Depois de muita espera, finalmente a LGPD (Lei Geral de Proteção de Dados) entrou em vigor. A nova lei passou a valer no dia 18 de setembro de 2020 e, por mais que algumas empresas já estivessem alinhadas com suas diretrizes, muitas não estavam — e ainda não estão em conformidade!

E essa é uma situação bem relevante, visto que a não conformidade pode ocasionar problemas sérios para a organização. Entre eles, multas pesadas de R$ 50 milhões ou  valor correspondente a 2% da receita anual da empresa.

O objetivo é simples: proteger os dados pessoais dos cidadãos. Ao mesmo tempo, a nova lei visa criar uma cultura renovada e moderna de segurança da informação. De certa forma, a LGPD chega como uma consolidação do modelo de negócios digital, porém, estabelece bases legislativas para que tudo funcione sem problemas.

Na sua empresa, como anda o processo de conformidade com a LGPD? Os primeiros passos já foram dados?

E você, como cidadão, sabe como os seus dados podem ser acessados e qual o caminho para interpelar as empresas sobre isso?

Para ajudar a entender essas respostas, a advogada especialista em Direito Digital e fundadora da Truzzi Advogados, Gisele Truzzi, respondeu algumas perguntas importantes.

Confira!

Sem tempo para ler, que tal ouvir a nossa entrevista?

1 – Como os cidadãos podem ter certeza de que os seus dados estão sendo tratados da maneira correta? Ou seja, se estão sendo usados com a devida finalidade.

Na realidade, não há como termos certeza de que nossos dados estão sendo tratados da maneira correta, pois isso dependerá de cada organização, e não temos como ver o que se passa dentro de cada uma delas.

Então, cada instituição (empresa ou órgão público) deverá aplicar o máximo de transparência em suas relações com os cidadãos e agir exatamente da maneira como informam em seus canais.

Caso o indivíduo tenha dúvida com determinada instituição, ele poderá questionar a organização através dos canais de contato específicos. Poderá, por exemplo, enviar um e-mail para o encarregado de dados da organização, perguntando sobre suas principais dúvidas.

2 – Como os cidadãos devem proceder para pedir que os seus dados pessoais sejam excluídos de um banco de dados de uma determinada empresa, por exemplo?

Para solicitar a exclusão dos dados pessoais de um banco de dados de determinada empresa, o cidadão poderá enviar um e-mail ao encarregado do Tratamento de Dados Pessoais desta instituição. Este contato deverá estar acessível no site da empresa, e se a relação entre o cidadão e a empresa já tiver terminado, certamente essa exclusão será realizada.

Lembrando que há casos em que as instituições precisam armazenar os dados por determinado tempo, mesmo depois de terminada uma relação, para cumprimento de obrigações legais, por exemplo. Se for esse o caso, o encarregado deverá explicar o motivo pelo qual seus dados não poderão ser excluídos na totalidade.

3 – Existe um prazo específico para as empresas tomarem as medidas corretas em relação aos pedidos dos cidadãos em relação aos seus dados?

Os dados deverão ser armazenados em formato que favoreça o acesso, e poderão ser solicitados aos agentes de tratamento por via eletrônica ou impressa (art. 19, §2o, I, II).

Você poderá obter, a qualquer tempo e mediante requisição, a confirmação da existência de tratamento quanto aos seus dados, sendo atendido imediatamente e em formato simplificado, ou no prazo de 15 dias no caso de informações mais complexas (art. 19, I, II). Esses 15 dias são somente para os direitos de Confirmação de Tratamento e de Acesso aos dados pessoais.

4 – A LGPD vale tanto para as empresas do setor privado como para o setor público?

Sim, a LGPD é aplicável tanto a empresas privadas quanto a órgãos públicos, e também para aqueles que atuam tanto no ambiente online, quanto no offline.

5 – Empresas que operam fora do país também se enquadram na LGPD?

Empresas que operam fora do Brasil também devem se enquadrar na LGPD, caso:

  • Tenham como público-alvo indivíduos localizados no Brasil no momento do tratamento dos dados.
  • O tratamento dos dados pessoais seja feito em território brasileiro.
  • Os dados pessoais, objeto do tratamento, tenham sido coletados em território brasileiro.

Tais disposições estão no art. 3º da LGPD.

6 – Emergencialmente, como deve ser o plano das empresas para adequação à LPGD? Existe uma ordem correta de procedimentos a serem seguidos?

O plano de adequação à LGPD varia conforme o tipo de empresa, porte e suas necessidades. Não há um “pacote obrigatório” de procedimentos que devem ser seguidos por todas as empresas, impreterivelmente, pois isso é definido de acordo com cada empresa, e conforme o tempo disponível para essa adequação.

Também não existe uma ordem definida dos procedimentos a serem adotados. Isso tudo é definido com a consultoria contratada e em conjunto com a empresa.

Basicamente, recomendamos algumas medidas emergenciais essenciais que podem ser tomadas logo de início:

  • Verificação da área de contato/fale conosco do site, além de definição do “encarregado” e canal de contato.
  • Elaboração de termos de uso e política de privacidade para o site
  • Revisão dos procedimentos para comunicação com cliente e demais usuários: cadastramento em base de dados/newsletter; envio de e-mail com informativo sobre o processo de adequação à LGPD.

Para mais informações, escrevi um artigo com 7 ações emergenciais para o cumprimento da LGPD.

7 -Além de segurança da informação, tão importante nesse quesito, qual outro aspecto essencial para adequação à LGPD?

Além da segurança da informação, é essencial o alinhamento do Jurídico e da TI nesse momento de adequação à LGPD, pois esse processo de compliance não se faz somente com uma dessas áreas, é preciso envolver a questão dos controles básicos de segurança da informação, revisão da documentação jurídica e eventual implantação de novas tecnologias.

Por isso, é essencial que os profissionais das 3 áreas estejam bem alinhados e engajados com esse projeto.

8 – Empresas brasileiras podem continuar a hospedar dados de seus clientes em bancos de dados fora do país? Muda algo para elas?

Empresas brasileiras que hospedam dados pessoais de clientes em bancos de dados no exterior devem cumprir a LGPD da mesma forma, e onde esses dados estão não importa.

Se a empresa é brasileira, ela tem que cumprir a LGPD. Além disso, mesmo que eventualmente fosse uma empresa estrangeira, mas com clientes brasileiros — ou coletando dados pessoais no Brasil — essa empresa também deverá se adequar à LGPD.

9 – Quais setores mais impactados pela LGPD e por quê?

Tendo em vista que a LGPD se aplica a todos os setores, neste momento ainda é um pouco cedo para afirmarmos sobre qual o setor mais impactado, mas creio que podem ser as micro-empresas que ainda não se conscientizaram sobre a necessidade de adequação à LGPD.

Por serem pequenas, podem acreditar que tal lei não trará impacto para elas. Contudo, caso um cidadão questione o tratamento de seus dados judicialmente, ou ocorra um vazamento de dados — um fato que pode ser visto como pequeno —, poderá impactar definitivamente a empresa.

10 – Como será a fiscalização das empresas?

Conforme a LGPD, será a ANPD (Agência Nacional de Proteção de Dados) a responsável pelas fiscalizações. Como a ANPD ainda está sendo estruturada, certamente essa fiscalização poderá, enquanto isso, ser efetuada pelo Ministério Público, PROCON e outros órgãos.

E você, gostou da nossa entrevista? Deseja ter a DBACorp como parceira para a sua empresa na hora de adequar a sua TI à LGPD? Entre em contato conosco.