LGPD - Quais os impactos da Lei Geral de Proteção de Dados nos negócios?
A LGPD, sigla da Lei Geral de Proteção de Dados (Lei 13.709/18), que entrará em vigor em agosto de 2020, estabelece normas rigorosas para o tratamento de dados pessoais, impressos ou digitais, por pessoas naturais ou jurídicas, de todos os segmentos de atuação, tanto online quanto offline, nos setores públicos e privados, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que, entre outras disposições, a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional.
Seu principal o objetivo é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A lei define pontos importantes para as empresas no tratamento de dados, como necessidade de solicitação de autorização para a coleta, tratamento e eliminação do dado, informando a finalidade de uso, possibilidade de portabilidade do dado, a forma e prazo para disponibilização do dado ao titular mediante requisição para verificação ou correção, os requisitos técnicos para tratamento dos dados, os direitos do titular, a transferência internacional dos dados, o tratamento diferenciado de dados de crianças e adolescentes, entre outras definições.
Os dados já existentes, armazenados em formato digital ou impressos, deverão ser submetidos a nova autorização por parte dos titulares.
Cria também as figuras do titular, do controlador, do operador, do encarregado nas empresas (DPO), da ANPD - Autoridade Nacional de Proteção dos Dados e define o que é dado pessoal, dado sensível e dado anonimizado.
As sanções pelo descumprimento da lei vão desde advertências, passando por obrigação de divulgação do incidente e eliminação de dados pessoais e multa de até 2% do faturamento líquido do ultimo período (pessoa jurídica de direito privado), limitado a R$ 50 milhões, não substituindo-se as sanções administrativas, civis e penais previstas em legislação específicas.
As pequenas, médias empresas e startups sentirão maior impacto na aplicação da lei, já que até então não estavam obrigadas a se preocuparem com Governança Corporativa e Compliance, prática presente em quase todas as grandes empresas.
O modo de como utilizam os sistemas existentes, proprietários ou de terceiros (como serviço), principalmente dados armazenados em planilhas e computadores pessoais, sem qualquer controle de criptografia, níveis de permissões e log de acesso ou manutenção dos dados serão afetados de forma clara, sendo um ponto de atenção a ser tomado pelos administradores.
As empresas deverão possuir um sistema de registro de coleta de dados, com as autorizações explicitas dos titulares ou pais e responsáveis em casos de menores, das alterações e tratamentos, da utilização (onde e porque e qual a finalidade), com as solicitações dos titulares para verificação ou exclusão dos mesmos, quando foram entregues as informações solicitadas além de solicitações de portabilidade e exclusão dos dados.
Escolas, consultórios, clínicas, escritórios, lojas físicas e online, sites de comércio eletrônico, salão de beleza, departamento de RH das empresas, universidades, hospitais, enfim, todos os negócios que trabalhem com dados pessoais coletados e armazenados em redes locais, nuvem, provedores de internet, localizados no Brasil ou no exterior, deverão estar atentos a nova legislação a fim de evitarem problemas legais.
Novos contratos deverão conter clausulas específicas informando sobre os processos e metodologias de coleta, tratamento, finalidade de uso, prazo de utilização, armazenamento, segurança, backups e destruição dos dados.
Na pratica, o que fazer a partir de agora:
1 - Eliminar uso de cadastros e informações pessoais e sensíveis em planilhas ou sistemas sem controle de acesso - procure utilizar ferramentas próprias para essa finalidade;
2 - Verificar se existe algum dado ou planilha exposto na internet ... procure no Google por alguma informação relacionada com um de seus dados ou clientes, fornecedores, alunos, etc.;
3 - Contatar uma consultoria de TI para fazer uma auditoria em seus sistemas de informação (que podem ser manuais inclusive) a fim de verificar algum ponto de vulnerabilidade;
4 - Mudar os procedimentos internos e o modo de trabalhar com informações no dia a dia ... que incluem aplicativos e redes sociais.
A Blank juntamente com escritórios jurídicos parceiros estão capacitados para adequarem sua empresa de acordo com a nova legislação que entrará em vigor em 2020.