MAS AFINAL O QUE É ESTA LGPD?

A LGPD é a sigla que se refere à Lei Geral de Proteção de Dados (Lei nr 13.709) sancionada em 14 de agosto de 2018 e que entrou em vigor em todo Brasil a partir de agosto de 2020. O objetivo desta lei é garantir transparência no uso dos dados das pessoas físicas em quaisquer meios (físicos e virtuais principalmente).
A LGPD altera a Lei nr 12.965, de 23 de abril de 2014, popularmente chamada de Marco Civil da Internet que regulava estas transações até então.

A LGPD tem como base a GDPR, regulamentação europeia aprovada em maio do ano passado (lembra de algum serviço do Google, Microsoft, etc avisando que mudou sua política e pede pra você ler os termos e aceitar? É isso) e usa os direitos fundamentais de liberdade e de privacidade como norte para estabelecer regras a respeito da coleta e armazenamento, de dados pessoais e seu compartilhamento. A intenção é proporcionar proteção dos dados das pessoas físicas contando com a penalidade de multas para motivar o seu cumprimento por parte das empresas.

O QUE MUDOU COM A LGPD?

Esta nova lei prevê em seu teor 9 hipóteses para tornar legais o tratamento dos dados nas empresas, mas talvez 2 mereçam destaque:
• É necessário obter o consentimento explícito por parte do titular dos dados. Ou seja, ele deverá ser claramente informado dos termos de uso e extensão da autorização e precisa concedê-lo livremente.
• A partir de agora, uma empresa só poderá recolher determinados dados a partir da autorização do proprietário desses dados, ou seja, o titular. Ou seja, deverá comprovar que a sua coleta será útil para sua interação com seus consumidores.

É importante lembrar ainda que os titulares dos dados poderão a qualquer momento retificar, cancelar ou até mesmo solicitar sua exclusão. A LGPD dá poder ao consumidor, dando a ele controle sobre seus dados e a possibilidade de punir os responsáveis por qualquer dano causado pelo mau uso das suas informações.
Criada a partir da MP 869/18, a Autoridade Nacional de Proteção de Dados será o órgão responsável pela fiscalização da proteção de dados por parte das pessoas jurídicas. A ANPD poderá solicitar a qualquer tempo relatórios de riscos de privacidade às empresas para certificar-se de que as organizações estão tratando o tema internamente e dentro do estabelecido pela LGPD.

COMO SUA EMPRESA PODE SER ADEQUAR?

O primeiro passo é criar dentro da empresa um Comitê de Segurança da Informação responsável por analisar a atual situação dos procedimentos internos quanto aos dados recebidos.

Dentro deste processo é importante fazer um mapeamento bem detalhado a respeito de como os dados pessoais são tratados e todo o seu ciclo de vida dentro da empresa. Saber para onde vão, onde ficam armazenados, quem tem acesso e se são compartilhados com terceiros – no Brasil ou exterior. A partir do resultado dessa análise, será possível avaliar o nível de maturidade dos processos dentro da organização os riscos envolvidos.
Detectadas as deficiências, chega a hora de iniciar os procedimentos para tornar a transação de dados totalmente segura tanto para a empresa quanto para os consumidores.

QUEM PRECISA SE ENVOLVER NESTE PROCESSO DENTRO DA EMPRESA?
São 4 os atores que participarão ativamente da proteção dos dados em cada empresa:

O titular: Seria o proprietário dos dados, no caso as pessoas físicas.
O controlador: É representado pelo tomador dos dados, ou seja, as pessoas jurídicas
O operador: A empresa responsável pela coleta de dados e sua efetiva segurança através de soluções automatizadas
O encarregado: É o profissional que responde pela proteção dos dados da empresa. É o seu representante, que fará contato com a ANPD quando necessário e pode até ser responsabilizado junto com a pessoa jurídica no caso de mal uso dos dados ou seu vazamento por qualquer motivo.

CONCLUSÃO

Concluímos que neste cenário há um grande desafio para as empresas implementarem políticas de proteção e estas precisarão rever vários processos de governança e privacidade de dados, tais como: gestão de consentimento (tanto as autorizações quanto as revogações), gestão das petições abertas por titulares dos dados (que em muitos casos deve ser respondida imediatamente), gestão do ciclo de vida dos dados dentro da empresa e implementação de técnicas de anonimização (os dados nesta condição não serão considerados dados pessoais pela lei, desde que o processo seja comprovadamente irreversível).

No Brasil considera-se que fazemos leis muito boas e que caem no esquecimento. São as famosas leis que foram feitas para não serem cumpridas. Acontece que no caso especifico da LGPD há uma serie de complicadores que dificultarão a não aplicabilidade. Todas as empresas de tecnologia de ponta estão localizadas fora do Brasil e são obrigadas a seguir rígidos padrões da GPDR Europeia. O próprio cidadão não quer seus dados disseminados indiscriminadamente e por fim, as multas impostas pela ANPR quando esta efetivamente começar a operar. Tem a questão da propaganda negativa também. Qual empresa vai permitir que suas falhas perante esta lei sejam expostas publicamente?

Então acredito que devemos todos nós buscar os melhores meios de adequação para que as penalidades não interfiram negativamente em nossos custos finais.