Por Cláudio Manoel do Monte Feitosa*
![Advogado Cláudio Feitosa alerta para o impacto da decisão](https://www.parlamentopiaui.com.br/uploads/imagens/claudio%7C1624031921.jpg)
Apontamentos importantes sobre a LGPD e às obrigações das empresas para atender à legislação brasileira de proteção de dados
Diante de crescente questionamento sobre as regras da LGPD – Lei Geral de Proteção de Dados, objetiva-se aqui registrar alguns aspectos que as empresas devem observar para conhecer e atender às ditas normas proteção de dados:
Quais as medidas que sua empresa deverá adotar para se adequar à LGPD?
Seguem abaixo as recomendações do Escritório Claudio Feitosa Advogados SS, com auxílio do site https://rockcontent.com/br/blog/lei-de-dados-agita-empresas, para que a empresa atenda às regras jurídicas da Lei Geral de Proteção de Dados – LGPD, especialmente após a publicação da Resolução nº 4/ANPD, de 24 de fevereiro de 2023, onde a Autoridade Nacional de Proteção de Dados – ANPD, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas em desfavor da firma que desrespeitar à regulação da matéria:
1. Realizar o mapeamento dos dados:
Primeiramente, realize um mapeamento da relação da sua empresa com o tratamento de dados. É importante saber quais são os dados que você precisa coletar, quais já estão sob controle da empresa e como eles estão sendo tratados atualmente.
Identifique também as políticas, procedimentos e ferramentas que a sua equipe utiliza atualmente e quais posturas precisam ser revistas.
A partir desse mapeamento, você consegue identificar quais riscos estão envolvidos no tratamento de dados da sua empresa para fazer um planejamento alinhado à LGPD.
2. Reformular contratos e documentos:
Na hora do mapeamento, identifique contratos e documentos relacionados ao tratamento de dados que a sua empresa utiliza.
Contratos com clientes e fornecedores ou documentos como a política de privacidade do site devem agora se alinhar às disposições da LGPD e esclarecer as formas de tratamento dos dados pela sua empresa.
Certifique-se de que esses contratos e documentos explicitam claramente a finalidade do tratamento dos dados pessoais, sempre de forma simples, clara e transparente. Se eles foram compartilhados com terceiros, essa informação também precisa constar.
Nos contratos com operadores de tratamento de dados, é importante delimitar as responsabilidades e definir as boas práticas de cada parte, a fim de minimizar os riscos das operações.
3. Definir políticas internas sobre gestão de dados:
A LGPD define que as empresas devem ter um programa de governança em privacidade que demonstre o seu comprometimento em adotar processos e políticas internas a favor da proteção de dados pessoais.
As políticas internas devem abranger os princípios, procedimentos e ferramentas de segurança de dados, bem como as formas de avaliação periódica da sua eficácia. Esse documento deve definir também um plano de resposta a incidentes, ou seja, como a empresa vai agir caso aconteça algum vazamento, fraude, roubo ou perda dos dados.
O programa de governança da empresa deve seguir o conceito de privacy by design, que pode ser traduzido como “privacidade desde a concepção”. A cada novo projeto, a proteção aos dados deve ser prevista desde a idealização, a fim de prevenir problemas, em vez de remediar.
A governança de dados exigida pela LGPD envolve não só regras de proteção aos dados no momento da aquisição dos mesmos, no seu respectivo tratamento, na guarda e também no descarte dos dados. Ou seja, a empresa deverá promover procedimentos internos, e até externos (com parceiros, citando-se por exemplo qualquer dado acessado por eventual serviço terceirizado, como o de transporte, de serviços de qualquer natureza, etc.)
Esse conceito não está disposto na LGPD, mas está em regras de Direito em outras nações, citando-se como exemplo a GDPR que são normas de proteção de dados adotadas na Comunidade Europeia.
4. Adotar medidas de segurança da informação
Para se adequar à LGPD, é essencial adotar medidas de segurança da informação para evitar incidentes e a exposição de dados pessoais a usos indevidos. Para isso, a empresa pode adotar alguns protocolos e ferramentas de proteção aos dados, tanto no meio online quanto offline.
Veja algumas sugestões:
- usar sistemas de criptografia de dados;
- utilizar o Certificado SSL (certificado digital que autentica a identidade de um site e possibilita uma conexão criptografada) em site da firma ou se esta executa o e-commerce;
- utilizar barreiras físicas e virtuais (chaves, cadeados, senhas etc.);
- atualizar senhas periodicamente;
- definir níveis de acesso aos dados;
- adotar softwares de antivírus e atualizá-los periodicamente;
- fazer backups periódicos do banco de dados;
- assinar termos de responsabilidade e confidencialidade com colaboradores.
5. Conscientizar a equipe sobre proteção de dados:
O cumprimento da LGPD e das políticas internas de proteção aos dados dependam do envolvimento dos colaboradores, que lidam com os dados dos clientes no dia a dia. Não adianta fazer um documento que ninguém conhece e fica engavetado, certo?
Então, incentive a consciência e o comprometimento de todos os colaboradores com a segurança dos dados. Para isso, desenvolva uma cultura de proteção aos dados, de acordo com o conceito de privacy by design, em que todos os projetos já nascem com essa prioridade. Além disso, promova treinamentos sobre a importância da segurança da informação e do cumprimento da lei.
6. Definir um responsável pela proteção dos dados:
A LGPD define o papel do encarregado pelo tratamento de dados nas empresas. É esse profissional que responde aos titulares dos dados e à ANPD, além de organizar as políticas e procedimentos de proteção aos dados.
Então, comece a preparar seus colaboradores para isso ou procure um profissional que assuma essa responsabilidade.
O encarregado também pode ser chamado de Data Protection Officer (DPO) ou Diretor de Proteção de Dados. Essa função tende a ser cada vez mais relevante no mercado, uma vez que a segurança dos dados é um tema sensível na era digital.
7. Definir uma equipe para a implementação
Para colocar as mudanças em prática, defina uma equipe responsável pela implementação. O encarregado deve ser um dos profissionais envolvidos, mas procure montar uma equipe com colaboradores de outras áreas para motivar o engajamento de toda a empresa.
Essa equipe é responsável pelo mapeamento dos dados, a revisão de contratos e a definição de políticas e medidas de segurança, além de promover treinamentos e materiais de orientação e conscientização. Depois de implementar, a equipe também deve monitorar a eficácia da aplicação das medidas e fazer os ajustes necessários.
Por fim, entenda que adequar sua empresa à Lei Geral de Proteção de Dados não significa apenas atuar em conformidade com a lei. Essas medidas também protegem de riscos que podem trazer grandes prejuízos e ainda ajudam a conquistar a confiança do consumidor. Agora, aproveite para ler também sobre o que são dados primários e dados secundários, que representam duas formas diferentes de coletar dados para as suas estratégias de marketing.
- Quem NÃO está legalmente obrigado a indicar um DPO?
A Resolução n. 02/22 da ANPD – Autoridade Nacional de Proteção de Dados registra os casos de dispensa da necessidade de indicação da figura do DPO, beneficiando às microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado sem fins lucrativos, pessoas físicas e entes privados despersonalizados (como condomínios).
Pelo destaque, considera-se Startup as empresas com até 10 anos de inscrição no cadastro nacional de pessoa jurídica (CNPJ); com faturamento bruto anual máximo de R$ 16 milhões; e, que utilizem modelos de negócios inovadores para geração de produtos ou serviços.
Já a firma de pequeno porte corresponde à empresa que tenha faturamento anual de até R$ 4,8 milhões, e que contrate até 99 (noventa e nove) colaboradores celetistas.
São consideradas microempresa as firmas com faturamento anual de até R$ 360 mil e que contratem até 19 (dezenove) empregados, sendo que o microempreendedor individual poderá ter faturamento anual máximo de R$ 81 mil, podendo contratar somente 1 (um) empregado.
Contudo, com exceção da exceção ao acima indicado, se a empresa é de pequeno porte ou uma startup, por exemplo, mas preenche algum dos critérios abaixo, a respectiva firma NÃO está dispensada da obrigação legal de indicar um DPO: 1. Se realiza tratamento de dados de alto risco para os titulares, conforme os critérios que serão expostos no próximo tópico; 2. Se obtêm receita bruta superior aos limites de faturamento estipulados pelo Marco Legal das Startups e Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte, mencionados anteriormente; 3. Se pertence a um grupo econômico de fato ou de direito, cuja receita global ultrapassa os limites de faturamento também mencionados anteriormente.
As exceções cima servem para impedir que grandes empresas busquem um possível desmembramento, de modo a serem caracterizadas como pequenas empresas para fim de obter os benefícios não autorizados pela LGPD, no caso a dispensa de indicar um DPO.
- Conclusão
Esta exposição representa um pequeno informe sobre as complexas regras da LGPD, e que serve de alerta para cada empresa sobre a necessidade de busca de orientação técnica específica para o atendimento desta nova realidade jurídica da proteção de dados.
*Cláudio Manoel do Monte Feitosa é Advogado especialista em Direito Empresarial e Trabalhista.