Adaptações à LGPD: Por onde minha empresa deve começar?

Conforme já explicamos anteriormente, as penalidades da Lei Geral de Proteção de Dados (LGPD) serão aplicadas a partir de agosto de 2021. Mas a lei está vigente e a responsabilidade civil das empresas já está estabelecida. Portanto, as pessoas que se sentirem lesadas no tratamento dos seus dados pessoais podem entrar com processo judicial com base na LGPD.

Antes de aprofundar o tema, é importante lembrar que, depois dessa data, quem infringir as normas pode ser multado em 2% do faturamento bruto, podendo chegar a R$ 50 milhões. Portanto, este período que antecede as sanções deve ser encarado como uma oportunidade de se adaptar à lei.

A seguir, confira casos recentes que chamaram a atenção sobre vazamento de dados pessoais e entenda quais devem ser as principais medidas para sua empresa se ajustar à nova legislação.

Vazamento de dados da Saúde

No final de 2020, dois casos acenderam o alerta sobre a má utilização de dados armazenados pelo Ministério da Saúde. Em novembro, um vazamento de informações expôs pacientes com diagnósticos suspeitos ou confirmados de Covid-19. A disponibilização irregular de senhas em um site deu acesso a dados como CPF, endereço, telefone e histórico de doenças pré-existentes de mais de 16 milhões de pessoas em todo o Brasil.

Poucos dias depois, uma outra falha do Ministério expôs dados de mais de 200 milhões de brasileiros. Nesse caso, ficaram abertas para consulta as informações pessoais de qualquer pessoa cadastrada no SUS ou beneficiária de um plano de saúde. Mais uma vez, o problema teria sido causado pela exposição indevida de login e senha de acesso ao sistema que armazena os dados cadastrais de todos os brasileiros no Ministério da Saúde.

Nesses casos, já com a LGPD em vigor, as pessoas que tiveram seus dados pessoais vazados poderiam buscar ações judiciais contra os responsáveis, com base na Lei Geral de Proteção de Dados Pessoais.

Como se adaptar à LGPD

No momento que vivemos atualmente é fundamental que gestores de negócios compreendam a importância do tratamento e do cuidado dos dados. Todo o processo vai merecer atenção especial para que os profissionais saibam como agir e abordar essas informações, além de treinar seus colaboradores.

O primeiro passo é identificar e entender qual é a situação atual no tratamento de dados por conta da companhia. Em especial, a forma como são captados, armazenados e serão utilizados posteriormente. Esse primeiro momento será essencial para desenvolver estratégias sólidas para a realização da tarefa. Incluindo, por exemplo, análise jurídica e segurança da informação.

Análise jurídica

O advogado deverá ser uma das peças centrais nesse processo de adaptação, realizando consultoria e assessoria para adequar a empresa legalmente. Portanto, é fundamental que esse profissional estude detalhadamente a Lei. Além disso, ele deve orientar os departamentos de TI e Marketing para rever os termos de uso da política de privacidade. Seu trabalho também será significativo na revisão contratual – tanto de trabalhadores quanto de fornecedores que de alguma forma tratem dados pessoais.

Segurança da Informação

Como a LGPD prevê utilização de medidas técnicas e administrativas aptas a proteger os dados, a segurança da informação das empresas também é muito importante. Pois, ao proteger os dados de acessos não autorizados, violações e vazamentos, a organização também protege seus ativos.

Conceitos como privacy by design e privacy by default são práticas que prometem auxiliar o cumprimento da lei e também ressaltar o importante papel da TI neste cenário. Então, se incorporar segurança e privacidade ao desenvolvimento e à arquitetura das soluções já era fundamental, agora isso também é uma necessidade legal.

Data Protection Officer (DPO)

Criar mecanismos para que o usuário possa entender exatamente como sua empresa utilizará as informações também são de suma importância. Neste contexto, ganha destaque a recomendação de nomear um Encarregado de Proteção de Dados, também chamado de Data Protection Officer (DPO).

De forma geral, esse profissional é um especialista em proteção de dados e monitora empresas para garantir que elas estejam em compliance com as regras e boas práticas do setor. Esse profissional também deve intermediar os interesses da empresa e do titular dos dados, além de ser a ponte entre a empresa e a Autoridade Nacional de Proteção de Dados (ANPD). Assim, o titular dos dados pessoais também passa a ter permissão de solicitar a alteração dos dados já fornecidos, assim como a possibilidade de pedir a exclusão de suas informações do banco de dados.

Contudo, a LGPD não obriga a adoção de um DPO para todas as empresas. Atualmente, isso é exigido apenas para aquelas que processem mais de 5 mil registros em um período de 12 meses, independentemente de seu porte e faturamento. Porém, ao definir um DPO, a organização consegue garantir uma maior assertividade às suas iniciativas e mitigar futuros riscos com multas.

_________________________________________________________________________________________________________________________________________________

Em breve, você poderá conferir no blog L8 um artigo no qual explicaremos como os sites devem adequar seus Termos de Uso para ficar de acordo com a LGPD. Fique ligado!

Leia também: