Criada em dezembro de 2018, a ANPD (Autoridade Nacional de Proteção de Dados) foi aprovada este mês e será responsável por regular e aplicar a LGPD. Com regras rígidas e multas altíssimas, as empresas estão sendo forçadas a iniciarem projetos para se adaptarem à lei que entrará em vigor já em 2020. Para quem ainda nem começou, o tempo é curto e o risco de no próximo ano não estar em conformidade com a legislação é grande.
A regulamentação traz muitos requesitos, e a ANPD terá o dever de transmitir o conhecimento necessário para adequação à lei. A autoridade também deverá aplicar sanções caso haja alguma infração ou descumprimento da lei. Portanto, é preciso entender os impactos que a LGPD pode ter no negócio, ficar atento às exigências e aos prazos estipulados.
A Lei Geral de Proteção de Dados (LGPD) foi publicada em agosto de 2018, meses depois da GDPR (General Data Protection Regulation) entrar em vigor na Europa. Desde então, a lei tem repercutido no mundo todo, até porque as empresas que possuem algum vínculo com a União Europeia também precisam se adequar à lei. Aqui no Brasil, a empresa que infringir a lei pode sofrer uma multada de 2% do faturamento global anual ou até 50 milhões de reais.
A lei de proteção de dados é um grande avanço do direto à segurança e privacidade das informações pessoais de todo cidadão. O processo de privacidade e proteção de dados aqui no Brasil vem desde os 90, aproximadamente, com projetos digitais do comércio eletrônico e coleta de dados pessoais. E hoje o que acontece é uma rápida transformação, com uma lei robusta que impacta empresas do mundo todo.
A Autoridade de Nacional de Proteção de Dados visa direcionar a implementação da LGPD que estabelece princípios e deveres das organizações no tratamento dos dados. O órgão a responsabilidade de orientar, elaborar diretrizes, fiscalizar, promover o conhecimento e aplicar sanções. Atrelada temporariamente à Presidência da República, a autoridade ainda será submetida ao plenário da Câmara de Deputados.
De modo geral, de acordo com Paulo Poi, Diretor de Compliance, Riscos e Governança na Cipher, "a ANPD será responsável não apenas por fiscalizar o cumprimento da lei de proteção de dados, mas também definir padrões técnicos de segurança, métricas para cálculo de multas e colaborar para o aprimoramento contínuo da proteção de dados nacional". Mas as atribuições e competências da autoridade precisam passar pelo Congresso, assim como o direcionador que ainda não foi definido.
Na visão de Paulo, um dos grandes desafios da autoridade é "conseguir reunir e equalizar o conhecimento coletivo das mais diversas áreas e traduzi-los em padrões técnicos que sejam facilmente adotados e ter 'musculatura' suficiente para fiscalizá-los".
As empresas que ainda não iniciaram o projeto para se adequarem e estão aguardando sair todas as decisões do Congresso correm um grande risco. Como os prazos já estão muito curtos, Leandro Bissoli, Sócio na Pires & Gonçalves Advogados Associados, adianta que se os tomadores de decisão esperarem tudo acabar, não vai dar tempo de implementar.
O advogado ressalta que o ponto crítico aqui no Brasil é que a autoridade nacional abriu uma série de normativas complementares, princípios e controles e tudo continua indefinido. Segundo Leandro, algumas empresas diligentes estão olhando o que o mercado lá fora já faz, focando no GDPR da União Europeia e importando boa parte dos princípios de proteção de dados, para começar a implementação.
Paulo Poi explica que "o essencial é que as empresas consigam criar um comitê interno multidisciplinar para criar uma governança de privacidade de dados e traçar uma estratégia de adequação que atenda ao prazo imposto pela lei, além de buscarem auxílio junto a empresas especializadas em segurança da informação e escritórios de advocacia especializados em direito digital".
Ele enfatiza que as principais medidas a serem adotadas está no levantamento dos dados pessoais, saber a sua real necessidade e determinar quais controles técnicos ou administrativos serão utilizados para protegê-los. "É interessante que essas empresas já elejam o responsável (DPO – Data Protection Officer) pela privacidade de dados pessoais que servirá de interface entre a empresa e o mundo externo", conclui.
A lei de proteção de dados estabelece uma série de regulamentações para o tratamento de dados. As organizações enfrentam um dilema quando se trata de entender como tratar os dados em cada área individualmente e como continuar potencializando seu negócio com as ferramentas de BI.
É importante fazer um mapeamento do fluxo do tratamento dos dados em todos os setores da organização, para entender desde a origem até a finalidade das informações que são utilizadas pela empresa.
A primeira coisa é identificar se a utilização de determinado dado está amparo no legítimo interesse da empresa (questão que ainda deve entrar em discussão pela autoridade nacional). Leandro explica que antes de utilizar um dado é preciso mapear e ter alguns cuidados como:
1 – Saber qual é a fonte que se extraiu essa informação;
2 – Entender qual é a finalidade dela;
3 – Qual é o tipo de tratamento e análise que é permitido fazer;
4 – Em quais canais será divulgado o relatório com determinadas informações;
5 – Posso expor quais tipos de dados e quais não?;
6 – Com quais terceiros as informações podem ser compartilhadas;
Outro ponto bastante relevante é ter mecanismos de gerenciamento de dados para ajudar em todo esse processo. Já falamos aqui no blog da Ibramerc que Governança Corporativa é uma aliada para gerir os dados. Para entender melhor e ficar por dentro desse assunto, ACESSE nosso artigo.