Economia

Empresas deverão se adequar à Lei Geral de Proteção de Dados

Especialistas indicam que as organizações públicas e privadas se preparem para as mudanças. Decreto que cria agência reguladora do setor já foi publicado, mas aguarda sanção presidencial

Lucas Braga
economia@ootimista.com.br

As empresas devem se adequar o quanto antes às exigências da Lei Geral de Proteção de Dados (LGPD). É o que sugerem especialistas em Direito Digital. A Lei depende de sanção presidencial para entrar em vigor, o que deve acontecer nas próximas duas semanas. Já a aplicação de multas previstas na LGPD pode acontecer a partir de 1º de agosto de 2021, conforme disposto na Lei 14.010/20.

A LGPD se propõe a padronizar normas e práticas para a proteção de dados pessoais dos brasileiros, tanto em meios físicos quanto digitais. Ela regulamenta, com rigidez, processos de coleta, armazenamento e compartilhamento de informações. E o decreto para a criação da Agência Nacional de Proteção de Dados (ANPD), autarquia reguladora do tema, foi publicado ontem (27). Ou seja, a partir da sanção, todas as empresas e órgãos públicos devem estar preparados.

Não apenas empresas de e-commerce, telemarketing e redes sociais são sujeitas à Lei. Os mais diversos setores e serviços devem basear-se no consentimento e transparência para gerir dados de terceiros. “Empresas de todos os portes são alcançadas por essa legislação, afinal, quase a totalidade das organizações lidam com dados. Ainda que não lide diretamente com o consumidor, trata dados de colaboradores. E o risco à reputação é sempre muito relevante quando se trata de dados pessoais”, exemplifica Luiz Felipe Rosa Ramos, doutor em Direito pela Universidade de São Paulo (USP) e co-head de Proteção de Dados da Advocacia José Del Chiaro.

A lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outros. E o tratamento dos dados deve ser previamente informado ao cidadão. Há ainda situações mais sensíveis, como dados de crianças e adolescentes.

Não existe uma fórmula padrão para a adequação. Cada projeto dependerá das características e peculiaridades de cada organização, como lembra Maria Hosken, especialista em Direito Digital e Privacidade. “Empresas menos maduras deverão conhecer as regras a que estão submetidas em relação aos dados pessoais que manipulam e passar a mapear esses processos internamente. Todo o percurso deverá ser sempre formalizado, para prestação de contas. É essencial que o compliance em matéria de proteção de dados seja contínuo, para mitigar os riscos”, explica.

Administração de riscos

As organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. Quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes; elaborar planos de contingência; fazer auditorias; e resolver incidentes com agilidade.

É imperativa, segundo Maria Hosken, “uma mudança de paradigma”, criar uma conscientização sobre a forma com que as empresas tratam os dados pessoais, na forma com que se relaciona com parceiros e terceiros com os quais compartilham esses dados.

A LGPD é inspirada no regulamento europeu General Data Protection Regulation (GDPR). “Ao se espelhar nessa norma, o Brasil importa um sistema protetivo cujo eixo central é o titular dos dados, pessoa natural identificada ou identificável. Desse sistema, deriva uma série de direitos para os titulares e obrigações para os agentes responsáveis pelo tratamento”, completa Maria, lembrando que a lei brasileira não inclui o direito ao esquecimento, por exemplo.

Saiba Mais

O Presidente terá até 15 dias úteis para sancionar ou vetar o Projeto de Lei de Conversão a partir do recebimento da matéria. Não havendo manifestação do Executivo nesse período, o projeto de lei é considerado sancionado tacitamente. O Decreto que cria a ANPD apenas entrará em vigor no dia de nomeação do presidente da autarquia no Diário Oficial da União.

*Deveres das empresas *

Conhecer os dados pessoais que trata, armazena e/ou repassa. Fazer mapeamento dos processos de tratamento de dados: parceiros, clientes, colaboradores.

Criar equipe técnica para tomar decisões sobre dados: nomear, qualificar ou contratar o controlador, o operador e o encarregado que vão formar a equipe de tratamento de dados.

Atentar-se à permissão do titular, de forma explícita e inequívoca, que seus dados sejam tratados. O empresário deve fazer esse tratamento levando em conta princípios da LGPD (finalidade, adequação, livre acesso, qualidade dos dados, transparência, prevenção, não discriminação, responsabilização)

Adotar normas de governança para tratamento de dados pessoais, medidas preventivas de segurança. Replicar boas práticas e certificações aplicadas no mercado.

Construir planos de contingência para tratar incidentes de segurança e trate os problemas com agilidade. Titulares têm direito a acessar suas informações. Organizações devem estar preparadas para atender às solicitações

Deixe uma resposta

Compartilhe

VEJA OUTRAS NOTÍCIAS