LGPD, que está em vigor desde setembro de 2020, regulamenta o tratamento, o uso e o armazenamento de dados pessoais dos cidadãos brasileiros
A quem se aplica a lei, requisitos para o tratamento de dados pessoais, sanções aplicáveis em caso de incidente e plano de adequação com um passo a passo, foram alguns dos esclarecimentos feitos pelas advogadas da ABIMAQ/SINDIMAQ Anne Joyce Angher e Camilla Toledo, durante live ‘Lei Geral de Proteção de Dados - Passo a Passo para a Indústria se Adequar’, realizada no dia 08 de setembro.
Anne Joyce Angher explicou que por meio da Lei nº 13.709/2018 a LGPD está em vigor desde setembro de 2020 e as sanções administrativas passarão a valer a partir de 1 de agosto de 2021 com base na Lei nº 14.010/2020. “Embora as sanções administrativas ainda não estejam em vigor, muitas vezes o Ministério Público, o PROCON e outros órgãos competentes já aplicam as penalidades em razão de vazamento de dados ou outro incidente baseado em leis existentes”.
Anne mencionou os principais motivos para que as empresas iniciem o processo de adequação à LGPD. “A lei traz uma série de exigências de procedimentos e tecnologias que demandam tempo para implementação, de forma que o processo pode ser longo; haverá necessariamente uma mudança de cultura com relação à proteção de dados, o que leva um maior tempo para ser incutida na mentalidade de quem lida com dados, inclusive daqueles que desenvolvem novos produtos ou serviços”.
SANÇÕES EM CASOS DE INCIDENTES DE DADOS
De acordo com o Artigo 52 da LGPD, os agentes de tratamento de dados ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional, em caso de infrações cometidas às normas da lei:
1. Advertência, com indicação de prazo para adoção de medidas corretivas;
2. Multa de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total a R$ 50 milhões por infração;
3. Multa diária, observado o limite total a que se refere o item 2;
4. Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
5. Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
6. Eliminação dos dados pessoais a que se refere a infração;
7. Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
8. Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
9. Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Camilla Toledo ressaltou que as multas pecuniárias não são as únicas penalidades. “O abalo reputacional que um vazamento de dados pode provocar gera um prejuízo para a credibilidade da empresa muito difícil de ser recuperado. Destaca-se, ainda, uma outra penalidade que pode ser desastrosa que é a eliminação da base de dados, o que pode inviabilizar a própria operação da empresa”.
Para auxiliar as empresas no processo de adequação e aprendizagem da Lei Geral de Proteção de Dados (LGPD), a ABIMAQ desenvolveu o E-Book "Lei Geral de Proteção de Dados - Os Principais Impactos da LGPD no Cotidiano das Empresas". Faça o download gratuito: https://bit.ly/ebook-lgpd-abimaq
PLANO DE ADEQUAÇÃO À LGPD
Anne sugeriu um passo a passo para as empresas se prepararem, o quanto antes, para ter um Programa de Governança em Privacidade adequado conforme a Lei Geral de Proteção de Dados:
1º) REUNIÃO DE KICK-OFF: entender as atividades da empresa e o grau de aplicabilidade da lei, quais pessoas estarão envolvidas no projeto (equipe multidisciplinar), das atribuições de cada um, quais áreas serão mapeadas e definição de cronograma;
2º) DEFINIÇÃO DO COMITÊ DE PRIVACIDADE E ENCARREGADO DE PROTEÇÃO DE DADOS PESSOAIS (DPO): definir os papéis e responsabilidades. Se a empresa for controladora precisa ter encarregado (DPO – Data Protection Officer). As atividades dele estão definidas no art. 41, par. 2º, da lei. O DPO se reporta à alta administração, tem autonomia, independência técnica e orçamentária. Caso for a operadora (trata dados, mas não toma decisões) não está obrigada a ter encarregado;
3º) WORKSHOP: transmitir conhecimentos básicos sobre a LGPD, conscientização da importância de estar em conformidade com ela, treinamento dos departamentos que serão mapeados e explicação das etapas do projeto;
4º) CIRCULARIZAÇÃO DE QUESTIONÁRIOS: mapeamento das atividades de tratamento de dados por cada pessoa/departamento, para entender quais dados são tratados, as finalidades e outras informações necessárias para o mapeamento. Fazer também com os fornecedores de quem a empresa recebe dados pessoais para saber se eles estão compatíveis com a lei;
5º) CLASSIFICAÇÃO DOS DADOS: a partir do mapeamento faz-se a classificação dos dados de acordo com a sensibilidade e finalidade, identifica-se a base legal para o tratamento e faz-se a avaliação de riscos de privacidade para montar o plano de ação. Verificação de controles que se aplicam à proteção de dados, com áreas de TI, compliance e auditoria interna, por exemplo;
6º) PLANO DE AÇÃO: estruturar o Programa de Privacidade, adaptar os sistemas informatizados para estar em conformidade com a Lei e poder gerar o Relatório de Impacto (arts. 37 e 38), de acordo com as necessidades detectadas nas etapas anteriores. Regularizar o tratamento dos dados conforme as bases legais identificadas, incluindo a obtenção de consentimento se for o caso;
7º) DOCUMENTAÇÃO: elaborar ou revisar os documentos do programa, tais como Política de Governança de Proteção de Dados Pessoais (art. 50), Política de Privacidade, termos de usos, avisos, procedimentos, plano de resposta para incidentes de violação de dados pessoais, estabelecimento de padrões para o desenvolvimento de novos projetos (Privacy by Design), regras para compartilhamento de dados, guias internos orientativos (sobre bases legais, direitos dos titulares), modelos de cláusulas contratuais. Revisão de todos os contratos com fornecedores com quem a empresa compartilha dados pessoais e assinatura de aditivos;
8º) TREINAMENTOS: reforçar a necessidade de conscientização e cultura em proteção de dados pessoais e capacitar os colaboradores ao cumprimento de todo o Programa de Privacidade da empresa;
9º) MONITORAMENTO E REVISÕES: monitorar se o Programa de Privacidade implementado está adequado e é integralmente cumprido, fazendo-se as revisões de processos que forem necessárias.
Nenhum comentário:
Postar um comentário