Recentemente um vazamento de dados pessoais expôs informações de mais de 223 milhões pessoas, 104 milhões de veículos e 40 milhões de empresas. Além disso, detalhes como endereço, número de telefone, formação acadêmica, média salarial e outros dados de 140 milhões de pessoas foram divulgados indevidamente. As consequências são inúmeras e podem resultar em crimes financeiros, fraudes, criação de cadastros falsos, abertura de contas, falsificação de documentos e até mesmo, sequestros relâmpagos.
Esse cenário traz à tona a importância da implementação da Lei Geral de Proteção de Dados (LGPD) em empresas. Apesar de ter sido aprovada em 2018 e estar em vigor desde setembro de 2020, as punições e multas por desobediência à lei serão aplicadas apenas a partir de agosto deste ano, como forma de atender aos pedidos das empresas, que necessitam de tempo para ajustarem os seus processos e se adequarem à nova legislação.
“A LGPD veio para inaugurar uma cultura de privacidade e proteção de dados no Brasil. Sua grande importância advém do fato que, a partir de agora, os cidadãos terão maior controle e garantia de acesso às informações sobre seus dados pessoais. Todos os cidadãos deverão autorizar de maneira expressa a coleta de dados pelas empresas e órgãos públicos”, afirma a publicitária Vanessa Parreira, desde 2018 à frente da Uniquely WSI, consultoria e agência de marketing digital.
Cada vez que uma empresa coleta e processa os dados pessoais de um indivíduo, ela o faz como um ‘controlador’ ou um ‘processador’ desses dados. No Capítulo 1, Artigo 4 da GDPR, a definição de cada um é:
‘Controlador’ é “uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina os fins e os meios do tratamento de dados pessoais.”
‘Processador’ refere-se a “uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador”.
“Se uma empresa controla e é responsável pelos dados pessoais que mantém, ela é o controlador desses dados. Se, por outro lado, alguém detém os dados pessoais, mas alguma outra empresa decide e é responsável pelo que acontece com esses dados, então essa outra empresa é o processador desses dados”, explica Vanessa.
Vanessa Parreira: "cultura de privacidade". Foto: Divulgação
Como é o processo de implementação?
O grau de complexidade do processo de implementação da LGPD dentro das empresas, irá variar bastante de acordo com o tamanho da empresa e do segmento que ela atua. De uma forma geral, alguns passos essenciais incluem:
- Conheça tudo sobre a lei (e como ela impacta seu segmento);
- Faça um mapeamento de todos os dados disponíveis na sua empresa e estude os riscos de vazamento ou de tratamento inadequado destes dados;
- Revise os seus documentos (internos e externos);
- Garanta a transparência do seu negócio;
- Nomeie um comitê interno responsável pela LGPD;
- Valide as bases legais para os dados pessoais tratáveis;
- Defina uma forma de gerenciar pedidos de titulares e de órgãos reguladores;
- Ofereça treinamento para a equipe que lida diretamente com os dados;
- Faça um plano de segurança da informação.
Quais os riscos das empresas que não estão em conformidade com a LGPD?
Todas as empresas brasileiras, independentemente de seu segmento, porte, número de funcionários, regime fiscal ou qualquer outro critério, precisarão adaptar suas práticas comerciais ao que é demandado e previsto pela lei da LGPD.
“Em caso de não cumprimento destas determinações, sua estrutura poderá ficar abalada, o que poderá resultar em graves problemas de governança. E, uma organização que não possui critérios de compliance, pode vir a acabar com sua imagem e até mesmo falir”, destaca Vanessa.
Para as empresas que não cumprirem a LGPD, existem dois tipos de sanções previstas: