Tempo de Leitura: 9 minutos

O Passo a Passo da LGPD

Um dos assuntos mais comentados nos últimos tempos em todas as rodas é a Proteção de Dados Pessoais ou a temida LGPD.

E com certeza todos os empresários que estão antenados devem estar se perguntando qual é, de fato, o papel que esses assuntos devem ocupar na empresa.

É por isso que preparamos este artigo para explicar de forma objetiva, o que você precisa saber para decidir não perder mais tempo e começar agora a cuidar desse assunto em sua empresa.

LGPD – A Lei Geral de Proteção de Dados

A Lei nº 13.709, conhecida como LGPD (Lei Geral de Proteção de Dados) foi sancionada (começou a valer de fato) no dia 17 de setembro de 2019 após longos anos de discussão e algumas idas e vindas.

A LGPD tem como principal objetivo “proteger os direitos fundamentais da liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”. Na prática isso quer dizer que a lei exige que as empresas que executem qualquer operação de tratamento de dados precisam oferecer transparência e segurança no uso dos dados e garantir a não utilização desses dados para fins discriminatórios.

Curiosidade: A LGPD é a irmã brasileira da GDPR, que é a norma de Privacidade de Dados que já está em vigor na União Europeia e nos EUA. É uma norma ainda mais restritiva do que a sua versão brasileira.

Mas, o que são dados pessoais?

Dados pessoais são informações relacionadas a pessoa natural identificada ou identificável”, ou seja, todas as informações que puder identificar uma pessoa. Esses dados podem ainda ser Sensíveis, quando houver alguma informação sobre origem racial, convicção religiosa, opinião política, orientação sexual ou qualquer outro tipo de informação que coloque aquele indivíduo em determinados grupos. Por exemplo:

  • Nome e Telefone Celular: Dados Pessoais
  • Endereço e Formação Escolar: Dados Sensíveis

Como saber se a LGPD é aplicável à minha empresa?

Apesar de saber que algumas empresas são muito mais afetadas pela LGPD, nenhuma empresa vai ficar livre de pelo menos analisar esse assunto com cuidado. Isso porque mesmo as empresas que tenham apenas negócios B2B, elas ainda possuem contratos de trabalho com pessoas naturais (mesmo que não seja CLT) e também porque, como costumam dizer, apesar de B2B ou B2C, todas as empresas ainda são H2H, ou seja são humanos falando com humanos e por isso ainda é inevitável sua empresa tenha algum tipo de tratamento de dados, mesmo que mínimo.

O que é tratamento de dados pessoais?

É comum as empresas justificarem a não aplicabilidade da LGPD com o fato de não “fazer nenhum tratamento” com o dado pessoal. Afinal, eles só coletam e armazenam, não “modificam”.

Acontece que na lei, o significado de tratamento é: “toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”. Ou seja, não tem como fugir de olhar para a lei com carinho.

Isso quer dizer que minha empresa não pode mais armazenar dados pessoais?

Não. Isso quer dizer que a empresa precisa ter justificativa para tratar dados pessoais.

Para exemplificar: Você já teve que oferecer seus dados completos (nome, e-mail, RG, CPF, endereço, telefone, data de nascimento, estado civil, etc) para um cadastro no consultório odontológico? Imagino que sim.

Bom, se formos olhar para a atividade restrita da odontologia, entendemos a coleta do nome, e-mail e data de nascimento para fins de consulta.

Agora, o que muda na prática com a LGPD é que o consultório médico vai precisar explicar por que ele coleta e armazena seu RG, CPF, endereço e estado civil, ou seja, ele precisa indicar a Finalidade de uso desses dados.

Trazendo esse exemplo para a realidade da sua empresa, a análise é a mesma. Todos os dados pessoais que você coleta hoje existe uma finalidade real de utilização dentro da sua operação ou a coleta é por pura convenção de banco de dados? Sendo a segunda opção, sim, você precisará deixar de coletar esses dados.

Porém, se houver um motivo real e essa finalidade não estiver enquadramento na legislação, você precisará de um consentimento, de forma específica e destacada, do dono desse dado pessoal para que você possa utilizar esse dado pessoal. Essa finalidade precisa ser informada no momento da coleta e o consentimento precisa estar disponível para consulta em caso de fiscalização.

Quais são os enquadramentos legais da LGPD que dispensam o consentimento?

Para os dados pessoais sensíveis, os enquadramentos legais que dispensam o consentimento são:

  1. a) cumprimento de obrigação legal ou regulatória;
  2. b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  3. c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  4. d) exercício regular de direitos;
  5. e) proteção da vida ou da incolumidade física do titular ou de terceiros;
  6. f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
  7. g) garantia da prevenção à fraude e à segurança do titular.

Porém, cabe ressaltar que o enquadramento legal apenas dispensa o consentimento, mas não o cumprimento da legislação de forma integral.

O que acontece com a minha empresa se eu não cumprir a lei?

A LGPD aplicará algumas sanções severas às empresas que tiverem infrações cometidas nas normas previstas na Lei, como:

  • Advertência
  • Multa “simples” de até 2% do faturamento, limitadas a R$ 50 milhões
  • Multa diária
  • Suspensão parcial do funcionamento do banco de dados pelo período máximo de 6 meses
  • Suspensão do exercício da atividade do tratamento pelo período máximo de 6 meses
  • Proibição parcial ou total do exercício de atividade de tratamento de dados.

Percebam que apesar a multa chamar a atenção pelo valor monetário, a perda que a empresa pode ter nos 03 últimos casos é incalculável, pois essas sanções podem inviabilizar a operação da empresa, fazendo com que a organização não consiga executar suas atividades.

Além das sanções previstas em lei, existe a perda de imagem quando acontece algum tipo de vazamento de dado noticiado pela imprensa, desgastando a confiança da marca junto aos consumidores.

As sanções previstas em lei começam a valer a partir de 1 de agosto de 2021. Até essa data, como a lei já está em vigor, a lei já pode ser aplicada em ação civil.

É salutar destacar também que as sanções não são aplicadas somente em vazamento de dados pessoais, mas quando acontece o não cumprimento da legislação. Uma utilização de dados sem consentimento, ainda que não tenha tido o vazamento, já é passível de sanção junto a LGPD.

Como será a fiscalização da lei?

Com a sanção da lei, também foi aprovada a criação da ANPD (Autoridade Nacional de Proteção de Dados), que é o órgão fiscalizador do cumprimento dessa legislação (como a Anatel, por exemplo).

A ANPD irá fiscalizar se as empresas estão, de fato, atendendo a legislação e realizando os tratamentos e operações dos dados pessoais de forma correta e também será responsável por definir as diretrizes que regulamentam o tratamento dos dados pessoais e aplicar as penalidades em caso de não cumprimento da lei.

Como a ANPD saberá se minha empresa está cumprindo a lei?

A LGPD exige que as empresas mantenham um relatório de impacto atualizado com o objetivo ter o detalhamento do ciclo de vida dos dados pessoais da empresa. Esse relatório precisa contemplar, no mínimo:

  • Dados Pessoais coletados
  • Finalidade
  • Consentimento
  • Tratamentos realizados
  • Tempo de Retenção
  • Forma de disposição
  • Procedimentos internos para garantir as disposições acima

É responsabilidade do Encarregado de Dados manter este relatório sempre atualizado. O Encarregado de Dados é o profissional designado pela empresa para responder legalmente pelos assuntos relacionados a Proteção dos Dados Pessoais.

Passo a Passo para atender a LGPD:

  • Fazer o mapeamento dos dados pessoais
  • Definir o ciclo de vida dos dados pessoais
  • Estabelecer procedimentos de governança
  • Estabelecer procedimentos de segurança
  • Realizar auditorias de segurança
  • Criar relatório de impacto
  • Definir método de verificação periódica

Qual a melhor forma de atender integralmente a LGPD?

A maior parte das empresas estão contratando escritórios de advocacia para seguirem com essa adequação e apesar de entendermos os motivos, em nossa experiência com a condução de consultorias empresariais entendemos que esse caminho pode não ser o melhor.

Isso porque as sanções previstas em lei, estão mais relacionadas com falhas em procedimentos de governança e segurança do que com aspectos de enquadramento legal e consentimento (que é, de fato, a parte mais simples da adequação da lei). É fato também que não é matéria e nem “core” dos escritórios de advocacia os processos de mudanças operacionais, de governança e segurança de uma empresa.

Mas então, qual é a melhor forma de seguir com o atendimento da LGPD?

Sabia que existe uma norma ISO voltada especificamente para o atendimento aos critérios definidos na LGPD para segurança dos dados pessoais? É a ISO 27701 ou Sistema de Gestão da Informação Privada.

Essa é uma norma que tem como principal objetivo a adequação da gestão da empresa para o assunto Privacidade de Dados. Isso quer dizer que ao invés de colocar à força uma Lei dentro de empresa, a ISO 27701 nos traz a possibilidade de enxergar como uma empresa que tem como princípio a privacidade dos dados deve operar.

E isso precisa ser de fato o foco da sua empresa, uma vez que a Segurança da Informação e a Segurança dos Dados Pessoais é um caminho sem volta, ou você quer ficar fazendo remendo nesse assunto na sua empresa até quando? Qual é o dinheiro que você está disposto a perder para começar a levar esse assunto a sério?

06 motivos do porquê a ISO 27701 é o melhor caminho para o atendimento ao LGPD

  1. Com a ISO 27701 você atende a LGPD e a GDPR que é a lei vigente nos EUA e na União Europeia. Ou seja, caso sua empresa já tenha processos de exportação (ou queira ter) o melhor é partir para a versão mais completa.
  2. Na ISO 27701 os controles de Segurança já estão estabelecidos, facilitando a adoção dos procedimentos internos com base em uma norma internacional.
  3. Com a ISO 27701 a empresa já tem o roteiro completo de implementação, evitando desgastes e retrabalhos no processo de atendimento a lei.
  4. Por se tratar de uma Lei, a LGPD não se preocupa com aspectos de rotinas das empresas, deixando alguns “furos” que ficam sem embasamento legal e que podem prejudicar a empresa e que a ISO 27701 já resolve integralmente.
  5. A ISO 27701 faz parte da família de normas da ISO 27001 (Segurança da Informação). Essa família de normas faz parte do grupo de Governança Corporativa, que é o grupo de normas que se preocupa com a Continuidade de Negócios da sua empresa, assunto mais do que urgente ao olhar para a Industria 4.0 e para as constantes transformações digitais.
  6. Apesar de ser um anexo da ISO 27001, a ISO 27701 é uma norma certificável, ou seja, você ainda pode chamar um organismo de certificação que irá certificar* esse trabalho realizado de Privacidade de Dados para que possa comunicar a adequação ao mercado.

De quem é a responsabilidade na implementação da LGPD (ou da ISO 27701)?

Essa é uma das questões que mais ouço, quem é responsável por implementar a ISO 27701? Será de responsabilidade do jurídico por se tratar da adequação da lei? Será de responsabilidade da área de T.I. devido aos controles tecnológicos que serão implementados? Será de responsabilidade da direção?

Na verdade, essa é uma implementação ligada a governança corporativa, ou seja, é necessário o envolvimento de todos! O ideal é que a empresa defina um comitê com profissionais de diversas áreas como por exemplo: Direção (para dar suporte ao comitê nas definições e mudanças necessárias), T.I. (para dar suporte na implementação dos controles tecnológicos necessários), Comercial/Marketing (para dar suporte em como a maioria dos dados pessoais dos clientes serão coletados), Departamento Pessoal (para dar suporte na adequação dos dados pessoais dos colaboradores) e Jurídico (para dar suporte em todas as mudanças necessárias para atender as exigências da lei).

Desse comitê também pode ser definido quem será o encarregado de dados pois acompanhará toda a implementação da ISO 27701 e ficará mais fácil para o profissional atender as demandas exigidas pela ANPD e titulares dos dados.

Além de todo suporte nas adequações um dos pontos que julgo mais importante do comitê é a disseminação da implementação dentro da empresa, pois esse é um processo que trará mudanças durante a implementação, e é comum termos resistência a mudanças, é normal nós como seres humanos quando somos retirados da nossa zona de conforto darmos um passo para trás, o nosso instinto de sobrevivência muitas vezes acaba falando mais alto e cada pessoa tem uma certa reação quando passa por mudanças, seja elas na vida profissional ou pessoal. Com isso é importante o apoio do comitê e dos demais líderes em passar confiança aos colaboradores e ajudá-los a se adequarem as mudanças que serão necessárias durante a implementação.

Adequação a LGPD: Diferencial Competitivo ou Sobrevivência?

Não existe nenhuma Lei com adoção compulsória que seja um Diferencial Competitivo, pois por princípio a adequação é obrigatória para todas as empresas, ou seja, é correr ou correr.

Porém, tem um aspecto relevante nessa discussão que é fundamental para responder essa pergunta, que é o caminho escolhido.

Nesse momento você está em uma bifurcação:

De um lado tem o caminho mais fácil que é contratar alguém para montar um relatório de impacto que ficará lindo em um quadro, mas que não cumprirá os aspectos de segurança que serão capazes de evitar uma multa ou sanção. Para essas empresas a adequação é um critério de sobrevivência, pois você terá sempre que ficar correndo atras do rabo em caso de uma denúncia.

Do outro lado tem o caminho mais difícil, mas também o mais sustentável, que é pensar na Segurança da Informação de forma mais abrangente e como decisão estratégica, preparando de fato a empresa para esse novo futuro que já está aí. Para essas empresas, com certeza a certificação de normas como a ISO 27001 e ISO 27701 já pensando na adequação da LGPD e GDPR é sim uma decisão estratégica.

Agora, a decisão fica com você. Qual caminho irá escolher?

Só para te ajudar um pouco mais na decisão, segue abaixo alguns links com os mais recentes vazamentos de dados que tivemos no Brasil. Lembre-se que o próximo pode ser da sua empresa.

Vazamento ainda em investigação:

https://www.uol.com.br/tilt/noticias/redacao/2021/01/28/vazamento-expoe-dados-de-220-mi-de-brasileiros-origem-pode-ser-cruzada.htm

Vazamento de dados do Ministério da Saúde e do Hospital Albert Einstein:

https://noticias.uol.com.br/ultimas-noticias/agencia-estado/2020/11/26/vazamento-de-senha-do-ministerio-expoe-dados-de-16-milhoes-de-pacientes-de-covid.htm

Vazamento de dados do Clube Atlético Paranaense:

https://www.gazetadopovo.com.br/esportes/athletico/athletico-esclarece-invasao-de-hackres-aos-dados-de-socios/

Everton Hora da Silva

Everton Hora da Silva

Consultor na Templum Consultoria