A Lei Geral de Proteção de Dados (LGPD) Lei nº 13.709, de 14/8/2018 foi criada para proteger os dados pessoais de pessoas naturais, garantindo privacidade e segurança contra o uso indevido, comercialização ou vazamento desses. Em caso de descumprimento das normas de tratamento e segurança previstas, as empresas poderão ser responsabilizadas, com sanções que vão desde advertências e medidas corretivas até a aplicação multas, a depender da gravidade da falha.
Apesar de a LGPD estar em vigor desde o dia 18 de setembro de 2020, as sanções administrativas (incluindo multas) estão previstas para aplicação somente a partir de 1º de agosto de 2021 (por força da Lei 14.010/20). Sendo, portanto, de extrema importância que as empresas aproveitem este momento para se adequarem às novas exigências de privacidade de dados.
A primeira medida aconselhada às empresas é o mapeamento dos dados, do fluxo e do tratamento conferido. Para isso, é interessante a reunião de todos os setores da empresa para realização de um trabalho conjunto de organização e categorização de todos os dados encontrados (como nomes, endereços, e-mails, entre outros) e analisar como estão sendo tratados.
As empresas também precisarão promover ajustes de segurança, a fim de garantir que os dados (físicos ou digitais) sejam armazenados em conformidade com a LGPD. A contratação de um bom software de segurança é essencial, para dar mais proteção e agilidade no tratamento dos dados.
Antes da coleta dos dados, as empresas precisarão apresentar um termo de consentimento aos titulares para leitura e autorização. O termo precisa ser claro, direto e conter a finalidade dos dados pessoais. Caso as empresas necessitem comunicar ou compartilhar dados pessoais com outras instituições, também precisarão do prévio consentimento do titular dos dados (com exceção das hipóteses previstas na LGPD). Ademais, deverão conceder aos titulares o acesso aos dados obtidos, para que possam alterá-los, migrá-los ou eliminá-los do banco de dados da empresa, caso desejem.
Outra medida necessária é a contratação ou formação de um DPO (sigla de Data Protection Officer ou encarregado de proteção de dados) para supervisionar o processo de transição da empresa para as normas da LGPD e para representá-la em auditorias e/ou envios de relatórios, caso solicitado por autoridades ou pela ANPD, que é a Agência Reguladora da Proteção de Dados.
As empresas que não atenderem às novas exigências estarão sujeitas às penalidades previstas na LGPD, que vão desde advertências até a condenação ao pagamento de multa simples ou diária, equivalente a 2% do seu faturamento, com teto de R$ 50 milhões por violação. Portanto, é preciso que as empresas aproveitem esse momento que antecede a aplicação das sanções administrativas para adequarem seus processos de coleta, tratamento e segurança de dados pessoais, a fim de garantir segurança aos seus clientes e evitar multas dolorosas.
Autor: Jéssica de Souza Moreira
Advogada, pós-graduada em Direito Civil e Processual Civil no Unesc; Master Business Administration pela Southern States University (SSU), em San Diego, Califórnia/USA, membro da Comissão de Orçamento e Contas da OAB/ES, membro da ANADD e da ANPPD.
