Qual a nossa finalidade?

A Lei Geral de Proteção de Dados passou a valer desde o dia 18 de setembro de 2020. Apenas as penalidades administrativas da ANPD ficaram para 2021.

Você pode optar por contratar uma consultoria externa ou ter montar uma equipe interna. Normalmente a consultoria é mais rápida e barata, até porque já tem profissionais qualificados e consegue ganhar em escala de trabalho.

É importante lembrar que dados pessoais permeiam toda a organização, então, o sucesso desse trabalho vai depender do esforço e envolvimento de todos. Os primeiros passos devem ter a direção da empresa envolvida e consciente da necessidade de entrar em conformidade, designando um sponsor forte, formando assim um time multidisciplinar que envolva várias áreas, como TI, segurança e governança, jurídico e recursos humanos.

O DPO (Data Protection Officer), ou como é tratado na LGPD, o Encarregado, será um profissional que conhece de privacidade e segurança para conseguir fazer a gestão dos dados. Ele terá papel fundamental nas decisões estratégicas das organizações e deverá ter autonomia sobre as atividades que envolvam qualquer tipo de tratamento de dados, além de ter contato direto com a direção da empresa, tomando decisões que a deixe de acordo com a lei.

Como a LGPD trata no Artigo 41, o DPO/Encarregado deverá ter as seguintes atribuições:

• aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• receber comunicações da autoridade nacional e adotar providências;
• orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Além dessas, a ANPD, Autoridade Nacional de Proteção de Dados, poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado.

A participação da área de TI é muito importante no processo de ficar em conformidade, pois ela está envolvida desde apoiar a disponibilidade dos sistemas que sustentam as demandas de privacidade até assegurar que as ferramentas, processos e boas práticas da segurança da informação estão a postos e em conformidade.

Essa área tem uma participação ampla e abrangente já que a Lei deixa claro que as empresas devem adotar medidas técnicas e administrativas para assegurar a proteção dos seus dados pessoais.

O processo para entrar em conformidade com a LGPD deve passar por pessoas, áreas, processos, sistemas, parceiros jurídicos e de tecnologia. Por conta de todas estas variáveis envolvidas, entendemos que a tecnologia faz sim diferença e é importante, pois, dependendo do tamanho e nível de complexidade de uma organização, gerenciar todas essas entidades de acordo com os requisitos da lei sem uma ferramenta de gestão que consiga agregar, registrar e controlar todas essas demandas pode se tornar um projeto extremamente difícil.

Segundo o Art. 49 da Lei, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

A fiscalização do cumprimento da Lei Geral de Proteção de Dados será feita pela ANPD, Autoridade Nacional de Proteção de Dados. O órgão será responsável por fiscalizar, penalizar, se necessário, e orientar as empresas sobre como aplicar as normas dentro de cada contexto. O Art. 29 especifica que a autoridade nacional poderá solicitar, a qualquer momento, a realização de operações de tratamento de dados pessoais, informações específicas sobre a natureza das informações e poderá emitir um parecer técnico.

A Agência será vinculada à Presidência da República, porém tem autonomia de atuação garantida pela Lei.

Sim, ações que infrinjam a Lei podem acarretar em multas de até 2% do faturamento da empresa, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Os tipos de sanções são elencados no Art. 52.

Como o sistema jurídico brasileiro é bastante capilarizado e conta com diversos órgãos fiscalizadores, como Ministérios Públicos, PROCON, Idec, algumas empresas já estão sendo fiscalizadas e autuadas, por não estarem de acordo à Lei do Marco Civil da Internet e/ou outras normas vigentes.

O Data Mapping consiste em levantar, através da estrutura da organização, recursos próprios ou com uma empresa especializada, todos os itens associados aos dados pessoais. Com essas informações é criado um inventário, que pode ser, basicamente, de quatro tipos:

Tabelas ativas ou bando de dados inteiros, aplicações que retém dados ou arquivos físicos não eletrônicos;
Fornecedores de sistemas com os quais dividimos dados pessoais, como pelo CRM (Customer Relationship Management – Gestão de Relacionamento com o Cliente) na nuvem;
Processos ou atividades que, de alguma forma, manipulam informações;
Empresas parceiras também manipulam dados pessoais sob nossa responsabilidade.
Após definir o que será inventariado, o próximo passo é fazer o mapeamento através de um processo iterativo e incremental. Ou seja, é interessante começar a mapear o que é conhecido, pois, desde um primeiro momento, já conseguimos ganhar consciência dos Gaps (vãos) e eventuais riscos envolvidos.

Uma das grandes vantagens da LGPD para o CRM é que as empresas serão obrigadas a avaliar os dados que possuem, eliminando os registros inválidos, o que certamente gerará maior controle e otimização desse cadastro. A nova lei não é um impedimento, ela apenas impõe mais restrições. O CRM portanto, terá que adaptar as suas atividades para o que a lei de proteção de dados propõe, ficando aderente a uma base legal.