A Lei Geral de Proteção de Dados começou a vigorar em 9/2020, desde então as empresas precisam se adequar as mudanças que buscam dar transparência no uso dos dados pessoais.
Em linhas diretas: Quem não se adequar a LGPD pode sofrer multas altíssimas.
O valor da multa para aquele que não se adequar a LGPD é de 2% do faturamento da empresa. Sendo que, existe o teto de 50 milhões de reais.
Acho que você, empresário, já entendeu a importância de prevenir e evitar perder 2% do seu faturamento.
Mas, como se adequar?
Isso, como quase tudo, depende. Fatores como o tamanho da empresa, o tempo que ela existe, a área de atuação e os sistemas eletrônicos que ela utiliza importam muito na forma e na estratégia que será usada. Por isso, o ideal é contar com um advogado especialista.
A primeira situação importante é analisar o fluxo de dados que trafega em sua empresa. O Data Mapping deve ser planificado com destaques para "Qual o motivo de se usar este dado?", "Onde esta informação é armazenada?", "Este é um dado sensível?, etc. Vale lembrar, que informações não digitais armazenadas na empresa (algo muito comum no RH ou em mailings) devem aparecer neste Data Mapping.
É como fazer um Check-up geral. Neste momento, as partes que não estão funcionando bem costumam aparecer.
Agora vem "a parte chata". Diagnosticados os dados coletados você e sua empresa precisarão detalhar o Embasamento Legal para utilização daquele dado específico. Sim, cada dado precisa ser justificado de acordo com incisos e portarias da ANPD (Agência Nacional de Proteção de Dados).
Muitos leigos costumam embasar apenas no "Consentimento" do usuário. Esta visão vem contaminando os programadores que desenvolvem os sistemas cheios de locais para o usuário consentir. A verdade, porém, é que o "Consentimento" juridicamente é o mais frágil dos embasamentos. Veja no seu dia a dia, quantas vezes clicou sem querer ou sem ler? Ainda assim, é óbvio que, este é um embasamento válido. Porém, existem outros, mais seguros e técnicos; por exemplo a LIA (Legitimate interests assessment).
Feito o embasamento, sua empresa deverá obrigatoriamente, por exigência da lei, determinar um DPO (Data protection officer) que não precisa ser funcionário da empresa e pode ser terceirizado. A função do DPO é monitorar e fiscalizar de forma INDEPENDENTE como está sendo aplicada a LGPD dentro da empresa. Afinal, não basta se adequar uma vez, isso é um serviço constante. Cabe ainda ao DPO estar atualizado com as mudanças jurídicas e decisões da Agência Nacional, e responder, sempre que necessário, as autuações sofridas.
Neste momento, é essencial que sua empresa tenha uma política de Proteção de Dados clara e transparente. Ademais, todos termos de uso e politicas de cookies devem estar adequados a Política de Privacidade.
Faltam dois passos ainda. Estes são menos urgentes, mas vão garantir a continuidade deste procedimento.
Você deverá, periodicamente, treinar seus funcionários sobre quais dados podem armazenar, como vão armazenar e onde o farão.
Além disso, você deve elaborar um manual de governança de dados ou um compliance de dados.
Assim sua empresa estará plenamente adequada.
Comentários