LGPD para empresas: um guia para ser colocado em prática
Certamente, a LGPD em empresas ainda é um tema novo para empreendedores e trabalhadores. A Lei Geral de Proteção de Dados (LGPD) está prestes a completar três anos de vigência, todavia, muitas pessoas, principalmente aqueles que realizam tratamento de dados, ainda desconhecem o conteúdo da LGPD, as consequências do não cumprimento e de que forma o não atendimento à Lei pode afetar a sua empresa.
Qual a importância da LGPD em empresas?
É de suma importância a compreensão de que, independe o porte da empresa, TODAS precisam adequar as suas práticas ao que dispõe a Lei Geral de Proteção de Dados, todos precisam agir de forma a preservar a privacidade dos dados pessoais, bem como os direitos dos titulares, por ela tratados. Assim, o tratamento de dados é tudo o que é feito com os dados pessoais, seja a coleta, a utilização, o processamento, armazenamento, compartilhamento ou exclusão dos dados pessoais. É a atividade de tratamento de dados que determina se a empresa deve ou não se adequar à LGPD. Havendo tratamento de dados, devem ser adotadas práticas para o cumprimento da Lei. Para que a empresa cumpra o que prevê a LGPD é necessário implantar um programa de proteção de dados, o qual será de acordo com o porte da empresa e o volume dos dados tratados pela empresa.Aplicando a LGPD em empresas na prática
Antes de adentrar às etapas do tratamento de dados, é necessário compreender quem são os personagens que estão relacionados ao tratamento de dados, são eles: controlador, operado e encarregado de dados ou DPO, como também é chamado.Controlador, operador e DPO
O controlador é a pessoa física ou jurídica, de direito público ou privado, que toma as decisões referentes ao tratamento de dados pessoais. Ele é responsável por determinar como e por que os dados pessoais serão processados. Geralmente, o controlador é a empresa ou a organização que coleta os dados dos titulares, seja para fornecer um serviço, executar um contrato, cumprir uma obrigação legal ou por meio de consentimento explícito do titular. Já o operador é quem que realiza o tratamento de dados pessoais em nome do controlador, podendo ser pessoa física ou jurídica, de direito público ou privado. Há casos em que o operador é um prestador de serviços contratado pelo controlador para processar os dados em suas plataformas, sistemas ou em nome da empresa. O DPO - Data Protection Officer, também conhecido como Encarregado de Proteção de Dados, é uma figura importante estabelecida pela LGPD -Lei Geral de Proteção de Dados. O DPO é responsável por garantir o cumprimento das leis e regulamentações relacionadas à proteção de dados pessoais dentro de uma organização. É atribuição do DPO garantir que a empresa esteja em conformidade com a leis de proteção de dados. O DPO deve acompanhar a implementação de políticas, processos e procedimentos relacionados ao tratamento de dados pessoais para garantir que estejam em conformidade com a legislação aplicável, fornecendo orientações ao controlador e operador de dados, para o fiel cumprimento da Lei.Programa de Proteção de Dados, Mapeamento e Política de Privacidade
Um programa de proteção de dados, é constituído de várias etapas, das quais destaca-se o mapeamento de dados. Através do mapeamento de dados é possível identificar todos os dados pessoais coletados, armazenados, processados e compartilhados pela empresa. Isso inclui dados de clientes, funcionários, fornecedores e parceiros de negócios. Ainda, através do mapeamento de dados pessoais, é possível ter um panorama geral sobre como os dados são tratados dentro da empresa. Além do mapeamento de dados, outro importante documento é a política de privacidade que detalha como uma empresa ou organização coleta, usa, armazena, compartilha e protege os dados pessoais dos clientes, colaboradores e parceiros de negócios. A política de privacidade é uma exigência legal estabelecida pela Lei Geral de Proteção de Dados, a qual, dentre outras razões, visa informar aos usuários sobre como seus dados pessoais serão coletados e utilizados. A política de privacidade deve ser escrita em linguagem clara e de fácil compreensão para que os titulares dos dados possam entender facilmente quais informações estão sendo coletadas e para quais finalidades. A política de privacidade ser estar visível ou de fácil acesso aos titulares dos dados. Outra etapa de implementação do programa de proteção de dados, consiste na conscientização dos colaboradores. Tal conscientização é realizada através de treinamento. É imprescindível que todos os colaboradores da empresa, especialmente os que manuseiam os dados pessoais, estejam cientes do que prevê a LGPD - Lei geral de proteção de dados e compreendam sua importância, bem como a razão pela qual adoção de novas medidas são necessárias.Sanções e penalidades
A Lei geral de proteção de dados prevê sanções administrativas a serem aplicadas às empresas em caso de infrações, sendo estas aplicáveis pela ANPD, a Autoridade Nacional de Proteção de Dados. Todavia, além das sanções administrativas é cabível a promoção de medidas judiciais cíveis e criminais em face da empresa. Os processos em andamento na ANPD são públicos, assim como eventual condenação, também será público, podendo estes afetarem de forma grave a imagem da empresa. São sanções previstas na LGPD em Empresas:- Multa no valor de até 2% do faturamento da empresa no último exercício fiscal, limitada a R$ 50 milhões, por infração. Advertência, Bloqueio ou eliminação de dados, de forma temporária ou definitiva dos dados que estão sendo tratados de forma inadequada;
- Suspensão das atividades, devendo a empresa suspender as atividades relacionadas ao tratamento de dados pessoais por determinado período. Proibição do tratamento de dados ou a realização de atividades que violem a lei geral de proteção de dados.