Do hortifrutti a grandes agências, passando por hospitais, redes varejistas, sites de e-commerce. Não há nenhum tipo de empresa que escape à Lei Geral de Proteção de Dados Pessoais, que passa a vigorar em agosto de 2020. Com o final de ano chegando, a adequação a LGPD é item indispensável nos planejamentos estratégicos. Mesmo que haja uma possibilidade de prorrogação em jogo, não é bom contar com isso: o período de adaptação da lei já foi estendido uma vez e é equivalente ao prazo dado na União Europeia, de dois anos.
Apesar de estarmos a menos de um ano do fim do prazo, a maioria das empresas ainda sequer pensou no assunto, segundo dados do estudo Brazil IT Snapshot, da consultoria Logicalis. A pesquisa indica que apenas 17% das instituições consultadas dispõem de iniciativas concretas ou já implementadas em relação à lei. Somente uma em cada quatro empresas (24%) assegurou ter orçamento específico para colocar em prática ações que garantam a proteção de dados de acordo com as exigências legais – mesmo índice das que afirmaram que tiveram contato com o tema somente por meio de apresentações.
O estudo, realizado a partir de informações de 143 empresas brasileiras, tem sido utilizado como argumento para a necessidade de prorrogação da lei. O cenário indicado preocupa especialmente quando se leva em consideração a amostra da pesquisa, composta em sua maioria por companhias de grande porte (71%), dentre as quais 33% possuem faturamento anual superior a R$ 1 bilhão e dispõem de assessoria jurídica e recursos financeiros suficientes para investir em ações de adequação ao novo cenário jurídico que traz a LGPD.
Com os últimos passos para a implementação da legislação já dados (foi criado em outubro um comitê para compor a Autoridade Nacional de Proteção de Dados, agência reguladora que visa monitorar e fiscalizar a aplicação da regulação), a pergunta que fazemos é: você já conhece as principais mudanças que prega a lei? A sua empresa já iniciou a adequação necessária? Neste texto, explicamos porquê todos precisam se adequar à lei e listamos seis iniciativas a serem tomadas para isso.
A proteção de todos os dados
Em abril de 2018, os internautas brasileiros começaram a perceber uma nova solicitação cada vez que entrava em websites de cunho mais global: era preciso aceitar novos termos de privacidade para uso das ferramentas. Foi a aplicação da GDPR (sigla em inglês para Regulamento Geral de Proteção de Dados), lei que inspirou o novo marco regulatório que está prestes a valer no Brasil. A Lei 13.709, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), foi sancionada por Michel Temer em agosto de 2018, com objetivo de regulamentar o tratamento de dados pessoais por parte de empresas públicas e privadas.
A nova legislação deve ajudar a criar um ambiente de maior confiança entre consumidores e empresas. Um levantamento feito pelo Instituto Brasileiro de Defesa do Consumidor (IDEC) revelou que queixas envolvendo problemas com transparência e uso inadequado de dados pessoais cresceram 1.134% entre 2015 e 2017. A principal reclamação, correspondente a 63% dos casos, é devido à publicação, consulta ou coleta de dados pessoais sem autorização do consumidor.
Além de colocar o Brasil no patamar dos países que conferem segurança jurídica adequada à proteção de dados pessoais, a lei promete fomentar um novo ambiente de negócios baseado na Segurança da Informação. Segundo estudo da Brasscom e da consultoria Frost & Sullivan, a nova lei irá proporcionar investimentos na ordem de R$ 250 bilhões em tecnologias de transformação digital até 2021. O investimento global em segurança da informação em 2017 foi de cerca de US$ 85 bilhões, 7% a mais do que em 2016, estimou a empresa de pesquisas Gartner. Ainda assim, ciberataques causaram prejuízos estimados entre US$ 5 bilhões e US$ 10 bilhões em 2017.
Ao contrário do que a maioria prega, a adaptação das empresas e instituições à LGPD não se restringe aos dados armazenados de forma digital e vai além da importância de mostrar aos seus usuários que zelam pela privacidade e guardam de forma adequada seus dados. É considerado dado pessoal também aqueles contidos em pastinhas armazenadas no fundo do hortifrutti com as informações dos funcionários, por exemplo. Assim, qualquer empresa que mantiver informações, por mais básicas que sejam – como nome e e-mail – deve seguir os procedimentos previstos na nova lei.
Desta forma, além dos usuários e clientes de um negócio, a lei prevê proteção também para o público interno e os stakeholders. As empresas que não cumprirem com as novas exigências estarão sujeitas, além de outras penalidades previstas, a uma multa de até 2% de seu faturamento, dependendo do grau e tipo de violação.
Te convencemos do porquê é mais do que essencial conhecer as mudanças advindas da LGPD? É praticamente impossível uma empresa que não possua nenhum dado pessoal. Então vamos ao checklist das iniciativas a serem tomadas para se adequar ao marco regulatório.
- Conheça a fundo da LGPD – O principal ponto da lei é coibir o uso indiscriminado de dados pessoais informados por meio de cadastros e garantir ao cidadão o direito de saber qual será o tratamento de suas informações e para qual finalidade elas serão usadas. A lei determina que a empresa deve explicar ao proprietário da informação a razão pela qual vai usar algum dado seu e deve haver um consentimento prévio expresso da pessoa antes da utilização, assim como a transferência de informações para outras empresas. É interessante ler toda a lei para analisar como ela se aplica ao seu caso. Caso sua empresa mantenha cadastro de usuários, as pessoas poderão exigir saber quais informações suas estão armazenadas, ou ainda solicitar a exclusão de seus dados.
- Analise o que sua empresa já tem – Compreender quais são os dados pessoais armazenados na sua instituição, inclusive de funcionários, é essencial para iniciar adequação a LGPD. Mas é importante mapear todo o fluxo de dados pessoais: onde são armazenados, com quem são compartilhados, quais os mecanismos técnicos e administrativos de segurança dessas informações; se há transferência internacional de dados; a existência de Políticas, Normas e Processos Internos relacionados à Segurança da Informação, etc.
- Capacite seus profissionais para aplicar o marco jurídico – A lei exige que as instituições possuam em seu quadro profissional três figuras: o controlador, o operador e o encarregado. O controlador responsável pelas decisões sobre o tratamento dos dados e o operador por colocá-las em prática. Já o encarregado intermedia as relações entre o controlador, o indivíduo dono dos dados e a ANPD, agência governamental responsável pela fiscalização da lei. Para facilitar o processo, é interessante que todos esses papeis sejam exercidos por profissionais que já integrem o quadro da empresa, sendo capacitados para tal.
- Adote o Privacy by Design: um dos novos conceitos trazidos pela lei é o de pensar a proteção dos dados desde a concepção do produto ou sistema, sendo incorporado diretamente na própria arquitetura do modelo de negócios ou estrutura física/tecnológica. O objetivo desta abordagem é que que o próprio usuário seja capaz de preservar e gerenciar a coleta e o tratamento de seus dados pessoais.
- Crie um Programa de Compliance em Proteção de Dados Pessoais – Compliance é a capacidade de uma instituição estar em conformidade com as leis, padrões éticos, regulamentos internos e externos. Uma espécie de linha condutora que guia o comportamento de uma empresa perante o mercado em que atua. Assim, ao criar um programa de compliance em proteção de dados pessoais a empresa poderá definir qual estratégia de adequação à lei mais se ajusta à sua realidade.
- Busque uma consultoria ou se ajuste a GDPR – Essa é mais uma dica de amigo. Caso tenha dificuldade na adequação ao novo cenário criado pela LGPD, busque uma consultoria. Há empresas que unem TI e advocacia que se especializaram na adequação à lei. Outra possibilidade é se ajustar a GDPR. Embora seja válida apenas para as empresas baseadas na Europa, que atuam no continente ou que utilizam dados de cidadãos europeus, a GDPR é mais detalhada do que a lei brasileira e pode ajudar a suprir algumas lacunas ainda não reguladas em nossa legislação. Além disso, seguir as boas práticas recomendadas pela GDPR oferece a vantagem de tornar sua instituição alinhada às grandes empresas de globais – que têm estendido o cumprimento das exigências a todos os seus usuários, independentemente do país de origem.