As perspectivas e desafios da LGPD para 2021

Você sabe o que é LGPD? Quais os desafios impostos pela nova lei? Quais as perspectivas dos principais setores da economia em 2021, considerando a necessidade de atender a uma nova conformidade legal?

Leia mais:

“Novo Normal” está contribuindo para o aumento dos crimes cibernéticos
Os impactos da reformulação na Lei de Informática
4 dicas para uma migração entre Tenants do Microsoft 365 com sucesso
Senado aprova adiamento da LGPD para agosto de 2021

A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/2018) dispõe sobre o tratamento de dados pessoais. A definição de tratamento de dados é abrangente, e, inclui toda e qualquer operação realizada com dados pessoais durante o seu ciclo de vida. Dentre essas operações estão: a coleta, organização, armazenamento, utilização, compartilhamento e eliminação de informações relacionadas as pessoas naturais identificadas ou identificáveis.

Após muitos adiamentos e indefinições, a MP 959/2020 foi sancionada e convertida na Lei 14.058/2020. Com isso, a LGPD passou a vigorar, a contar de 18 de setembro de 2020. Entretanto, em virtude da pandemia, a Lei 14.010/2020 também alterou a vigência da LGPD, mas apenas para fins de aplicação das sanções e multas previstas nos arts. 52 a 54 da LGPD (Lei 13.709/2018), que passam a vigorar somente a partir de 01 de agosto de 2021. Cabe destacar que apesar do adiamento na aplicação de sanções e multas, a Lei já está em vigor e as Organizações que ainda não se adequaram já se encontram em desconformidade legal. Se esse é o caso da usa Organização, é bom acelerar o processo. Há muitos projetos e ações a serem implementadas e o tempo é cada vez mais exíguo.

A Lei trouxe garantias importantes e confirmou direitos individuais dos cidadãos (titular dos dados) já tutelados na Constituição e previstos em outros diplomas legais, como aqueles garantidos pelo CDC – Código de Defesa do Consumidor. Dentre os direitos garantidos pela LGPD estão, o direito de acessar os seus próprios dados, a confirmação da existência de tratamento, a anonimização, bloqueio ou eliminação de seus dados pessoais (exceto quando houver exigência legal) do ambiente de responsabilidade do Controlador (Organização). Desde a entrada em vigor da LGPD qualquer tratamento de dados pessoais deve ser realizado a partir da definição de uma finalidade legítima e amparada em uma das 10 (dez) hipóteses de tratamento de dados pessoais (bases legais). Dentre as bases legais previstas, podemos citar o cumprimento de obrigação legal ou regulatória por parte do Controlador (Organização), a preparação ou execução contratual, o legítimo interesse do Controlador (a mais subjetiva e polêmica delas) ou mediante o consentimento expresso do titular, que é a regra.

A Lei é aplicável a qualquer pessoa natural ou pessoa jurídica (de direito público ou privado), desde que o tratamento dos dados pessoais ou o fornecimento de bens ou serviços sejam ofertados em território nacional. Lembrando que o conceito de tratamento de dados é abrangente, conforme exemplificado. Dessa forma, por exemplo, os grandes players de tecnologia do mercado, mesmo que tenham a sua sede em outros países ou ainda que mantenham a hospedagem dos dados pessoais fora do território nacional, estão sujeitos à LGPD, uma vez que fornecem ou tratam dados pessoais que foram coletados no Brasil.

No âmbito do mercado interno, praticamente a maioria das organizações (públicas ou privadas) estão sujeitas a aplicação da LGPD. Essa lista vai desde a farmácia da esquina até grandes empresas e órgãos ou entidades da Administração Pública. Quer saber se a sua Organização precisa estar em conformidade? Basta um simples questionamento. A sua Organização realiza o tratamento de dados pessoais de seus colaboradores, parceiros ou clientes? Se a resposta for sim, o compliance com a LGPD é obrigatório. A Lei prevê algumas excepcionalidades à regra, como no caso de pessoas naturais que utilizam dados pessoais para fins exclusivamente particulares e não econômicos, dados pessoais utilizados exclusivamente para fins jornalísticos, artísticos, de Segurança Pública ou para atender às Políticas Públicas, dentre outras.

Por motivos diversos, e, em potencial, por conta das incertezas do mercado e dos efeitos econômicos negativos produzidos pelo cenário da pandemia, muitas Organizações adiaram ou não demonstraram interesse em iniciar as tratativas de Compliance com a LGPD. Em alguns casos, observa-se até mesmo o descrédito em relação a execução e fiscalização da Lei. Em outros, há a simples falta de conhecimento sobre o assunto ou de assessoramento adequado. É importante destacar que a segurança e privacidade sobre os dados pessoais não são apenas boas práticas, mas sim requisito essencial de conformidade legal que precisa ser atendido.

Para os incrédulos ou desatentos, resta observar que a ANPD (Autoridade Nacional de Proteção de Dados Pessoais), órgão responsável pela fiscalização e aplicação das sanções e multas já foi criada (Lei nº 13.853/2019). Incialmente será órgão da Administração Direta, subordinado a Presidência da República. Contudo, a sua condição é transitória. No prazo de até 02 (dois) anos, a mesma pode se tornar uma Autarquia Especial, o que vai ampliar a sua independência e o seu poder de atuação. O produto da arrecadação das multas aplicadas pela ANPD será destinado ao Fundo de Defesa de Direitos Difusos (incluído pela Lei nº 13.853/2020). Cabe lembrar também que a estrutura regimental e de cargos foi aprovada (Decreto nº 10.474/2020), bem como já houve a nomeação do Conselho Diretor (Decreto Nº 05/2020). Isso sinaliza que em 2021 a ANPD vai estar pronta para atuar plenamente. Se ainda não se convenceu, basta observar a atuação das agências de proteção de dados europeias, que vem aplicando multas de alto valor para as organizações que descumprem o regulamento europeu (GDPR).

A desconformidade com a LGPD pode custar caro para Organização, e colocar em risco até mesmo a sua existência. A Lei prevê multas e sanções rígidas. Uma Organização (Controlador) que der causa a um incidente de segurança com os dados pessoais pelos quais seja o responsável ou por entidade que esteja realizando o seu tratamento (Operador) por determinação de um Controlador pode receber a aplicação de multa correspondente a até 2% do seu faturamento anual, limitado ao valor de até 50 milhões de Reais. Lembrando que a multa é por infração. Isso significa que um ambiente em desconformidade pode promover inúmeras infrações.

Apesar da preocupação de empresários e gestores de empresas estatais de direito privado em relação ao valor da multa, este pode ser o menor dos seus problemas. Para grande parte das Organizações, senão todas, a sua reputação e imagem são seus maiores ativos. É preciso ter em mente que, havendo um incidente de segurança com os dados pessoais de clientes, colaboradores, parceiros, etc., a reputação e a imagem da empresa pode ser parcial ou totalmente comprometida e o seu valor de mercado ou de suas ações (quando aplicável) podem “despencar”. Um exemplo de risco nesse sentido, é a probabilidade da ANPD determinar que o Controlador, em caso de incidentes importantes, tenha que fazer o reconhecimento público do incidente, incluindo a sua publicação. Muitos não se atentam, mas uma situação dessas pode depreciar a reputação e imagem da Organização, o que vai exigir a implementação de um processo de gestão de crise, um dos processos que integram um Programa de Governança em Segurança & Privacidade, por exemplo. Esse é apenas um processo, dentre tantos outros que precisam ser implementados.

O fato é que, para atuar preventivamente e evitar situações como essas, as Organizações vão enfrentar muitos desafios. O processo de adequação da Organização em relação aos requisitos da LGPD vai exigir esforço e recursos. Esse processo deve ser realizado de forma estruturada e vai envolver muitas frentes de trabalho, aquisições de ativos, contratação de consultoria, sensibilização e mobilização de toda a Organização.

Após ministrar dezenas de treinamentos na área de compliance e implementação da LGPD, desenvolvi um método de implementação em 7 etapas: Mobilização e Treinamento, Organização, Preparação Interna, Diagnóstico, Implementação, Governança em Privacidade e Monitoramento, Avaliação e Melhoria Contínua. As etapas incluem uma série de projetos, atividades e ações, como por exemplo, Assessment Inicial, mobilização e treinamento da Organização, elaboração de políticas, adequação de contratos, mapeamento de processos e fluxo de dados, análise de riscos, inventário de ativos, etc.

Cabe ressaltar que para o sucesso do processo de adequação é fundamental iniciar pela mobilização e treinamento de todos os gestores de áreas que tratam dados pessoais, e, em seguida, seguir para as etapas seguintes do modelo proposto. Mobilizar e treinar apenas a área de Tecnologia da Informação é insuficiente. É oportuno lembrar que em cada unidade administrativa há um gestor responsável pela execução de processos internos que são afetados por regras de compliance e por colaboradores que precisam ter o conhecimento adequado sobre os requisitos da Lei na execução de suas atividades. Independente do meio utilizado ou formato, os dados fluem por processos executados nos diversos setores da Organização, onde são tratados (acessados, coletados, processados e compartilhados, etc.). Lembra? Um incidente de segurança pode representar uma ou mais infrações, por consequência, sanções e multas; e eles podem ocorrem em qualquer um desses ambientes. Por isso, os controles devem ser aplicados em todas as camadas. Além disso, não é em vão relembrar que a Organização não realiza apenas o tratamento de dados no formato digital, mas também no formato físico (relatórios, formulários, documentos impressos, etc.). Não há dúvidas, que algumas áreas vão precisar ter um envolvimento maior. Dentre elas, a Governança, o Controle Interno, a área de TI, o setor Jurídico, o setor de Recursos Humanos, Marketing, Gerenciamento de produtos e serviços, dentre outros, dependendo do tipo de organização. Contudo, a responsabilidade de adequação à LGPD é de toda a Organização.

Nesse contexto conturbado, em virtude da pandemia, o Compliance com a LGPD tem sido, de certa forma, despriorizado ou até mesmo negligenciado pelas Organizações. Entretanto, com prazo cada vez mais exíguo, frente aos riscos de sanções e multas, e, em virtude da quantidade de projetos e ações que precisam ser implementadas, a expectativa é que em 2021 haja uma corrida desenfreada por consultoria, treinamentos e por profissionais qualificados para atuar nos diversos segmentos de mercado, incluindo uma forte demanda para a contração de profissional ou de serviços de Encarregado de Proteção de Dados, popularmente chamado de DPO – Data Protection Officer.

O conceito de COMPLIANCE visa agregar valor ao negócio e assegurar a sobrevivência da empresa. Os empresários e gestores precisam ter um olhar positivo. Isso vale para a LGPD. Aliás esse é um dos princípios do Privacy-By-Design (Full Functionality – Positive-Sum, not Zero-Sum) e que permite compreender os benefícios da implementação da LGPD, tais como: identificação de riscos e prevenção de problemas, correção efetiva de não-conformidades, aumento da governança, melhoria da eficiência e qualidade dos serviços ou produtos, consolidação de uma cultura organizacional, ganho de credibilidade junto aos seus clientes, ganho de vantagem competitiva em relação à concorrência; atração de investidores e investimentos e garantia de perenidade ou sustentabilidade da Organização.

Referência: Eduardo Nunan

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!