A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma evolução do marco civil da internet. Ela entra em vigor no dia 16 de agosto de 2020, a partir desta data a manipulação de dados pessoais só será possível se a empresa que está coletando os dados do cidadão brasileiro tiver consentimento explicito do mesmo.
A LGPD é para dados de pessoas físicas, não empresariais (mas a proteção desses dados muitas vezes são cobertos por outras normas regulatórias).
Mas enfim, a LGPD trata-se de que qualquer informação que possa identificar uma pessoas deve ser protegida. Se eu uso o CPF de uma pessoa eu sei quem é a pessoa, se eu consulto seus dados e sei que ela está com o nome sujo, e ofereço produtos para ela de forma que ela obtenha um empréstimo pessoal, eu não posso mais fazer. A não ser que ela me autorize a isso.
E tem a questão do dado identificável que são diversos:
Sensíveis – Nome, CPF, RG, CNH, Endereço, e-mail, telefones, dados bancários, etc
Escopo – IP, Geolocalização, Login, etc.
Comportamento – Opção Sexual, religião, partido político, log de acesso a internet, etc.
Sob o aspecto de TI quanto mais as operações diárias e as estratégias corporativas chaves dependem da tecnologia, maior é o papel estratégico da TI para a empresa nesse momento.
De modo alguma a lei quer dificultar as negociações, pelo contrário a lei quer tonar as negociações o mais transparentes possíveis, desde que o titular dos dados tenha ciência da forma como os dados dele são tratados pela sua empresa.
A LGPD tem deixado muito gestor preocupado por causa do processo de elaboração dos relatórios DPIA (Data Protection Impact Assessment). Que se baseia em 6 pilares:
Escopo das proteções, responsabilidade sobre os dados, melhores práticas de relacionamento com os dados, direito de esquecimento, portabilidade dos dados pessoais e direito de explicação.
As empresas de qualquer porte que coletam, manipulam e gerenciam os dados tem o mesmo grau de responsabilidade sobre os dados que estão trabalhando. Por isso todos precisam aprimorar os processos de gestão dos dados visando principalmente aumentar o nível de segurança e também a confiança com o cliente que está fornecendo seus dados pessoais.
Segundo pesquisa da Serasa Experian, 85% das empresas brasileiras não estão preparadas para a LGPD. Foram ouvidos executivos de 508 companhias do País, de 18 setores e dos mais variados portes. Isso devido ao investimento que deve ser realizado com o estabelecimento do DPO.
O DPO (Data Protection Officer ou em português Encarregado da Proteção de Dados) é uma pessoa contratada ou escritório contratado que estará envolvida em todas as questões relacionadas à proteção de dados pessoais e cujas principais funções envolvem:
• Informar e aconselhar o controlador ou o processador e os seus funcionários sobre as suas obrigações em relação ao GDPR/LGPD;
• Monitorar a conformidade com o GDPR/LGPD. Isso inclui supervisionar documentação, processos e registros;
• Fornecer aconselhamento, quando solicitado, no que diz respeito à Avaliação de Impacto sobre a Proteção de Dados (AIPD);
• Atuar como um ponto de contato para solicitações de indivíduos com relação ao processamento de seus dados pessoais e ao exercício de seus direitos;
• Cooperar com as autoridades de proteção de dados (APDs) e atuar como um ponto de contato com as APDs em questões relativas ao processamento de dados pessoais na organização.
Uma das principais ferramentas para evidenciar tanto para os cidadãos quanto ao poder público a aderência à lei por parte das empresas consiste no Relatório de Impacto à Proteção de Dados Pessoais (doravante RIPD) e o plano de ação de tratamento de risco da empresa.
A definição do mesmo encontra-se no artigo 5º, XVII da lei, considera-se:
XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Se você ainda não está convencido de que isso é sério, a multa é de 50 milhões de reais ou 2% do faturamento. Mas não para por aí, as penalidades estabelecidas são advertência, a obrigação de divulgação do incidente, a eliminação de dados pessoais, além das multas já faladas. E elas não substituem a aplicação de sanções administrativas, civis ou penais previstas em legislação específica.
Como a realidade empresarial não tem ainda como foco o compliance, e dentro do universo da governança corporativa, a gestão de risco é antes uma exceção do que uma regra entre as empresas nacionais. A LGPD e sua demanda legal quanto a existência de controles baseados em boas práticas força uma mudança significativa na cultura organizacional.
Uma alternativa as empresas de pequeno e médio porte é ter um DPO terceirizado. Me convide para um chá e vamos conversar mais sobre o tema?
