Com a aprovação da vigência imediata da LGPD pelo Senado, as empresas correm contra o tempo para se adequar à Lei, cuja vigência passa a vigorar a partir de 18 de setembro de 2020, por meio da sanção da Presidência da República.
Neste artigo, nosso time de LGPD responde às dúvidas mais frequentes das empresas sobre LGPD:
- Quando a LGPD entrará em vigor?
A partir do dia 18 de setembro de 2020, dia em que a LGPD, data da sua sanção pela Presidência da República.
- Quando as punições da LGPD passam a valer?
As punições começam a valer a partir de agosto de 2021, e só a autoridade competente, a ANPD (Autoridade Nacional de Proteção de Dados), poderá aplicá-las.
Não se prevê punições administrativas, porém as empresas poderão ser acionadas judicialmente, caso haja vazamento de dados que venha a provocar dano moral ou patrimonial ao titular do dado.
Essas medidas judiciais estarão pautadas nas diretrizes da LGPD; Código Civil; Marco Civil da Internet; e Código de Defesa do Consumidor.
- Que tipo de dados são considerados pela LGPD?
São considerados:
Dados pessoais: aqueles que identificam uma pessoa, como e-mail, CPF, telefone e endereço.
Dados sensíveis: que revelam origem racial ou étnica, saúde, preferências religiosas ou filosóficas, opiniões políticas etc.
Dados públicos: aqueles tornados públicos pelo seu titular.
Vale frisar que existem os dados anonimizados, os quais, originariamente, eram relativos a uma pessoa, mas que passaram por etapas que garantiram a desvinculação dele a essa pessoa. Ou seja, a LGPD não se aplicará a este dado, visto que este não permite que, por meios técnicos e outros, se reconstrua o caminho para identificar quem era a pessoa titular do dado.
- A LGPD se aplica somente às empresas de tecnologia?
Não. A LGPD se aplica a todas as empresas, de qualquer porte e setor, que colete ou armazene dados pessoais.
É possível que a ANPD estabeleça regras diferentes para certos setores ou portes de empresas no futuro, mas isso ainda não está definido.
- Por que as empresas estão recebendo os aditivos de contrato de seus clientes e fornecedores, envolvendo a LGPD?
O objetivo do termo aditivo é segregar os dados que são coletados pelo cliente daqueles que ele compartilha com a empresa; além de segregar os dados que a empresa recebe compartilhados pelo cliente, daqueles que a empresa irá coletar.
Denomina-se Controlador a empresa que coleta os dados do cliente, ou o cliente quando este toma a decisão de compartilhar seus dados com a empresa.
Denomina-se Operador a empresa que recebe os dados pessoais compartilhados pelo cliente.
Neste aditivo são definidas as responsabilidades de cada uma das partes, contendo instruções do Controlador (cliente) de como esses dados devem ser tratados e armazenados pelo Operador (empresa). Portanto, caso ocorra um vazamento de dados na empresa, o cliente não será responsabilizado pelo ocorrido.
- Quais as principais etapas que as empresas devem seguir para se adequar à LGPD?
1ª Criação de Comitê Gestor de Privacidade: este comitê deve ser multidisciplinar e envolver todas as áreas que lidam com dados, como: Marketing, Recursos Humanos, Jurídico, Financeiro, TI e principais gestores.
2ª Criação de normas: deve-se criar normas que irão reger as obrigações, as tarefas, os objetivos, as prerrogativas e os poderes deste Comitê.
3ª Análise de Gap: nesta análise, deve ser observado o quão distante a empresa está da conformidade; realizar um inventário de dados e conhecer quais dados a empresa coleta, armazena, por que coleta e com quem compartilha; em relação a esses dados, definir se a empresa é Operadora ou Controladora; análise de gap da segurança dos dados da empresa; e definir as bases legais as quais justificarão a coleta desses dados.
4ª Criação de um plano de ação: o plano de ação deve conter um relatório de impacto e definir as responsabilidade e atribuições dos envolvidos, e os processos e sistemas que serão criados ou alterados. Este plano também envolve a revisão de contratos de cliente e de fornecedores, o treinamento das equipes, definição da estratégia da implementação e a elaboração de um cronograma, contendo a estimativa de investimento para adequação à LGPD.
5ª Implementação: esta etapa é onde a empresa colocará em prática o plano de ação desenvolvido pelo comitê gestor de privacidade.
6ª Revisão constante dos processos e etapas anteriores.
- É necessária a contratação de DPO – LGPD?
É necessária e obrigatória. O DPO (Data Protector Officer) ou Encarregado da Proteção de Dados é o responsável legal pelo gerenciamento de todos os dados, principalmente no caso de ocorrer vazamento daqueles, influenciando no seu tratamento. Esse especialista deve estar presente desde o início da separação dos documentos até o mapeamento deles e sua posterior gestão.
Este Guia LGPD DPO revela tudo o que a sua empresa precisa saber para escolher o seu DPO.
- O DPO – LGPD precisa ser certificado?
A legislação não especifica uma formação obrigatória do DPO, porém a lei europeia de proteção de dados (GDPR) estabelece que o especialista deve entender sobre legislação e ter conhecimento sobre as práticas de proteção de dados de um modo geral.
- Para fins de LGPD, os dados precisam estar armazenados somente em Data Center nacional?
A LGPD exige que o armazenamento de dados seja feito em território nacional, bem como operações de tratamento; oferta de bens, serviços e tratamento de dados; e coleta de dados pessoais.
- Devo terceirizar a adequação à LGPD?
Segundo uma pesquisa conduzida pela Serasa Experian, “85% das empresas brasileiras afirmam que ainda não estão preparadas para garantir os direitos e deveres em relação ao tratamento de dados pessoais exigidos pela LGPD; e 72% das companhias com mais de 100 funcionários pretendem contratar uma pessoa de mercado especializada ou uma consultoria/assessoria para se adequarem à Lei”.
A terceirização dos serviços de adequação à LGPD traz diversos benefícios, tais como a garantia de que um especialista no assunto cuidará da segurança da sua empresa; gestão de dados completa com diagnóstico, mapeamento e consultoria; solução personalizada e estar distante de possíveis multas!
O processo de adequações à LGPD é complexo e envolve uma série de fatores, que passam por perspectivas legais, humanas, tecnológicas, operacionais e organizacionais.
Se você busca terceirizar a adequação à LGPD, a Moore ajuda na compreensão profunda da legislação e na implementação completa de um programa de conformidade à LGPD, desde a elaboração de normas de governança e adoção de medidas preventivas, até a administração de riscos e falhas em benefício dos negócios.
