LGPD completa quatro anos: confira todos os avanços que essa ousada e inovadora lei proporcionou

rawpixel - www.freepik.com A Lei Geral de Proteção de Dados (LGPD) foi assinada por Michel Temer em 14 de agosto de 2018

Neste 14 de agosto de 2022, a Lei Geral de Proteção de Dados (LGPD) completa quatro anos de promulgação. Ou seja, nessa mesma data no ano de 2018, a lei foi assinada pelo presidente Michel Temer e publicada. No entanto, só entrou em vigor em setembro de 2020. Desde então, todas as empresas são obrigadas a se adequarem. Confira os principais acontecimentos da LGPD e os dez pontos que resumem nossa lei.

Principais acontecimentos:

• Criação da LGPD: Lei Geral de Proteção de Dados Pessoais (LGPD), em 14 de agosto de 2018 – Lei 13.709/2018.
• Criação da ANPD: Autoridade Nacional de Proteção de Dados (ANPD), em 27 de dezembro de 2018 – MP-869/2020.
• Entrada em vigor da LGPD: Aprovada pelo Senado Federal em 18 de setembro de 2021 – MP-959/2020
• Nomeação do CNPD: Conselho Nacional de Proteção de Dados (CNPD), pelo decreto de 9 de agosto de 2021

Resumo da LGPD

Proteger dados pessoais  (Art. 1 – LGPD)

Nome, RG, CPF, endereço, foto e outros dados que podem identificar um indivíduo são tidos como pessoais. A partir de agora, esses dados devem ser protegidos pelas empresas que os detêm, não podendo compartilhar com outras sem prévia ciência dos indivíduos, a não ser em cumprimento de outra lei.

Nomear um DPO/encarregado (Art. 41 – LGPD)

Assim como um contador, grande parte das empresas devem nomear um Data Protection Officer (DPO), ou Encarregado pelo Tratamento de Dados, é o responsável por orientar a empresa, os funcionários e os prestadores de serviço sobre as práticas para proteção dos dados pessoais. O nome do seu DPO e a forma de contato (e-mail ou telefone) devem estar publicados, preferencialmente no site da sua empresa. Veja quem são os profissionais de privacidade de dados, selecionando o seu Estado no site da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD).

Implementar a segurança da informação (Art. 46 – LGPD)

A partir de agora é obrigatório que as empresas adotem medidas de segurança da informação que protejam dados pessoais. Essas medidas devem ser técnicas, como: softwares de antivírus nos computadores, firewall, rotinas de backups etc. Também devem ser executadas medidas administrativas: políticas de segurança da informação e privacidade, temos de confidencialidade, cláusulas contratuais de privacidade, termos de responsabilidades, políticas de mesa limpa etc. Para implementar essas medias, os DPOs das empresas devem buscar profissionais das áreas de segurança e tecnologia da informação, advogados e outros profissionais envolvidos com governança.

Permitir os direitos dos titulares (Art. 18 – LGPD)

O empoderamento dos titulares é um dos fatores mais marcantes na LGPD. A lei permite agora que os clientes, funcionários e qualquer outro titular exijam que a empresa entregue seus direitos, como o direito de acesso aos dados pessoais, direito de exclusão, direito de correção, direito de portabilidade, entre outros. Cabe às empresas verificarem se já estão prontas para entregar esses direitos caso haja solicitações — e dentro de até 15 dias úteis para alguns direitos específicos.

Respeitar os Princípios de Tratamento (Art. 6 – LGPD)

Como forma de mudança de cultura, a LGPD traz princípios que devem ser respeitados por todos dentro das empresas. Entre eles, temos o princípio da necessidade, onde deve-se coletar apenas os dados pessoais necessários. Também o princípio da finalidade, que consiste em deixar claro para que a empresa está coletando aqueles dados. Outros princípios também são citados pela lei: adequação, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

Enquadrar-se em alguma hipótese de tratamento (Art. 7 – LGPD)

No senso comum ficou difundido erroneamente que agora, com a LGPD, basta ter o “consentimento” das pessoas que está tudo OK. Porém, a dra. Silvia Brunelli, advogada especialista em LGPD, alerta que essa não é a única hipótese de tratamento existente, e as empresas devem estudar qual é a mais adequada. Entre as existentes, destacam-se cumprimento de obrigação legal, execução de políticas públicas, legítimo interesse, tutela da saúde e execução de contratos. Consulte o seu DPO para verificar qual a melhor hipótese de tratamento para os processos da sua empresa.

Indenizar os titulares (Art. 42 – LGPD)

Caso haja incidentes impactantes em dados pessoais com seus titulares afetados, a LGPD prevê que sua empresa, como responsável pelo tratamento desses dados, deverá indenizar os titulares que tiveram suas informações vazadas, acarretando prejuízos aos envolvidos. Para Paulo Emerson, CEO do Instituto INMEAR, as câmaras privadas especializadas em LGPD podem ser acionadas para mediação de conflitos entre titulares e empresas. As indenizações também podem variar conforme tipo de dado vazado e o risco para os indivíduos. Segundo a especialista em gestão de riscos digitais Dionice de Almeida, muitas empresas já estão buscando seguros contra ataques cibernéticos para minimizar os impactos financeiros em caso de invasões, uma vez que, em um mundo cada vez mais conectado, todas as empresas estão sujeitas a sofrerem ataques hackers que impacte dados pessoais.

Reportar os incidentes de dados pessoais (Art. 48 – LGPD)

Caso sua empresa tenha sofrido ataque que acarrete incidentes com dados pessoais, é necessário informar à Autoridade Nacional de Proteção de Dados (ANPD). Essa, por sua vez, realizará o registro do incidente e poderá te fornecer instruções sobre como proceder com o ocorrido de modo a prevenir e minimizar os danos para todos. Ao proceder com o reporte para a ANPD, deve ser informado: a) a descrição da natureza dos dados pessoais afetados; b) as informações sobre os titulares envolvidos; c) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; d) os riscos relacionados ao incidente; e) os motivos da demora, no caso de a comunicação não ter sido imediata.

Cumprir as Sanções Administrativas (Art. 52 – LGPD)

Após ciência da ANPD sobre os incidentes com dados pessoais, a autoridade pode, após um processo fiscalizatório, aplicar algumas sanções, entre elas: a) advertência, com indicação de prazo para adoção de medidas corretivas; b) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica, limitada, no total, a R$ 50 milhões por infração; c) multas diárias; d) publicização da infração após devidamente apurada e confirmada a sua ocorrência, bloqueio ou eliminação dos dados pessoais.

Adotar Práticas de Governança (Art. 50 – LGPD)

Através de processos já padronizado, as empresas devem adotar práticas que favoreçam maior controle dos processos que lidam com dados pessoais. Diversas práticas já existentes podem ser utilizadas como: COBIT, ITIL, ISO-27001, ISO-27701, entre outras. Sua empresa também pode buscar certificações tanto corporativas como para os profissionais, uma vez que essas ações de governança e controles internos podem ser enquadradas no princípio da prevenção, favorecendo a mitigação de vazamento de dados. Converse com o seu DPO sobre quais práticas para governança de TI, governança de dados e governança corporativa sua empresa pode adotar.

Próximas ações:

Regulamentações

Diversos pontos da LGPD ainda carecem de regulamentações e, para isso, a Autoridade Nacional de Proteção de Dados (ANPD) tem colaborado para publicar os direcionamentos necessários para melhor compreensão do tema.

Fiscalizações

Um dos pontos mais esperados são as fiscalizações por parte da própria ANPD, que em breve devem se iniciar. Um dos pontos necessários é definir a dosimetria das multas, de modo que deixe claro quais pontos serão fiscalizados pela autoridade, e as definições para riscos elevados.

A lei vai pegar ou não?

Nesses quatro anos de LGPD, foi feito muito sobre o tema. Ela é uma das leis que mais impactaram os CNPJs do Brasil nos últimos 30 anos. Para quem ainda acredita que a LGPD “não vai pegar”, veja no Portal de Violações da ANPPD as multas já aplicadas sobre o tema. Vale lembrar que nesse dia 14 de agosto também está para ser aprovado no Senado Federal o PL-2076/2022, que propões essa mesma data para ser oficialmente reconhecida como O Dia Nacional da Proteção de Dados, onde poderão ser favorecidas diversas ações educativas sobre o tema nas escolas, empresas e universidades; tudo para promover a conscientização do tema.

A LGPD faz jus a essa data especial; em alusão, por fazer aniversário hoje, é uma “lei leonina”; chamativa, complexa, única, inovadora, ousada, inteligente, que rouba a atenção sempre que aparece nos textos, que exige adaptação de diversas outras leis existentes. Mas também é uma lei que exige transparência, justiça, precisão e chama a atenção por diferente de muitas. É uma lei que veio para regulamentar uma área técnica. Parabéns ao Brasil, por possuir uma das leis de proteção de dados mais técnicas do mundo. Parabéns à LGPD por esses 4 anos!

Extra: Pessoalmente, eu, Davis Alves, aprecio em especial essa data de 14 de agosto por também poder comemorar com a LGPD mais um aniversário nessa mesma data; talvez sinal de predestinação, por trabalhar com algo que veio como presente, justamente em 2018, quando comemorava meus 31 anos. Sinal de que estamos no caminho correto, tendo como missão de vida contribuir com a evolução da Lei Geral de Proteção de Dados no Brasil. Agradeço à equipe editorial da Jovem Pan por essa oportunidade! 

14 de agosto:

• Aniversário da LGPD
• Dia da Proteção de Dados no Brasil
• Aniversário do Prof. Davis Alves

Quer se aprofundar no assunto, tem alguma dúvida, comentário ou quer compartilhar sua experiência nesse tema? Escreva para mim no Instagram: @davisalvesphd.

Leia também

Confira cinco medidas de proteção para sistemas empresariais

*Esse texto não reflete, necessariamente, a opinião da Jovem Pan.