LGPD em vigor, o que (efetivamente) mudou?

Página inicial Data Guide LGPD em vigor, o que (efetivamente) mudou?

LGPD em vigor, o que (efetivamente) mudou?

Taynara Rodrigues

Entre discussões e vacância da lei, mais de uma década se passou. Finalmente, em agosto de 2021 a Lei Geral de Proteção de Dados Pessoais (nossa famosa “LGPD”) entrou integralmente em vigor.

A partir desta data, empresas que não adotarem boas práticas para proteção, segurança e privacidade de dados pessoais podem ser penalizadas também pela Autoridade Nacional de Proteção de Dados (ANPD), órgão novo no Brasil que ficará responsável por fiscalizar o cumprimento da LGPD.

Multas que podem ser de até 2% do faturamento da empresa e possuem um teto de R$ 50 milhões por infração são exemplos das possíveis sanções.

Contudo, esse não foi o único fator de transformação desde que esta temática passou a ganhar relevância no Brasil. Acompanhe abaixo seis perceptíveis mudanças do mercado a partir da LGPD:

Um passo a mais no processo comercial

DUE DILIGENCE focada em proteção, segurança e privacidade de dados

A realização de Due Diligence de Fornecedores, isto é, o processo de investigação e análise de informações de uma empresa antes de fechar um determinado negócio, é um processo bastante comum na esfera privada, sobretudo depois da Lei Anticorrupção (Lei n° 12.846/2013).

Com a LGPD, a implementação de medidas por parte das empresas para analisar e mitigar os riscos à proteção de dados na dinâmica de compartilhamento de dados com terceiros passou a se tornar um movimento natural do mercado também.Essas medidas buscam trazer maior conhecimento sobre eventuais vulnerabilidades, o que, por sua vez, possibilita mais visibilidade para a tomada de decisão no seguimento ou não de uma eventual contratação.

Isto porque, em um pior cenário envolvendo dados pessoais, existe a possibilidade de uma responsabilização solidária entre empresas. Por isso, é natural que as empresas que estejam adequadas à LGPD e possuam uma estrutura de governança de dados optem por contratar parceiros e fornecedores que também estejam aderentes com a lei e possuam controles mínimos de segurança da informação (ou estejam comprometidos a possuir).

O procedimento para avaliação de terceiros tem variado bastante a partir de cada empresa, mas podem contar com os seguintes passos:

Levantamento das informações sobre o escopo do contrato, como por exemplo o tratamento associado e os tipos de dados pessoais envolvidos;
Resposta de questionário contendo controles de segurança e proteção de dados pessoais sob o aspecto de governança, processos, cultura e tecnologia;
Avaliação do questionário e identificação dos riscos apresentados e fatores que possam mitigá-los;
Análise do plano de ação do terceiro, caso necessário;
Monitoramento e implementação do plano de ação do terceiro, se necessário também.

Se sua empresa não estiver preparada para atender essas requisições, é possível que você tenha um atraso no seu processo comercial ou até a perda de oportunidades.

Em alguns casos, além dos passos acima, é requisitado dos fornecedores uma auditoria, que analisa, localmente, as condições de tratamento de dados pessoais.

Geralmente o Encarregado de Proteção de Dados das empresas (o famoso “DPO”) fica responsável por responder ou conduzir esse processo de avaliação de terceiros.

Accountability: privacidade de dados como parte da cultura empresarial

O princípio da “Accountability” ou “Princípio da responsabilização e da prestação de contas” emergiu como um tema crítico nas leis, políticas e práticas globais de privacidade nos últimos anos. Segundo esse princípio mencionado também pela LGPD, as organizações devem ser responsáveis pela implementação dos requisitos aplicáveis de privacidade e proteção de dados e devem ser capazes de demonstrar seus recursos de conformidade.

Em outras palavras, não basta você seguir com as melhores práticas, você tem que ser capaz de demonstrar que adota medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Tanto seus clientes, quanto a própria ANPD podem exigir a demonstração de tais medidas, respeitando possíveis segredos comerciais ou industriais de empresas, claro.

Exigência de adequação para fazer negócios com instituições públicas

Assim como as instituições privadas, a esfera pública também tem considerado a adequação à LGPD na seleção de seus fornecedores.

Além da avaliação jurídica, econômico-financeira e técnica durante o procedimento licitatório, é possível que, após a declaração do vencedor e antes da formalização do contrato, seja realizada uma avaliação de adequação à LGPD do potencial fornecedor. Para a avaliação, geralmente é aplicado um questionário em que seja possível se estabelecer o risco daquele fornecedor em baixo, médio, alto e muito alto.

A Secretaria Especial de Desburocratização, Gestão e Governo Digital, sob o comando do Ministério da Economia, publicou em agosto de 2020 um Guia Específico para Avaliação de Riscos de Segurança e Privacidade nos Contratos, Sistemas e Processos das Instituições Públicas, que abarca medidas de segurança e privacidade, controles por risco, matriz de risco e processo de avaliação que deve ser implementado.

Você pode conferir o guia e entender os critérios de avaliação de fornecedores utilizados clicando aqui.

Aumento do número de reclamação de consumidores

O tão esperado aculturamento dos consumidores a partir da LGPD, apesar de longe do ideal, é um fato.

O número de reclamações no portal Reclame Aqui a partir da LGPD exemplifica isto, sendo que as queixas estão relacionadas, principalmente, a:

1. Dificuldade e grande burocracia na exclusão de seus dados pessoais, que as pessoas passaram a ter direito com a LGPD (ainda que tais direitos possuem limitações);

2. Contato indevido, principalmente a partir do recebimento de SMS, e-mail marketing, contato telefônico;

3. Vazamento de dados e compartilhamento indevido com terceiros;

4. Falha na relação de transparência com os consumidores, problemas relatando políticas de privacidade confusas ou, ainda, a inexistência delas.

Uma nova onda de processos judiciais com base na LGPD

De acordo com a Juit (empresa especializada em jurimetria), depois de 12 meses em vigência, a LGPD já embasou cerca de 1.102 sentenças judiciais. Até julho de 2021, eram apenas 600 decisões.

De acordo com a pesquisa, o Tribunal de Justiça de São Paulo liderou as decisões envolvendo a LGPD. Em seguida, no ranking, aparecem o Distrito Federal e o estado do Paraná.

Como podemos te ajudar?

Somos uma consultoria especializada em ajudar outras organizações nos seus desafios relacionados à busca por boas práticas para conformidade com legislações de proteção de dados e privacidade.