A LGPD começa a valer em agosto de 2020. De pequenos negócios a gigantes multinacionais, todas as empresas terão de obedecer à legislação sobre coleta e uso de dados pessoais
A nova legislação prevê uma série de obrigações para as empresas, seja qual for seu porte, quando o assunto são coleta e armazenamento de dados privados de pessoas físicas. A LGPD chega após escândalos globais envolvendo coleta e uso indevido de dados de usuários. A União Europeia (UE) foi uma das pioneiras na definição de regras sobre o assunto, com a implementação, em 2018, da GDPR (sigla em inglês para Regulamento Geral de Proteção de Dados).
O Brasil conta com outros mecanismos que supervisionam o uso de dados pessoais, como o Marco Civil da Internet ou o Código de Defesa do Consumidor. A novidade que a LGPD traz é uma sistematização, com a consolidação das regras aplicáveis a dados pessoais, à forma de tratamento desses dados e, principalmente, ao controle, responsabilização e prestação de contas por parte das empresas. As punições para quem ferir os princípios da LGPD podem chegar a multas de 2% do faturamento, limitadas a R$ 50 milhões.
A expectativa é que as novas regras tragam mudanças culturais às empresas brasileiras — ou estrangeiras, já que a lei prevê que serviços usados por cidadãos brasileiros obedeçam às regras.
Comunicação
O primeiro passo na jornada de adequação à LGPD é a conscientização de todos os departamentos da empresa. Essa conversa serve para informar os colaboradores sobre o assunto. Isso é importante para que não haja a ideia equivocada de que a LGPD e seus desafios são responsabilidade exclusiva da equipe de tecnologia. O processo pode ser liderado por diferentes departamentos, como Recursos Humanos, Jurídico, Compliance ou TI. Os primeiros treinamentos gerais vão servir para disseminar uma nova cultura em relação a dados pessoais.
Mapeamento interno
O primeiro passo do trabalho do encarregado deve ser identificar possíveis focos de problemas na companhia. Para isso, é preciso realizar um mapeamento completo do fluxo de dados e informações de pessoas físicas.
O encarregado
A LGPD prevê que cada empresa tenha um profissional dedicado aos dados: é o encarregado — internacionalmente, a função foi chamada de Data Protective Officer (DPO). A dedicação não precisa ser exclusiva para este trabalho, e há a possibilidade de contratação de uma PJ ou de uma empresa de consultoria para essa função. Entre as responsabilidades estão ser a interface entre a empresa e os titulares dos dados, fazer a ponte com a Autoridade Nacional de Dados, receber reclamações e solicitações e prestar esclarecimentos.
Encontre os erros
A partir do mapeamento de dados, há a definição da próxima etapa, que é a revisão dos processos e a definição de políticas internas. Todos os dados coletados são necessários para o negócio? As informações transitam e são armazenadas de forma segura e são criptografadas? Todos os colaboradores que têm acesso a bases de dados de pessoas físicas precisam desse acesso para a realização de seu trabalho? As respostas devem auxiliar a encontrar processos desnecessários envolvendo dados e a criar mecanismos que evitem vazamentos ou uso indevido das informações coletadas por sua empresa.
Em busca do elo fraco
Para incentivar que toda a cadeia respeite a LGPD, a lei exige que fornecedores e parceiros também obedeçam às novas obrigações. Se a sua empresa contrata ou presta serviços, o assunto é relevante. Esse rigor em relação a parceiros serve como incentivo para a adequação.
O mais importante para as empresas é entender a LGPD como uma mudança de processos e mudança de cultura. Assimilar essa nova cultura, portanto, seria partir da ideia da privacidade e do tratamento correto de dados de pessoas físicas durante a concepção e a criação de produtos ou empresas.