A sua empresa está adequada à LGPD?

Estar adequada à LGPD deve ser uma preocupação constante da sua empresa.

A adequação à Lei Geral de Proteção de Dados (Lei n.º 13.709/2018 – LGPD) para as empresas reflete o compromisso com a privacidade e a segurança dos dados pessoais de clientes, colaboradores e demais indivíduos dos quais coletam e tratam informações.

A LGPD traz uma série de obrigações e procedimentos que as organizações devem seguir para garantir a transparência no tratamento desses dados, incluindo a obtenção de consentimento explícito para sua coleta e uso, além da implementação de medidas técnicas e administrativas aptas a proteger as informações contra acessos não autorizados e situações de vazamento

Empresas que não se adequarem às normativas enfrentam riscos significativos, desde pesadas multas até a perda de credibilidade no mercado.

Portanto, é imperativo que as organizações realizem uma avaliação meticulosa de seus processos, promovam a capacitação de seus times e, se necessário, adaptem suas políticas e sistemas para assegurar a conformidade com a LGPD, garantindo assim não apenas a legalidade de suas operações, mas também fortalecendo a confiança de seus clientes e parceiros comerciais.

Como saber se sua empresa está adequada à LGPD?

A menos que já tenha passado por uma auditoria e implementação de processos de adequação à LGPD com o auxílio de um grupo de trabalho específico ou profissionais terceirizados especializados, é fundamental que não se parta do princípio de que sua empresa já dispõe de toda a estrutura necessária para tratar dados conforme as diretrizes legais.

Por mais que sua empresa já disponha de protocolos de segurança de dados e outras medidas de compliance nesse sentido, é possível que ainda haja pontos não cobertos, deixando sua empresa vulnerável a riscos de violações de direitos dos titulares de dados pessoais.

Alguns passos fundamentais para que sua empresa esteja adequada à LGPD são:

  • Mapeamento e classificação dos dados utilizados na sua empresa;
  • Análise de riscos e impacto à Proteção de Dados;
  • Definição dos agentes de tratamentos de dados, encarregados e de profissionais responsáveis pelo projeto de implementação dos protocolos de adequação à LGPD;
  • Revisão dos seus materiais de marketing e comunicação;
  • Treinamento e conscientização de funcionários para lidar com os dados dos clientes e dos colaboradores;
  • Criação e implementação de uma política de segurança;

A LGPD estabelece padrões mínimos para o tratamento de dados pessoais. Entretanto, nada obsta que sua empresa adote medidas adicionais e reforce suas políticas internas e externas de conscientização e implementação de boas práticas de tratamento de dados – o que, inclusive, é visto com bons olhos pelo mercado e pela sociedade, podendo constituir um diferencial competitivo da sua empresa.

Quem são os principais responsáveis na implementação da LGPD?

O preparo da sua empresa para estar adequada à LGPD passa pela compreensão das principais pessoas ou empresas que agem para que o tratamento de dados seja feito adequadamente e que haja uma adequada comunicação com os titulares de dados e com a ANPD (Autoridade Nacional de Proteção de Dados).

  • Controlador: é a pessoa “a quem competem as decisões referentes ao tratamento de dados pessoais”. Pode ser pessoa física ou pessoa jurídica;
  • Operador: é a pessoa “que realiza o tratamento de dados pessoais em nome do controlador”. Pode ser pessoa física ou pessoa jurídica;
  • Encarregado: é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. Também chamado de DPO (Data Protection Officer).

Se essas pessoas e funções não estão claramente definidas na atuação da sua empresa, ela provavelmente não está adequada à LGPD.

O controlador tem um papel central no tratamento de dados pessoais, pois cabe a ele tomar as decisões referentes ao tratamento dos dados. Por exemplo, cabe a ele fornecer informações sobre o tratamento dos dados; providenciar o acesso aos dados, correção, anonimização, bloqueio, eliminação, portabilidade dos dados, entre outras atribuições definidas no art. 18 e outros da LGPD, além de nomear o encarregado de dados (DPO), realizar avaliação de impacto à proteção de dados e notificar incidentes de segurança.

Já o operador não tem o mesmo poder de decisão do controlador, devendo agir para as estritas finalidades por ele determinadas. Apesar dessa natureza executória de seu papel, ele também tem um papel importante de verificar que as suas instruções e demais normas sobre a matéria sejam observadas. Por exemplo, cabe ao operador garantir a confidencialidade e segurança durante o tratamento dos dados, registrar as atividades de tratamento, notificar incidentes de segurança, cooperar com a atividade de fiscalização da autoridade nacional (ANPD), entre outros.

Por fim, o encarregado (DPO), embora não considerado como um agente de tratamento por definição legal (art. 5º, IX), é uma figura que desempenha um papel fundamental na gestão da conformidade com a legislação de proteção de dados. A LGPD não determina se o DPO deve ser pessoa física ou jurídica, logo, depreende-se que, tal como o controlador e o operador, o encarregado possa ser uma pessoa física ou jurídica.

Ademais, de acordo com o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado da ANPD, o DPO não necessariamente precisa agir sozinho; ele pode estar apoiado por uma equipe multidisciplinar.

Logo, o DPO pode ser alguém que faz parte do quadro da empresa (DPO interno) ou ser terceirizado (DPO externo), como um escritório de advocacia especializado.

O que pode ocorrer se sua empresa não está adequada à LGPD?

Em 2023, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou as primeiras sanções no âmbito de processos administrativos sancionadores movidos em face de empresas descumpridoras da LGPD.

Na primeira destas sanções, aplicada a uma empresa de telefonia que ofertava listas de contatos de WhatsApp para finalidades eleitorais, a ANPD aplicou multa simples de R$ 14.400,00, o que correspondia a 2% do faturamento bruto da empresa. (ANPD, processo nº 00261.000489/2022-62).

Logo, no caso acima, a ANPD usou o percentual máximo admitido pelo art. 52, II, da LGPD, para fixar a multa.

Portanto, importante ressaltar que as empresas que cometerem infrações às normas previstas na LGPD, podem estar sujeitas às seguintes sanções administrativas aplicáveis pela Autoridade Nacional:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária;
  • publicização da infração;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração, por no máximo 6 meses, prorrogáveis por mais 6 meses, até a regularização da atividade de tratamento pelo controlado;
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração, por no máximo 6 meses, prorrogáveis por mais 6 meses;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados;

São sanções que têm o potencial de atravancar ou até mesmo inviabilizar a continuidade das operações de uma empresa, sem mencionar ainda o dano reputacional, a quebra de confiança dos clientes, e a possibilidade de que a conduta infratora da LGPD também possa ser caracterizada como crimes ou ilícito civil.

Por isso, é fortemente recomendável que a sua empresa tenha um grupo de trabalho e busque apoio especializado para a revisão de todos os seus processos organizacionais, gerenciais e de negócios, a fim de garantir que sua atuação esteja adequada à LGPD.

Ficou com alguma dúvida? Nos procure para maiores informações.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Gostaria de receber nosso conteúdo?

Cadastre-se para receber!



    Desejo receber comunicações.
    Ao informar seus dados você concorda com a política de privacidade.


    // - 20/07/2022 - FA // - Linha add conforme solicitação da Equipe que administra o site.