LGPD: Saiba como começar a implantação e como se adequar a lei

É cada vez mais importante cuidar da segurança dos dados da sua empresa, sejam informações referentes ao seu negócio ou aos seus clientes.

O aumento dos casos de vazamento de dados nos últimos anos fez com que governos, empresas e sociedade se preocupassem em criar mecanismos para evitar a invasão de privacidade.

Outro fator relevante é a perda financeira causada por ataques cibernéticos. No Brasil, segundo levantamento mais recente da União Internacional de Telecomunicações (ITU, na sigla em inglês), órgão da Organização das Nações Unidas (ONU), a perda foi de R$ 80 bilhões, em 2019.

A Lei Geral de Proteção de Dados Pessoais (LGPD) chega com o objetivo de proteger a liberdade e a privacidade de consumidores e cidadãos.

Criada em 2018, ela demanda que empresas e órgãos públicos mudem a forma de coletar, armazenar e usar os dados das pessoas.

Ou seja, terá impactos significativos nas áreas jurídica, administrativa e de segurança da informação das companhias.

Mas, o que realmente muda para as empresas com a implementação da LGPD? A mais importante é que a nova lei prevê o consentimento expresso dos clientes para o uso das informações.

Isso significa que as companhias precisarão deixar claro, e da forma mais transparente possível, como os dados são usados.

Essas informações podem ser desde números de documentos como RG, CPF, PIS, endereço, até origem racial ou étnica, filiação a organizações políticas ou religiosas, informações genéticas e de biometria ou de orientação sexual.

Isso pode ser coletado de diversas maneiras, como é o caso dos apps de celulares que pedem acesso às informações de usuários e os formulários preenchidos em sites de empresas para receber newsletters ou ofertas.

Isso também acontece ao participar de promoções em redes sociais, e até ao preencher cupons de promoção no supermercado.

A adequação das empresas a todos os critérios previstos na lei não é tarefa fácil e não acontecerá da noite para o dia.

É por isso que as companhias tiveram tanto tempo desde a criação da lei até a sua implementação para se preparar.

Poucas empresas estão prontas. As que já nasceram digitais estão mais avançadas por surgirem em uma época em que o nível de conscientização sobre a sensibilidade de dados é naturalmente maior.

Mas mesmo elas precisam se dedicar a operar análises para encontrar pontos de irregularidade e risco.

Não estamos observando nem mesmo a metade das empresas  brasileiras concretizarem os investimentos e mudanças internas para isso.

A maioria delas precisará passar por um processo completo de auditoria e replanejamento para rever os processos que envolvem a coleta e armazenamento de dados pessoais.

É recomendável que a empresa faça um mapeamento e documentação dos dados que já possui e classifique essas informações.

É importante, por exemplo, verificar se estão armazenados de maneira segura, se foram coletados mediante consentimento e para qual finalidade.

Além disso, os funcionários que lidam com dados de pessoas e clientes devem assegurar o sigilo das informações seguindo boas práticas de segurança da informação. Estabelecer procedimentos, normas de segurança e diminuir riscos no tratamento de dados pessoais são alguns dos primeiros passos para manter informações de funcionários e clientes seguras.

É fundamental determinar uma política de privacidade, na qual a empresa esclarece para seus clientes como seus dados serão utilizados e protegidos, bem como uma política de segurança, com processos para garantir a segurança da informação na companhia.

O trabalho remoto, popularizado durante a pandemia, cria vulnerabilidade devido à exposição às ameaças cibernéticas. As empresas precisam se atentar a isso.

Outro ponto de atenção é em relação ao descarte de dados, pois é algo que representa risco e as empresas sequer visualizaram isto ainda, principalmente em seus setores de recursos humanos, em que transitam dados em currículos, recibos e documentos.

É necessário iniciar imediatamente, embora já atrasados, para que, ao chegarem as fiscalizações para imposição de penalidades, as empresas tenham como se defender e se proteger.

O descumprimento da LGPD pode representar problemas sérios para a empresa. Isso porque as penalidades incluem a aplicação de multas isoladas ou diárias. O valor é limitado em R$ 50 milhões, ou 2% do faturamento bruto da empresa.

O susto acontecerá em poucos dias ao receber, de hoje em diante, um pedido de relatório detalhado de um titular e não adotar o prazo e procedimento de resposta correta; ou ser notificado por outros órgãos de fiscalização, além da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), ou por associações de titulares de dados.

A partir de agora, a defesa em qualquer situação que considere infração a direitos de titulares de dados, somente será consistente se baseada na prova de que a empresa tomou, ao menos, os cuidados mínimos estabelecidos na lei.

Outros argumentos serão secundários ou ineficientes. As empresas precisam estar minimamente prontas para receber e atender esses questionamentos.

Por Izabela Rücker Curi é sócia-fundadora do escritório Rücker Curi Advocacia e Consultoria Jurídica e da SMART LAW OFFICE, uma incubadora de projetos inovadores que envolvem questões jurídicas.