tirou as principais dúvidas sobre a LGPD, o ideal é aplicar a legislação ao dia a dia da empresa. O tratamento adequado de dados, bem como, a sua proteção são questões que estão ganhando mais e mais importância. Afinal, há quem diga que dados são o novo petróleo, como já explicamos nesse post aqui. Sem dúvida, implementar a LGPD exige a adoção de novas práticas, bem como, uma nova educação no tratamento de dados. Contudo, ações de compliance, além de impedirem sanções, auxiliam na proteção dos dados da empresa.

Tem dúvidas sobre a LGPD? Precisa de auxílio para a implementação da nova lei? Veja como a Asta Soluções pode auxiliar você.