LGPD: o que as empresas precisam saber para se adequar

Com previsão para entrar em vigor em agosto de 2020, a nova Lei Geral de Proteção de Dados (LGPD) traz mudanças importantes para a coleta, tratamento e armazenamento de dados pessoais pelas empresas brasileiras, sejam elas privadas ou públicas, pequenas, médias ou grandes. As organizações devem, desde já, tomar as medidas necessárias a sua adequação, pois demandará um trabalho amplo e complexo, cujo o não cumprimento implicará multas que podem chegar a 2% do seu faturamento.

“A lei é indispensável para inibir o tratamento irresponsável dos dados, mas vejo poucas empresas preocupadas com os impactos. Muitas, inclusive, acreditam que a legislação só diz respeito a titulares de dados pessoais na Internet, quando, na verdade, ela se aplica a qualquer operação de tratamento de dados. Estou acompanhando de perto o assunto e ciente dos riscos para evitar sanções no futuro”, ressalta Gladstone Santos, diretor da Nova A3 e presidente eleito do Sindicato da Indústria de Material Plástico do Estado do Rio de Janeiro (Simperj).

Inspirada na GDPR (General Data Protection Regulation), legislação europeia que entrou em vigor em maio de 2018, a LGPD estabelece bases legais para o tratamento dos dados pessoais. Como primeiro passo, cada empresa deve realizar um mapeamento de todos os dados tratados por ela. “Diversas áreas  – RH, TI, Jurídico, Compliance, Marketing, Comercial etc. – serão afetadas e precisam estar atentas, ajudando nesse mapeamento. Torna-se necessário criar um grupo multidisciplinar para ter uma compreensão do todo e avaliar a necessidade de rever processos, normas internas e política de segurança da informação existentes”, alerta Gisela Gadelha, diretora Jurídica e de Compliance da Firjan.

Em seguida, deve-se verificar sob quais das 10 bases legais, definidas pela LGPD, o tratamento está ancorado. A partir daí, começa um trabalho de revisão de processos, contratos e normas e também da política de segurança de informação da empresa.

Consentimento
Dentre as 10 bases legais, destaca-se a que diz respeito ao consentimento. A lei estabelece que o consentimento para o tratamento deve ser “livre, informado e inequívoco”, além de fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Ela determina ainda que o consentimento deve se referir a finalidades determinadas, de modo que autorizações genéricas, como uso para aprimoramento e compartilhamento com terceiros, serão consideradas nulas.

Legítimo interesse
Outro ponto que merece atenção se refere ao legítimo interesse. A hipótese estabelece que o legítimo interesse do controlador só poderá fundamentar o tratamento dos dados “para finalidades legítimas, consideradas a partir de situações concretas”. Estas incluem – porém não se limitam – a oferta de novos produtos e serviços por parte da empresa e a proteção dos direitos do titular. A lei visa equilibrar os direitos deste último e os direitos da empresa.

A figura do DPO
Outra novidade trazida pela LGPD é a figura do encarregado, o chamado DPO (Data Protection Office). Trata-se do profissional que será responsável pela difusão cultural de proteção de dados na empresa e pela interação com a Autoridade Nacional de Proteção de Dados (ANPD), órgão que irá fiscalizar o cumprimento da nova lei. “Muitas empresas terão que rever suas estruturas com a chegada desse novo profissional”, observa Gisela.

A Firjan vem realizando uma série de palestras com especialistas sobre o tema com o objetivo de orientar os empresários sobre os impactos da LGPD.

 

Site: Firjan