A Lei Geral de Proteção de Dados, nossa famosa ‘LGPD’, é uma lei que determina como as instituições devem lidar com os dados pessoais – sejam eles de clientes, funcionários, usuários de uma plataforma ou até mesmo visitantes de um site.
A LGPD reflete uma crescente preocupação global com a privacidade e proteção de dados.
LGPD: Uma Responsabilidade Empresarial
Para as empresas, a LGPD significa mais cuidado e responsabilidade. É como se fosse um chamado à ação para adotar práticas mais seguras e transparentes ao lidar com dados pessoais. Isso implica em assegurar a privacidade e a proteção desses dados e os direitos das pessoas a eles associadas. Com a LGPD, as empresas são encorajadas a cultivar uma cultura de transparência e responsabilidade, algo que é cada vez mais valorizado pelos consumidores e demandado principalmente pelo próprio mercado.
A importância das leis de proteção de dados – Um Caso Real e Recente
Para ilustrar como violações de privacidade podem acontecer na prática, vamos expor um incidente recente que aconteceu com um hospital (cujo nome será aqui mantido em confidencialidade).
Neste incidente, um funcionário acessou indevidamente dados pessoais de um paciente internado na UTI. Estas informações foram repassadas a um golpista parceiro, que utilizou da situação e das informações coletadas para enganar um familiar do paciente, induzindo-o a pagar um boleto fraudulento de mais de 20 mil. O hospital, além de enfrentar a obrigação de reembolsar a vítima, encontrou-se em uma posição vulnerável perante a LGPD, tendo falhado em proteger a privacidade e a segurança dos dados sensíveis.
Neste guia, vamos explorar as principais mudanças introduzidas pela LGPD. Embora inicialmente possa parecer um desafio compreender e implementar essas novidades, nosso objetivo é descomplicar esse processo. Ao longo deste guia, abordaremos não apenas o que mudou, mas também como sua empresa pode se adaptar eficientemente a esses novos padrões.
O que você vai encontrar neste artigo:
-
- Princípios da LGPD
- Indicação de um DPO
- É obrigatório ter um DPO?
- Dados Sensíveis
- Consentimento
- Tratamento de Dados de Crianças e Adolescentes
- Não Discriminação
- Transparência
- Direitos do Titular
- Cuidados ao compartilhar dados
- Compartilhamento internacional
- Boas práticas e governança
- Relatório de impacto e proteção
- Como cumprir a LGPD, na prática
- O que acontece com o não cumprimento da LGPD
Alcance da LGPD: Quais Empresas Precisam Cumprir a
Lei Geral de Proteção de Dados?
CONTINUE A SUA LEITURA
A LGPD tem um alcance amplo e se aplica a todas as organizações que lidam com dados pessoais dentro do Brasil.
Vamos entender isso melhor. Precisam se adequar à LGPD:
Empresas Privadas (de todos os portes): Seja uma multinacional, um hotel, e-commerce que mantém um banco de dados de clientes ou uma clínica médica com 5 colaboradores. Se a empresa coleta, armazena ou usa dados pessoais, ela precisa seguir as regras da LGPD.
Entidades Públicas: Por exemplo, uma prefeitura que gerencia dados pessoais dos cidadãos para serviços municipais.
Startups: Uma startup, não importa se a empresa ainda esteja no início de sua operação, precisa respeitar a LGPD.
Empresas Fora do Brasil com Atividades no Território Brasileiro: Aqui entra um ponto crucial. Mesmo empresas que não estão fisicamente no Brasil, mas oferecem serviços ao público brasileiro e tratam dados de pessoas que estão no país, também precisam cumprir a LGPD.
Aliás, o mesmo se aplica no sentido inverso. Empresas brasileiras que lidam com dados de europeus precisam se adequar à GDPR (General Data Protection Regulation), que é o regulamento de proteção de dados da União Europeia.
13 tópicos para entender as principais obrigações da LGPD para empresas:
1. Princípios da LGPD ao Utilizar Dados Pessoais:
Quando falamos sobre a LGPD, não podemos deixar de mencionar seus princípios fundamentais, que orientam as empresas no tratamento de dados pessoais. Esses princípios devem ser aplicados em todas as fases do ciclo de vida dos dados, desde a coleta até o momento de eliminação.
🟧 Vamos explorar cada um desses princípios com exemplos práticos:
Finalidade: Os dados só devem ser coletados com propósitos claros e legítimos. Por exemplo, uma loja online coleta endereços dos clientes exclusivamente para a entrega de produtos. Essa finalidade precisa ser informada.
Adequação: Os dados coletados devem ser relevantes e limitados ao necessário para os propósitos para os quais são processados. Por exemplo, um hospital coleta informações de saúde necessárias para o tratamento, mas não informações irrelevantes como preferências de lazer.
Necessidade: Limitar o uso dos dados ao mínimo necessário para atingir seus objetivos. Por exemplo, um aplicativo de finanças pessoais que coleta apenas informações financeiras essenciais, sem extrapolar para dados pessoais não relacionados.
Livre Acesso: Garantir que os titulares dos dados possam consultar facilmente sobre o tratamento de seus dados. Uma escola, por exemplo, permite que os pais acessem as informações escolares de seus filhos online.
Qualidade dos Dados: Assegurar a exatidão, clareza e atualização dos dados coletados. Um banco, por exemplo, mantém um sistema para que os clientes possam atualizar suas informações pessoais regularmente.
Transparência: Ser claro com os titulares sobre como os dados são coletados, usados e compartilhados. Uma empresa de marketing digital informa claramente em sua política de privacidade como utiliza os dados de navegação dos usuários.
Segurança: Implementar medidas técnicas e administrativas para proteger os dados de acessos não autorizados e situações acidentais. Uma loja virtual utiliza criptografia para proteger os dados dos cartões de crédito dos clientes.
Prevenção: Adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados. Uma clínica médica tem sistemas de backup e recuperação de dados em caso de falhas.
Não Discriminação: Não utilizar os dados para fins discriminatórios, ilícitos ou abusivos. Por exemplo, uma empresa de seguros não utiliza dados pessoais para discriminar clientes na oferta de serviços.
Responsabilização e Prestação de Contas: Demonstrar e comprovar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados. Uma empresa de tecnologia realiza auditorias periódicas para garantir a conformidade com a LGPD.
2. Indicação de um Encarregado de Proteção de Dados (DPO):
A LGPD criou um novo cargo no Brasil, o de Encarregado de Proteção de Dados, popularmente conhecido como DPO.
Vamos simplificar (que os defensores dos “tecnicismos” e “juridiquês” nos perdoem):
Imagine que o DPO, que é a sigla para Data Protection Officer, atua como um guardião dos dados pessoais nas empresas, conferindo-lhes uma reputação mais confiável. A função do DPO é assegurar que todos os processos da empresa que envolvam informações e dados pessoais, como nomes, CPF, endereço, dados de saúde e financeiros, sigam padrões de privacidade e proteção
Quando alguém, seja um usuário com dúvidas ou a Autoridade de Proteção de Dados, percebe algo estranho na forma como a empresa utiliza essas informações, é ao DPO que podem recorrer. Para entender melhor, pense na função do DPO como sendo comparável ao papel de confiança que um contador desempenha na área contábil e financeira, sendo que a nomeação de ambos é obrigatória.
O DPO atua como uma espécie de “guia” e “detetive”, explicando as regras sobre como os dados podem ser usados e certificando-se de que tudo seja feito da maneira correta. Em resumo, o DPO age como um protetor dos dados, assegurando que a privacidade das pessoas seja respeitada e orientando as empresas a agirem de maneira responsável e segura.
3. É obrigatório ter um DPO?:
A indicação de um DPO é um requisito obrigatório para todas as empresas brasileiras que lidam com dados pessoais, conforme estabelecido no artigo 41 da LGPD.
A legislação ainda determina que a identidade e as informações de contato do DPO devem ser divulgadas publicamente, preferencialmente no site da empresa
A Resolução CD/ANPD nº 2/2022, publicada pela Autoridade Nacional de Proteção de Dados (ANPD), flexibilizou a aplicação da Lei Geral de Proteção de Dados (LGPD) para agentes de tratamento de pequeno porte, podendo dispensar a obrigatoriedade da indicação de DPO. Essa categoria inclui microempresas, empresas de pequeno porte e startups, desde que não realizam tratamento de dados de alto risco, alto volume, entre outras exceções que precisam ser analisadas e que demandam a necessidade de indicação de um DPO mesmo se sua empresa tiver 5 funcionários, por exemplo.
Se houver incertezas sobre se a sua empresa se encaixa nessa categoria de isenção, é aconselhável consultar um especialista em proteção de dados. Profissionais como os da Data Guide podem oferecer consultas gratuitas para esclarecer dúvidas e orientar sobre as melhores práticas no cumprimento da LGPD.
➡️ Quem é o Encarregado de Proteção de Dados: o famoso DPO.
4. Dados Sensíveis: tenha ainda mais cuidado!
🟧 Entendendo os Tipos de Dados na LGPD: Pessoal, Sensível e Anonimizado
A LGPD trouxe definições e diretrizes específicas para a categorização de dados. Essa legislação estabelece uma clara distinção entre dados pessoais, dados pessoais sensíveis e dados anonimizados.
Essas categorias são importantes, uma vez que o tipo de dado manuseado determina as possíveis formas de uso, o nível de risco associado e as restrições que são aplicadas.
Dado Pessoal: Refere-se a qualquer informação relacionada a uma pessoa natural identificada ou identificável. Exemplos incluem nome, endereço, e-mail, e número de identidade.
Dado Pessoal Sensível: Este é um subconjunto do dado pessoal que exige maiores cuidados devido à sua natureza. Inclui informações que revelam origem racial ou étnica, convicção religiosa, opiniões políticas, dados de saúde ou vida sexual, dados genéticos ou biométricos.
Dado Anonimizado: Diferentemente dos dados pessoais e sensíveis, o dado anonimizado é aquele que não pode ser associado a um indivíduo, devido à utilização de técnicas de anonimização. Se devidamente processado para garantir a impossibilidade de reversão ou associação, ele não se enquadra no escopo da LGPD.
Na gestão de dados sensíveis, a LGPD estabelece regras rigorosas, exigindo um cuidado ainda maior. O tratamento desses dados requer o consentimento expresso ou uma base legal específica que autorize sua utilização. Isso se deve à natureza delicada dessas informações, que estão intimamente ligadas à privacidade da pessoa.
⚖️ O que os Tribunais estão falando sobre:
Em uma decisão do Superior Tribunal de Justiça (STJ) em 2023, foi mencionado que nos casos de vazamento de dados sensíveis, o dano moral é presumido. Isso significa que a vítima do vazamento não precisa comprovar um prejuízo específico para ter direito à indenização; o próprio vazamento já é considerado suficiente para configurar o dano moral. Embora a jurisprudência sobre este assunto ainda “engatinha” no Brasil e esteja em fase de consolidação nos Tribunais Superiores, essa decisão aumenta significativamente o risco para as instituições que manuseiam dados sensíveis.
🤚 Mas não se engane.
Essa responsabilidade e risco não se restringe apenas a setores como saúde, seguros, recursos humanos, tecnologia e big data, tradicionalmente associados ao manuseio de grandes volumes de dados sensíveis. Qualquer empresa que emprega trabalhadores sob o regime da CLT (Consolidação das Leis do Trabalho) no Brasil, por exemplo, coleta dados de saúde dos colaboradores, o que também a submete às normas da LGPD.
🟧 Os Riscos da Deep Web: Comércio e Distribuição de Dados Pessoais e Sensíveis
É surpreendente a quantidade de pessoas que demonstram interesse nessas informações. Existem inúmeros fóruns na deep web especificamente voltados para a disseminação de bases de dados pessoais sensíveis. Nestes espaços, frequentemente encontramos atividades tanto de venda quanto de distribuição gratuita desses dados.
5. Consentimento
O consentimento para tratar dados pessoais é necessário em diversas situações pela LGPD, mas não em todas. É um equívoco comum pensar que a LGPD exige o consentimento para todo e qualquer tratamento de dados. Na verdade, o consentimento é apenas uma das bases legais para o tratamento de dados, e sua necessidade varia conforme o contexto.
A LGPD exige que as empresas estejam preparadas para demonstrar que obtiveram o consentimento dos titulares de dados de maneira adequada, conforme estabelecido pela lei. Isso implica em manter registros detalhados que evidenciem a obtenção do consentimento.
🟧 Exemplos Práticos de Demonstração de Consentimento:
Formulários Online: Ao se inscrever em um site ou serviço, o usuário pode marcar uma caixa de seleção que indica claramente que ele concorda com o tratamento de seus dados pessoais para fins específicos. O formulário deve incluir um link para a política de privacidade da empresa.
Opt-In em E-mails de Marketing: Para enviar newsletters ou e-mails promocionais, é importante ter um sistema de opt-in, onde o usuário expressamente concorda em receber tais comunicações. Essa ação é frequentemente registrada através de um clique em um link de confirmação enviado por e-mail.
Consentimento Verbal em Chamadas Telefônicas: Em atendimentos ou pesquisas por telefone, o consentimento pode ser obtido verbalmente, mas deve ser claramente registrado. A gravação da chamada pode ser usada como prova, desde que o usuário seja informado e concorde com a gravação.
Assinaturas em Documentos Físicos: Em certas transações, como a abertura de uma conta bancária, o consentimento pode ser obtido através da assinatura do cliente em documentos que especificam o uso dos dados coletados.
Consentimento em Aplicativos Móveis: Ao instalar um aplicativo, pode ser solicitado ao usuário que concorde com o tratamento de seus dados antes de prosseguir. Uma janela pop-up com a política de privacidade e a opção de aceitar ou recusar é uma forma comum de registrar o consentimento.
6. Tratamento de Dados de Crianças e Adolescentes:
O tratamento de dados de crianças e adolescentes merece uma atenção especial pela LGPD. Empresas que coletam e processam essas informações têm a responsabilidade de obter autorização dos pais ou responsáveis legais antes de qualquer coleta de dados. Este é um aspecto crucial da LGPD, pois visa proteger a privacidade e a segurança de um grupo particularmente vulnerável.
🟧 Exemplo Prático: Como uma Empresa de Tecnologia Implementa Essas Diretrizes
Um exemplo notável de como uma empresa pode lidar com essa questão é o da plataforma de vídeo online YouTube através do YouTube Kids. O YouTube Kids é uma versão da plataforma projetada especificamente para crianças, com conteúdo mais apropriado para a idade e recursos de segurança adicionais. Para criar uma conta no YouTube Kids, os pais ou responsáveis são solicitados a fornecer consentimento, que inclui a verificação da idade da criança e uma explicação de como os dados serão utilizados. Além disso, o aplicativo fornece aos pais controles extensivos para gerenciar a experiência de visualização e o acesso ao conteúdo.
7. Não Discriminação:
A LGPD proíbe a discriminação no tratamento de dados. Empresas devem garantir que algoritmos e práticas de tomada de decisão automatizada não resultem em discriminação injusta ou tratamento desigual com base em categorias protegidas, como gênero, raça, religião, entre outras.
🟧 Exemplo de Discriminação em Tomada de Decisão Automatizada:
Situação: Uma empresa de tecnologia implementa um sistema de recrutamento baseado em inteligência artificial (IA) para analisar currículos e selecionar candidatos para entrevistas. O algoritmo é treinado com dados históricos de candidatos que tiveram sucesso na empresa.
Discriminação: O algoritmo começa a exibir um viés de gênero, favorecendo candidatos masculinos, pois, historicamente, a maioria dos funcionários bem-sucedidos na empresa eram homens. Isso leva a uma classificação mais baixa de candidatas femininas, independentemente de suas qualificações reais.
Impacto: Esta prática resulta em uma discriminação de gênero explícita, prejudicando candidatas qualificadas com base em seu gênero e não em suas habilidades ou experiência.
Consequências: 👇
Violação da LGPD: A empresa infringe os princípios da LGPD, que proíbem o tratamento de dados que resulte em discriminação injusta, que pode levar a imposição de multas substanciais e a enfrentar dificuldades comerciais, entre outras penalidades.
Desafios Éticos e Legais: A empresa enfrenta não apenas penalidades legais, mas também um prejuízo significativo à sua reputação e à confiança do público.
Necessidade de Revisão e Correção: A empresa precisa revisar e ajustar seu algoritmo para garantir uma avaliação justa e equitativa de todos os candidatos, independente do gênero.
8. Transparência: a palavra da vez de acordo com a LGPD
Informar, de forma transparente e acessível, sobre as práticas de coleta, uso, compartilhamento e proteção de dados é uma das grandes obrigações da LGPD. Políticas e avisos de privacidade, termos de consentimento e comunicações relativas ao uso de dados devem ser claras, compreensíveis e facilmente acessíveis para todos os usuários, incluindo colaboradores.
Por exemplo, a Apple é frequentemente elogiada por sua abordagem de privacidade centrada no usuário. A empresa oferece informações detalhadas sobre a coleta e uso de dados, além de implementar controles robustos de privacidade em seus dispositivos. Além disso, a Apple habilmente integra esta postura de respeito à privacidade em suas estratégias de marketing, destacando-a como um diferencial competitivo no mercado.
9. Direitos do Titular
A LGPD trouxe novos direitos aos indivíduos, os titulares de dados, e as empresas devem estabelecer procedimentos internos eficientes para atender a essas solicitações, assegurando o respeito a esses direitos. Entre esses direitos, destacam-se:
Direito de Acesso: Titulares podem solicitar informações sobre quais dados pessoais uma empresa possui sobre eles e como esses dados estão sendo utilizados. Por exemplo, um cliente de uma loja online pode solicitar um relatório dos dados que a loja coleta sobre suas compras e preferências.
Direito de Retificação: Se um titular identifica que suas informações estão incorretas ou desatualizadas, ele tem o direito de pedir a correção. Um exemplo prático seria a atualização de um endereço residencial em um cadastro bancário.
Direito de Exclusão: Conhecido também como ‘direito ao esquecimento’, permite que o titular solicite a remoção de seus dados pessoais de um banco de dados. Por exemplo, um usuário pode pedir que uma rede social exclua permanentemente seu perfil e todas as informações associadas.
Direito à Portabilidade: Titulares podem requisitar a transferência de seus dados pessoais para outro serviço ou fornecedor. Por exemplo, um usuário de serviços de telefonia pode querer transferir seu histórico de uso para uma nova operadora.
Direito de Oposição: Permite que o titular se oponha a certos usos de seus dados, especialmente para fins de marketing. Por exemplo, um consumidor pode se opor a que seus dados sejam usados para campanhas publicitárias.
Atenção, esses direitos não são incondicionais. Existem exceções e condições específicas que devem ser consideradas. Portanto, é essencial consultar o Encarregado de Proteção de Dados (DPO – Data Protection Officer) da sua organização antes de proceder com qualquer atendimento a essas solicitações. Já vamos falar mais sobre essa figura a seguir. Essa medida assegura a conformidade com a legislação e a tomada de decisões apropriadas no contexto das normas de proteção de dados.
10. Responsabilidade no Compartilhamento de Dados com Outras Empresas!
Ao compartilhar dados com outras empresas ou “agentes de tratamento”, é crucial estar ciente da sua responsabilidade compartilhada. Garanta a existência de um contrato detalhado que defina claramente as responsabilidades de ambas as partes no uso desses dados.
Não basta apenas que sua empresa esteja em conformidade com a LGPD; seus parceiros também devem estar.
Este requisito se estende aos seus clientes, que podem exigir que sua empresa cumpra a LGPD ao firmar contratos. Eles assumem uma parcela de responsabilidade sobre suas ações, uma vez que a legislação brasileira pode responsabilizar uma organização por falhas de seus fornecedores, especialmente em casos de vazamento de dados ou outras violações da LGPD. Em uma eventual ação judicial, a vítima pode processar tanto a empresa quanto o fornecedor, ou ambos, para obter reparação integral.
Conscientes dessa realidade, muitas empresas adotaram o procedimento de avaliar fornecedores e parceiros por meio de questionários detalhados. Essas avaliações normalmente abordam temas como segurança geral, segurança de rede, controle de acesso, resposta a incidentes, proteção de dados, além de políticas e procedimentos relacionados à segurança e privacidade. O objetivo é avaliar a eficácia das práticas de segurança do fornecedor e identificar riscos potenciais ao estabelecer parcerias.
A ANBIMA é um exemplo nesse contexto, tendo publicado o guia “Orientações para Contratação de Terceiros e Serviços em Nuvem”. Este guia inclui um modelo de questionário para o processo de contratação e recomendações cruciais para a avaliação de fornecedores.
11. Compartilhamento Internacional de Dados:
Quando uma empresa planeja transferir dados além das fronteiras nacionais, é necessário assegurar que o país receptor ofereça um nível de proteção de dados compatível com os padrões exigidos, ou que medidas específicas sejam adotadas para garantir a segurança dos dados transferidos.
Muitos contratos estabelecidos com instituições públicas, por exemplo, incluem cláusulas específicas que proíbem o compartilhamento internacional de dados disponibilizados. Essa restrição é uma medida de segurança para garantir que os dados sensíveis e confidenciais permaneçam dentro das fronteiras nacionais e sob jurisdição local.
🟧 Exemplos Práticos de Transferência Internacional de Dados:
➡️ Armazenamento em Nuvem:
É comum empresas utilizarem serviços de armazenamento em nuvem operados por provedores internacionais. Por exemplo, servidores da Amazon Web Services (AWS) localizados na Virgínia, EUA. Quando esses servidores estão situados fora do país de origem dos dados, configura-se uma transferência internacional de dados. Esta situação requer uma avaliação cuidadosa para garantir que as normas de proteção de dados sejam respeitadas.
➡️ Processamento de Pagamentos:
Empresas que empregam processadores de pagamento globais podem acabar transferindo dados financeiros de clientes para outros países a fim de realizar transações. Essas transferências internacionais demandam uma verificação rigorosa para assegurar que os dados financeiros sejam manuseados de acordo com as normas de proteção de dados aplicáveis.
12. Boas Práticas e Governança:
A LGPD incentiva a implementação de boas práticas e governança no tratamento de dados. Isso envolve a criação de políticas internas, treinamento de equipe, designação de responsáveis pela privacidade e a adoção de medidas de segurança eficazes.
Comunicação de Incidente de Segurança:
Em caso de uma violação de dados que represente um risco significativo ou cause danos relevantes aos titulares, a empresa tem a obrigação de comunicar tanto aos afetados quanto à Autoridade Nacional de Proteção de Dados (ANPD). Essa comunicação deve ser detalhada, explicando o ocorrido, quais informações foram comprometidas e as medidas específicas tomadas para minimizar os danos resultantes da violação.
13. Relatório de Impacto sobre a Proteção de Dados pessoais e consulta prévia à ANPD:
A Avaliação de Impacto sobre a Proteção de Dados (AIPD) é um instrumento crucial e se torna obrigatória em situações de tratamento de dados que apresentam alto risco para os titulares.
Essa avaliação deve mapear os processos de tratamento e identificar os riscos associados, bem como as medidas para mitigá-los.
🟧 Exemplos de situações que requerem a implementação de uma AIPD incluem:
Tratamento de Dados Sensíveis em Larga Escala: Como no caso de um hospital que processa grandes volumes de informações médicas sensíveis, exigindo uma análise detalhada dos riscos e impactos.
Uso de Novas Tecnologias: Implementação de sistemas baseados em Inteligência Artificial que processam dados pessoais para perfilar ou tomar decisões automatizadas com impacto significativo nos indivíduos.
Monitoramento Sistemático e Abrangente: Empresas que realizam vigilância em larga escala, como monitoramento de localização ou comportamento online dos usuários.
Em certas circunstâncias, é também obrigatório realizar uma consulta prévia com a Autoridade Nacional de Proteção de Dados (ANPD). Esse procedimento é indicado quando há dúvidas sobre a conformidade do tratamento proposto com a legislação de proteção de dados. A consulta prévia busca orientação e, se necessário, a aprovação da ANPD antes de iniciar atividades de tratamento de dados consideradas potencialmente arriscadas.
Por exemplo, antes de implementar um novo sistema de reconhecimento facial em espaços públicos, uma empresa ou órgão público pode precisar consultar a ANPD para assegurar a conformidade com a LGPD, dada a sensibilidade e os potenciais riscos desse tipo de tratamento de dados.
Profissional DPO não precisa ser uma dor de cabeça
para a sua empresa: conheça o DPO as a Service
TIRE SUAS DÚVIDAS AQUI
14. Como cumprir a LGPD, na prática?
Compreendemos que a LGPD introduziu diversas obrigações adicionais para as empresas. Agora, surge a questão: como implementar tudo isso, na prática?
Normalmente, o processo de conformidade nas empresas ocorre por meio de um projeto específico voltado para atender às exigências da LGPD, seguindo etapas bem definidas. Estas podem incluir:
Mapeamento de Dados: Identificação e documentação de todos os dados pessoais que a empresa trata, incluindo, mas não se limitando a, áreas como marketing, recursos humanos, finanças e suporte.
Avaliação de Riscos: Análise dos riscos associados ao tratamento de dados pessoais, visando implementar medidas adequadas de segurança.
Políticas e Procedimentos: Desenvolvimento e implementação de políticas internas e procedimentos que estejam conforme os princípios da LGPD.
Treinamento e Conscientização: Capacitação dos colaboradores sobre as práticas e responsabilidades no tratamento de dados pessoais.
Gestão de Incidentes: Estabelecimento de um plano para lidar com incidentes de segurança, incluindo a comunicação adequada em caso de violação de dados.
Designação do DPO: Nomeação do Encarregado de Proteção de Dados (DPO), quando necessário, para supervisionar o cumprimento da LGPD. Em muitos casos, o próprio DPO fica responsável por gerenciar o projeto de conformidade da empresa.
As medidas específicas para alcançar a conformidade à LGPD variam conforme o modelo de negócio e as necessidades individuais de cada empresa. Existem diversas metodologias disponíveis para orientar a condução desse tipo de projeto.
Um exemplo prático das iniciativas que podem estar envolvidas em um projeto de conformidade segue abaixo, para fins didáticos. Lembrando que as atividades necessárias variam para cada empresa, e esse cronograma foi desenvolvido apenas como um exemplo.
15. O que acontece com uma empresa que não cumprir com a LGPD?
Algumas das principais consequências para uma empresa que não está em conformidade com a LGPD incluem:
Sanções Administrativas: A Autoridade Nacional de Proteção de Dados (ANPD) possui autoridade para aplicar sanções a empresas que infringirem a LGPD. As penalidades variam desde advertências até multas significativas.
Reparação de Danos: Em casos de vazamento de dados sensíveis ou outras infrações à LGPD, a empresa pode ser obrigada a compensar os titulares dos dados afetados. Isso pode incluir custos financeiros substanciais e ações para remediar o impacto do vazamento. Imagine uma clínica médica que teve dados sensíveis de mais de 100 pacientes vazados, e agora tem a obrigação de indenizar a todos, independente do dano gerado.
Perda de Credibilidade e Confiança: A não conformidade pode prejudicar gravemente a reputação da empresa, resultando em desconfiança por parte de clientes, parceiros e do público em geral. Esta perda de credibilidade pode ter consequências duradouras, afetando negativamente os negócios e as relações comerciais.
Risco de Perda de Contratos: Empresas que não demonstram conformidade com a LGPD correm o risco de perder contratos, especialmente com parceiros que exigem altos padrões de proteção de dados. Esses riscos podem incluir desqualificação em processos licitatórios ou rescisão de contratos vigentes, bem como dificuldades em firmar contratos com grandes empresas, as quais são rigorosas na escolha de fornecedores.
Intervenção Regulatória: A ANPD pode intervir na gestão da empresa para assegurar a aderência à LGPD. Isso pode incluir a imposição de medidas corretivas, como mudanças nos procedimentos de tratamento de dados, e a realização de auditorias frequentes para garantir a conformidade contínua.
Se você ainda tem dúvidas ou precisa de orientação sobre como implementar a LGPD no contexto do seu negócio, não hesite em nos contatar. Estamos à disposição para ajudá-lo a entender e aplicar as diretrizes da LGPD de forma prática e eficiente em sua empresa.
Leia a LGPD na integra: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm