fbpx

Menu

Site desenvolvido por Ligado na Net :

LGPD e as soluções milagrosas da internet

Falta de informação pode levar empresas à falência.

Em vigor desde 18 de setembro de 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD) está regulamentando a responsabilidade das empresas no processo de tratamento, coleta, armazenamento e compartilhamento de dados pessoais. Um dos principais objetivos é aumentar a eficácia da privacidade das informações dos titulares. Tanto instituições públicas quanto privadas já têm que se adequar às novas regras e comprovar a adaptação.

A rotina de trabalho será impactada em diversas áreas da empresa, independentemente do tamanho do negócio. De acordo com a LGPD, para cada informação coletada haverá a necessidade de justificativas para o armazenamento, em conformidade com os incisos presentes nos artigos 7, 11 e 14 da Lei. Desta forma, é possível vislumbrar claramente os enormes impactos desta nova legislação em todos os departamentos de uma empresa, que vão desde os processos de vendas até os processos internos relacionados a recursos humanos, financeiro, marketing, dentre outros.

Ponto de bastante relevância, na contramão do que vem sendo alardeado, a Lei nº 13.709/2018 não regulamenta apenas as situações relacionadas a vazamento de dados pessoais, muito embora este seja o incidente de segurança mais comum. Importante destacar que o vazamento afeta apenas um dentre os quatro pilares da segurança da informação, que são, respectivamente:

  1. Confidencialidade, que garante que os dados estão protegidos de terceiros;
  • Integridade, que garante que os dados estão íntegros e que não sofreram e tampouco sofrerão quaisquer espécies de alterações, se não as autorizadas;
  • Disponibilidade, que garante que as informações do titular estarão sempre disponíveis;
  • Autenticidade, que garante que as informações poderão ser entregues a uma outra pessoa ou sistema, tão somente se autorizados.

Para que as empresas estejam em real conformidade com a lei, é preciso realizar algumas etapas, que são:

–  Elaborar uma análise de todos os dados utilizados, incluindo os que estão em documentos físicos, como papéis. Este documento deverá discriminar:

a) por quanto tempo cada dado será mantido na empresa;

b) qual a hipótese de tratamento, elencada nos artigos 7º, 11 ou 14, permite que haja o tratamento desse dado;

c) por quanto tempo será mantido na empresa essas informações; e

d) que tipo de controle e medida são adotados para mitigar riscos de segurança da informação. É importante ressaltar que todos os dados que forem utilizados pelas organizações, deverão preencher os 10 princípios elencados no art. 6º da LGPD.

– Ajustar todos os contratos com fornecedores, clientes e com todos os colaboradores, discriminando quais são as responsabilidades de cada um, segundo o que preceitua a Lei.

– Elaborar todas as políticas e implementá-las para que haja eficácia prática. As principais políticas são: Política de Segurança da Informação, Política de Privacidade e Proteção de Dados, Política de Cookies, Política de Antivírus, Política de Firewall, Política de Senhas, Política de Backup, Política de Criptografia, Política de Logs, Política de Mesa Limpa e Política de Acesso às Instalações Físicas da Empresa.

– Implementar todas as Medidas Técnicas e Administrativas de Segurança, elencadas no artigo 46 da LGPD.

– Contratar um Canal de Titular apropriado para atender aos direitos do titular, elencados nos artigos 18 e 19. Embora a Lei não faça qualquer objeção para que o atendimento dessas demandas possa ser realizado por e-mail ou por telefone, o fato é que estes não são meios seguros, uma vez que há uma inversão do ônus da prova para o agente de tratamento. Desta maneira, considerando que a empresa deverá comprovar que atende às solicitações dos seus clientes, logo o telefone e o e-mail não são meios seguros para o exercício deste direito.

– Elaborar um Relatório de Impacto (RIPD). Conforme a própria Lei discrimina, trata-se de uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

A lei geral de proteção de dados foi um grande avanço na legislação brasileira para proteger o cidadão, embora ainda, meses depois do início da sua vigência, ainda é descumprida por cerca de 70% das empresas, de todos os portes, e mais de 80% dos órgãos públicos, em especial os municipais. Fato é que, no afã de resolver esse impasse, empresas estão caindo em algumas armadilhas, propagadas pela internet, ou seja, por total desconhecimento do que realmente necessita fazer, acabam comprando formulários e templates na internet, acreditando que estejam negociando com empresas idôneas, tendo a falsa sensação de adequação à LGPD.

Contudo, o que a empresa terá serão dois gastos: um com esses templates e modelos contratuais, e outro com alguma consultoria que realmente resolva o problema e deixe, de fato, a empresa em total conformidade com a Lei.

A título de curiosidade, o Brasil já conta com quase 1000 empresas condenadas com base na LGPD. Uma das primeiras decisões judiciais baseadas nesta Lei ocorreu em 30 de setembro de 2020 contra uma grande empresa de construção civil, por ter compartilhado dados de um cliente com outras empresas. A companhia foi acionada na justiça por um cliente que, após comprar um imóvel da construtora, passou a receber ofertas promocionais de empresas parceiras da mesma.

De uma maneira mais objetiva, a LGPD, ao contrário do que alguns dizem, é um processo bem mais delicado e complexo do que o senso comum deixa transparecer. O descumprimento poderá trazer penalidades como multa de até 2% do faturamento líquido anual para cada incidente, problemas judiciais e a principal sanção, que é a suspensão das atividades, sem levar em consideração a má reputação que fica atrelada a imagem da empresa. Além disso, a vulnerabilidade aumenta as chances de ataques de hackers e cibercrimes como o sequestro de dados, por exemplo.