Corrigir texto

Se você encontrou algum erro nesta notícia, por favor preencha o formulário abaixo e clique em enviar. Este formulário destina-se somente à comunicação de erros.

Legislação

- Publicada em 15 de Dezembro de 2021 às 13:17

LGPD deve ser prioridade nas agendas das empresas em 2022

Todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação

Todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação


rawpixel/freepik/Divulgação/JC
Sancionada em 2018, depois de ter o prazo para entrada em vigor adiado por três vezes, a Lei Geral de Proteção de Dados (LGPD) está valendo e quem não cumprir as normas está sujeito à fiscalização e às penalidades desde 28 de outubro de 2021, quando foi publicada a Resolução CD/ANPD Nº 1 no Diário Oficial da União.
Sancionada em 2018, depois de ter o prazo para entrada em vigor adiado por três vezes, a Lei Geral de Proteção de Dados (LGPD) está valendo e quem não cumprir as normas está sujeito à fiscalização e às penalidades desde 28 de outubro de 2021, quando foi publicada a Resolução CD/ANPD Nº 1 no Diário Oficial da União.
O fato é que muitas empresas ainda têm dúvidas a respeito da implantação dos mecanismos necessários para atender as determinações da Lei nº 13.709, de 14 de agosto de 2018. Para quem ainda não se adequou, fica o alerta: o tema deve ser prioritário na agenda de 2022.
“A Autoridade Nacional de Proteção de Dados (ANPD), criada há pouco mais de um ano, deve começar a atuar de mais incisiva com relação às fiscalizações dos agentes de tratamento de dados, da mesma forma que órgãos de defesa do consumidor e o próprio Ministério Público”, adverte Fernanda Girardi, coordenadora da área de Proteção de Dados do escritório Souto Correa Advogados.
A especialista lembra ainda que há um planejamento regulatório da ANPD que prevê a regulamentação de muitos temas, abrindo-se oportunidades para que as entidades e a população possam participar por meio de tomada de subsídios e consultas públicas. Ou seja, mais novidades virão por aí.
Maurênio Stortti, CEO na M.Stortti Business Consulting Group, que tem em seu portfólio o serviço de consultoria LGPD, orienta para a necessidade urgente de começar a tratar a lei internamente, uma vez que a maioria das empresas ainda não fez a implantação das medidas necessárias.
“O primeiro grande fato que percebemos é um desconhecimento da abrangência da lei em relação à repercussão que ela terá dentro do dia a dia das empresas”, reforça, ao lembrar que, hoje, é praticamente impossível trabalhar no mundo empresarial sem uso de informações e de banco de dados.
“No Brasil, muitas pessoas acham que a lei não vai pegar e não haverá consequências, mas sabemos que a LGPD vai pegar, sim, e que ela é bem abrangente e pode ter repercussões financeiras e econômicas muito grandes em relação ao próprio tamanho das empresas”, destaca.
Stortti reconhece que não se trata de um processo simples, mas que precisa ser priorizado. "Estamos percebendo, pela nossa experiência, que a implantação leva em torno de seis a oito meses dentro das empresas por uma parte da criação de um comitê (esse comitê difunde internamente), o tratamento regulatório entre as áreas de TI (Tecnologia da Informação) e a área jurídica das empresas por conta do manuseio dessas informações, responsabilidades decorrentes do uso da má informação", enumera. 
O vice-presidente de Relações Institucionais do CRCRS (Conselho Regional de Contabilidade do Rio Grande do Sul, Ricardo Kerkhoff, vê em 2022 uma oportunidade única de as empresas se tornarem mais eficientes e socialmente responsáveis. “A adequada gestão dos dados pessoais dos clientes é uma obrigação social da empresa, mas também uma forma de revisitar processos de informações, de conhecer melhor o propósito de trabalho”, enumera. Além disso, Kerkhoff chama a atenção para o fato de a LGPD proporcionar uma visão mais clara dos termos em contratos firmados, enxugando a possibilidade de abertura aos riscos.
O contador recomenda que a LGPD seja uma rotina diária nas empresas a partir de 2022, como métrica de governança da informação. "Uma prática de austeridade, focada naquilo que ainda não tem tradução literal para o Português, no Inglês chamado de accountability,  que é bem mais do que responsabilidade: é o senso ético mais apurado e aplicado no uso dos dados pessoais dos clientes", aconselha.

Adoção das normas traz vantagens às empresas

Para Fernanda, cumprimento das normas traz vantagens competitivas às empresas

Para Fernanda, cumprimento das normas traz vantagens competitivas às empresas


LUIZA PRADO/JC
A obrigação de estar em conformidade com a Lei Geral de Proteção de Dados é, sem dúvida, o principal motivo para sua implementação. O que muitas empresas ainda não se deram conta é que as normas representam vantagens competitivas no mercado em que atuam.
"Aqueles que levam a LGPD a sério e estão adequados às suas diretrizes e obrigações estarão, sem dúvida, melhor posicionadas no mercado e terão maior credibilidade sob a perspectiva dos consumidores e parceiros de negócios", afirma Fernanda Girardi, coordenadora da área de Proteção de Dados do escritório Souto Correa Advogados.
"Também há outros benefícios, como o processo de organização, a segurança no uso da informação dos canais próprios de marketing e relacionamento, tendo em conta que os dados estão preservados", cita Maurênio Stortti, CEO na M.Stortti Business Consulting Group.  
E que cenário esperar para quem ainda não está adaptado às normas? De acordo com o executivo, está a possibilidade de ser penalizado ou responsabilizado por alguma ação civil pelo uso indevido dos dados. "E aí as contas que a lei prevê são bastante significativas e pesadas, então é melhor prevenir do que remediar em termos de consequência econômica", aconselha.
Além das sanções administrativas passíveis de aplicação pela Autoridade Nacional de Proteção de Dados (ANPD), Fernanda cita riscos como ações indenizatórias que podem ser movidas pelos titulares dos dados a que as empresas têm acesso, e também o fato de colocar a reputação corporativa em risco. "Cabe lembrar que, em processos de reestruturação societárias, hoje já se examina a forma como as companhias lidam com proteção de dados e eventuais passivos para fins de contingenciamento e determinação da valorização das empresas", exemplifica.
O vice-presidente de Relações Institucionais do CRCRS (Conselho Regional de Contabilidade do Rio Grande do Sul, Ricardo Kerkhoff, lembra que, em agosto deste ano, a ANPD publicou minuta que disciplina a aplicação da Lei nº 13.709/2018  no que tange a microempresas, empresas de pequeno porte e também as startups, definidas como “agentes de tratamento de pequeno porte”. Essa medida, segundo o contador, traz uma visão mais adequada em termos de exigências para essas categorias. "Isso não muda prazos, mas flexibiliza algumas rotinas de controles de dados de modo a desonerar a implementação", assinala.

Erros cometidos em 2021 precisam ser corrigidos com urgência

Stortti chama a atenção para a abrangência da lei e sua repercussão nas rotinas empresariais

Stortti chama a atenção para a abrangência da lei e sua repercussão nas rotinas empresariais


M.STORTTI/DIVULGAÇÃO/JC
Confira a dica dos especialistas
O principal equívoco foi achar que a LGPD consistiria em uma lei que 'não vai pegar' ou que não atingirá seu próprio negócio. As empresas precisam compreender que em maior ou menor medida, estão sujeitas à nova legislação e que essa é aplicável a todo e qualquer segmento e porte de empresa. Há, também, um equívoco de que imaginar que a LGPD seria direcionada apenas a empresas de tecnologia ou que tratam dados pessoais como core business. Por fim, um grande equívoco é julgar que basta a adoção de uma política de privacidade descontextualizada e que não retrata a realidade da empresa.
Fernanda Girardi, coordenadora da área de Proteção de Dados do escritório Souto Correa Advogados
Eu não considero equívoco, eu considero um desconhecimento. Acho que o primeiro grande fato que a gente percebe é um desconhecimento da abrangência da lei em relação a repercussão que a própria lei vai dar dentro do dia a dia das empresas. Essa, para mim, é a grande leitura que se percebe quando fala com a empresa, seja ela média, grande ou muito grande. Logicamente as empresas muito grandes já estão se organizando nesse sentido. As médias ainda com muito desconhecimento da repercussão e as pequenas com total desconhecimento. Então esse é um ponto que eu acho bem importante. Essa lei tem uma abrangência muito maior, e eu posso fazer essa analogia porque temos escritório em Portugal, vivenciamos o que aconteceu durante a implantação da lei em Portugal, foi um desconhecimento por toda a dimensão que a implantação deu, que lá se chamava Regime Geral de Programa de Dados.
Maurênio Stortti, CEO na M.Stortti Business Consulting Group
Entendo que, no que tange às empresas, é a demora na implementação das rotinas para a adequada gestão dos dados pessoais. Esta protelação pode custar caro. E não me refiro apenas a multas, mas algo que definitivamente poderá impedir a empresa de continuar trabalhando. Observe, segundo o Artigo 52, entre outros itens, a punição poderá ser: a suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador, a suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, ou ainda a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Ricardo Kerkhoff, vice-presidente de Relações Institucionais do CRCRS (Conselho Regional de Contabilidade do Rio Grande do Sul

Confira as dicas dos especialistas para implementar a LGPD

Tudo deve iniciar frente à análise do contrato de serviços, orienta Kerkhoff

Tudo deve iniciar frente à análise do contrato de serviços, orienta Kerkhoff


CLAITON DORNELLES /JC
A pedido do Jornal do Comércio, especialistas responderam à seguinte questão:
Quais as suas recomendações para que se consiga implementar a LGPD?
As empresas devem buscar identificar os processos que envolvem fluxos de dados pessoais, realizando o seu mapeamento e podendo, em uma segunda etapa, avaliar eventuais riscos e adaptações. As empresas devem avaliar os fluxos de dados nas relações com clientes e consumidores, empregados e parceiros de negócios e identificar eventuais mudanças de procedimentos e adaptações documentais. Cabe ressaltar que o principal elemento no processo de implementação é a educação e o aculturamento dos colaboradores sobre a temática de proteção de dados e privacidade. Outra recomendação é que as companhias busquem assessorias especializadas, tanto de caráter jurídico, como de segurança da informação, pois a implementação da LGPD é uma jornada multidisciplinar, que envolve questões técnicas e administrativas.
Fernanda Girardi, coordenadora da área de Proteção de Dados do escritório Souto Correa Advogados
A criação de um comitê multidisciplinar abrangendo várias áreas da empresa. A gente sempre tem trabalhado com comitês em torno de três a quatro pessoas, podendo chegar a seis, que tenham a capacidade de repercutir a informação e de ordenar a informação gerida. De novo: é um processo que tem início, meio e fim e deve passar por todas as áreas, não apenas a área jurídica. A LGPD não é entregar um produto com cinco ou seis folhas dizendo “você está em compliance com a LGPD”. Não é isso. É a implantação de uma cultura que tem que ser trabalhada internamente para aderir ao que a empresa pensa em relação a isso, até para que ela tenha mais responsabilidade no uso dessa informação. A recomendação é que haja a implementação. Isso quem sabe teremos em 2022 como um foco. A gente vem percebendo que realmente cresceu muito o interesse – ainda é muito aquém – mas o interesse efetivamente vem crescendo por conta da necessidade que as empresas tem desse apoio.
Maurênio Stortti, CEO na M.Stortti Business Consulting Group
Bem, como somos agentes de conformidade, existe uma maior facilidade quanto ao entendimento para estas adequações. Isso conta a favos dos profissionais. Contudo, tenho percebido que o aspecto tecnológico envolvido frente a característica digital da informação tratada em nossos processos de trabalho, gera desconforto aos profissionais. O que impõe uma espécie de barreira para a adequada implementação. A dica é: Tudo deve iniciar frente à análise do contrato de serviços, os fluxos de informação de dados envolvidos frente ao que diz a legislação. Principalmente no que se refere ao Art.7, item II da LEI 13.853/2019 – “para o cumprimento de obrigação legal ou regulatória pelo controlador”. De modo que, a partir do contrato e das prerrogativas legais, se bem formatado e refletido na rotina de tratamento dos dados, uma grande parte da adequação já se configura adequada, restando então o mapeamento e tratamento a termo daquilo que não está no escopo do contrato e as adequações relativas a segurança de dados e ao seu respectivo descarte. Uma vez que este ganha aspectos “tangíveis” de produto, e deve ser tratado como tal.
Ricardo Kerkhoff, vice-presidente de Relações Institucionais do CRCRS (Conselho Regional de Contabilidade do Rio Grande do Sul

O que é LGPD?

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece diretrizes importantes e obrigatórias para a coleta, processamento e armazenamento de dados pessoais. Ela foi inspirada na GDPR (General Data Protection Regulation), que entrou em vigência em 2018 na União Europeia, trazendo grandes impactos para empresas e consumidores.
No Brasil, a LGPD (Lei nº 13.709, de 14/8/2018) entrou em vigor em 18 de setembro de 2020, representando um passo importante para o Brasil. Com isso, passamos a fazer parte de um grupo de países que contam com uma legislação específica para a proteção de dados dos seus cidadãos. Diante dos atuais casos de uso indevido, comercialização e vazamento de dados, as novas regras garantem a privacidade dos brasileiros, além de evitar entraves comerciais com outros países.
 
A legislação se fundamenta em diversos valores e tem como principais objetivos:
  • Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais.
  • Estabelecer regras claras sobre o tratamento de dados pessoais.
  • Fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.
  • Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.
 
Sobre os dados
A LGPD abrange dezenas de possibilidades de uso de dados pessoais dos clientes. Isso significa que o consumidor precisa autorizar o tratamento de qualquer informação pessoal pelo negócio, de maneira digital ou não. A empresa também não pode armazenar informações desnecessárias à prestação do serviço ou vendê-las.
Com quais dados pessoais o empreendedor deve se preocupar? Toda e qualquer informação sobre o cliente, como nome completo, e-mail, telefone, RG, CPF e endereço. Também vale ficar de olho nos dados sensíveis, que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
FONTE: SEBRAE

Como atua a Autoridade Nacional de Proteção de Dados - ANPD

A missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.
O art. 55-J da LGPD estabelece as principais competências da ANPD, dentre as quais se destacam as seguintes:
  • Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  • Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
  • Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
  • Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
  • Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
  • Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD;
  • Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
  • Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à Lei;
  • Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
  • Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação;
  • Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.
FONTE: ANPD