A Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709, sancionada no Brasil em 2018, entra em vigor em 2020 e vai mudar a maneira como as empresas coletam, tratam, armazenam e descartam os dados de seus clientes, funcionários diretos e terceirizados. Também afeta a responsabilidade por estes dados quando uma empresa terceira é contratada para tratar os dados em nome de uma contratante.
Muitos empresários ainda estão confusos com o alcance desta lei e, em se tratando de Brasil, se esta lei vai “pegar” ou não. Bem, convém esclarecer que podemos até “pegar” uma gripe, mas Lei devemos cumprir!
Importante lembrar que esta Lei surgiu a partir de pressão regulatória imposta pela União Europeia e pela determinação do Brasil em fazer parte da OCDE.
Alcançar o estado de compliance com a LGPD é um processo metódico e relativamente lento. Exige que as empresas mudem sua postura com relação aos dados pessoais que circulam em seus processos. A alta gestão da empresa precisa estar a frente deste projeto que envolve e impacta as mais diversas áreas, e até mesmo o seu core business.
Listamos alguns motivos pelos quais as empresas precisarão começar o quanto antes o processo de adequação:
■ A LGPD necessita de uma estrutura onde ela possa ser articulada para que todas as suas exigências sejam atendidas. Este processo de implementação é lento.
■ Deve ser realizada uma avaliação prévia da atual estrutura para definir o tamanho do gap para alcançar o compliance com a LGPD.
■ Deve ser feita uma análise de risco em todos os caminhos percorridos pelos dados pessoais, garantindo sua privacidade, integridade e disponibilidade.
■ Devem ser desenvolvidas ferramentas que permitam aos titulares de dados pessoais exercerem seus direitos conforme determinado pela LGPD.
■ Devem ser implementados controles de segurança que eliminem ou mitiguem possíveis incidentes com dados pessoais. Caso o incidente venha a acontecer, um procedimento para uma resposta rápida deve estar implementado.
■ Conscientização dos colaboradores de suas responsabilidades com relação à segurança e privacidade de dados pessoais.
Trata-se de um verdadeiro processo de adequação, dependendo do tamanho da empresa e da quantidade e qualidade dos dados pessoais tratados. Falamos em qualidade dos dados, pois algumas empresas tratam dados pessoais considerados “sensíveis” e que requerem uma atenção redobrada em sua segurança.
São dois os principais riscos em deixar para última hora o início da implementação:
■ Não estar adequado à LGPD em 2020 poderá deixar a empresa exposta a alguma pessoa ou concorrente “interessado” em causar danos reputacionais, ser denunciada e arcar com os custos da multa imposta pela Autoridade Nacional.
■ A necessidade de uma eventual adequação “relâmpago” deixará a empresa exposta aos profissionais de última hora, compra de sistemas desnecessários ou mesmo a pagar um preço extremamente caro pelo caráter de urgência na adequação.