Recomendação é para cuidar dos detalhes o quanto antes, pois a adequação às regras exige procedimentos e tecnologias de implementação demorada
Sanções aplicáveis pela autoridade nacional em caso de descumprimento da LGPD
* Advertência, com indicação de prazo para adoção de medidas corretivas
* Multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração
* Multa diária, observado o limite total a que se refere o item anterior
* Publicização da infração após devidamente apurada e confirmada a sua ocorrência
* Bloqueio dos dados pessoais a que se refere a infração até a sua regularização
* Eliminação dos dados pessoais a que se refere a infração
* Suspensão parcial do funcionamento do banco de dados
* Suspensão do exercício da atividade de tratamento dos dados pessoais
* Proibição parcial ou total da atividade de tratamento de dados pessoais
A Lei Geral de Proteção de Dados (LGPD) – Lei 13.709/2018 – é uma realidade. O que ainda está em debate é a data de sua entrada em vigor. A última modificação nesse vai-e-vem de prazos é de 19 de maio de 2020, quando o Senado Nacional revisou sua posição e decidiu pela antecipação da vigência para agosto de 2020, como incialmente prevista, em vez de maio de 2021, para quando havia sido alterada pela MP 959/2020. À espera de sansão presidencial, o texto prevê que as penalidades para quem descumprir as regras começarão a ser aplicadas apenas em agosto de 2021.
Claro que essa indefinição só afeta as empresas que ainda não fizeram a lição de casa, e isso vale para as indústrias, por mais que alguns gestores tenham dúvidas sobre o impacto da LGPD na operação industrial.
Anne Joyce Angher – sócia da Angare e Angher Advogados Associados, advogada da ABIMAQ/SINDIMAQ – explica que o setor industrial, inclusive as microempresas, são fortemente afetados pela LGPD, uma vez que a legislação “se aplica a todas as pessoas jurídicas e pessoas naturais que realizam qualquer operação de tratamento de dados pessoais, como, por exemplo, coleta, produção, recepção, utilização, armazenamento, transferência e outras”.
Na prática, isso significa que as indústrias têm dados de funcionários, de prestadores de serviços, de visitantes, de representantes de clientes e fornecedores, entre muitos outros, além de comunicarem-se com pessoas via e-mails e outras ferramentas.
A indefinição sobre a lei afeta as empresas que ainda não fizeram a lição de casa, e isso vale para as indústrias, por mais que alguns gestores tenham dúvidas sobre o impacto da LGPD na operação industrial.
Cuidados a serem tomados com os seus sistemas de segurança de dados
* Adotar políticas e sistemas que protejam os dados da empresa contra ataques e outros incidentes
* Dar acesso aos dados somente para funcionários autorizados
* Atentar para as bases legais que permitem o tratamento de dados pessoais
* Coletar o menor número de dados possível para a finalidade legítima, específica e informada ao titular e estar atenta que é preciso dar livre acesso ao titular da integralidade dos seus dados
* Verificar se há necessidade de consentimento do titular para tratamento dos dados e solicitar a ele, devendo sua manifestação ser livre, informada e inequívoca, para uma finalidade determinada
* Na hipótese de tratamento de dados pessoais sensíveis (relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, filosófica ou política, dado referente à saúde ou à vida sexual, dado genético ou biométrico), o titular precisa, ainda, consentir de forma específica e destacada
Fonte: Anne Joyce Angher – sócia da Angare e Angher Advogados Associados, advogada da ABIMAQ/SINDIMAQ
“Em caso de incidente (uso indevido ou vazamento, por exemplo), a indústria poderá ser obrigada a indenizar os danos materiais ou morais, individuais ou coletivos, que causar aos titulares dos dados”, informa Angher, agregando a essas indenizações “o abalo à reputação, muitas vezes de difícil recuperação”.
Como a lei traz uma série de exigências de procedimentos e tecnologias que demandam tempo para implementação, a recomendação é para que as empresas iniciem o quanto antes o processo de adequação, mesmo que a exigência seja mantida para 2021, pois o prazo é exíguo.
A advogada da ABIMAQ orienta que, “para facilitar o cumprimento das regras da LGPD, as empresas podem cumprir algumas etapas no processo de adequação, iniciando por um workshop para transmitir conhecimentos básicos aos colaboradores, seguindo-se pelo mapeamento de dados, diagnóstico, criação do cargo de Encarregado (DPO), revisão de contratos, adequação dos processos, produtos e serviços, criação do Programa de Privacidade com todas as políticas e procedimentos necessários e realização de treinamentos para conscientização dos colaboradores, que devem estar atentos às exigências da lei desde a criação de novos produtos e serviços”.
Responsável pela coordenação da implantação da LGPD na Ford Motor Company Brasil, Adriana Tocchet Wagatsuma, Head de Assuntos Legais e Compliance da montadora, ressalta que o primeiro passo – e também o mais importante – é a conscientização da organização e consequente construção da cultura de privacidade. “O conhecimento da proteção de dados e confiança digital também são essenciais para o bom desenvolvimento e a sustentabilidade do programa, e para a criação de conceitos essenciais como o privacy by design. Precisa-se construir um ambiente capaz de engajar e orientar os colaboradores, porque a conscientização o auxiliará grandemente e facilitará os próximos passos”, especifica.
A etapa seguinte detalhada por Wagatsuma compreende a fase de mapeamento, como é usualmente chamada a fase de mapeamento, para identificação de todos os processos que coletam e tratam dados pessoais, assim como a análise das lacunas e a elaboração de um plano de ação para que o standard da lei seja atingido. “Essa é a etapa que irá revelar o mapa de dados da empresa, identificando quais dados pessoais são coletados, quais as áreas da empresa que realizam o tratamento, onde e por quanto tempo esses dados ficam armazenados, com quem são compartilhados, qual a finalidade do tratamento. Enfim, é a fase em que é elaborado um inventário completo dos dados pessoais seja em meio digital ou físico”.
E tão fundamental quanto qualquer desses passos é o monitoramento e a efetivação dos ajustes e das melhorias identificados. Treinamentos em proteção de dados e privacidade também deverão fazer parte do calendário regular da companhia, bem como a familiarização dos novos colaboradores que ingressarem na empresa com o programa.
Vantagem competitiva
Apesar do trabalho que demanda sua implementação, a LGPD também traz benefícios. A executiva da Ford entende que a adequação poderá, inclusive, “tornar-se uma vantagem competitiva. O mercado se autorregulará. Empresas que estiverem em compliance com a lei não farão negócios ou escolherão parceiros comerciais que não estejam. A lei está estruturada de tal forma que ao responsabilizar toda a cadeia, controlador e operador, coloca o próprio mercado a controlar-se”.
De acordo com Adriana Wagatsuma, “outra grande motivação para a promulgação da lei é a preservação das relações comerciais do Brasil com países que exigem um nível adequado de proteção de dados. Neste sentido, a lei traria oportunidades de negócios e não dificuldades ou exigências excessivas que criam entraves ou afastam oportunidades comerciais. Esta característica fica ainda mais clara ao avançarmos com o projeto de implementação, pois a estruturação do programa de proteção de dados e sua gestão trazem produtividade e ganho de eficiência”.
Usando a experiência da Ford, a líder de Assuntos Legais e Compliance da montadora comenta que a governança corporativa bastante estruturada auxilia enormemente a implementação de qualquer programa, contando com mecanismos de monitoramento, medição e auditoria, além de contribuir para “disseminar e consolidar a cultura de privacidade e proteção de dados, é essencial para o sucesso do projeto e da jornada de proteção de dados, se considerarmos que esta não terá fim”.
Recomenda, ainda, a realização de treinamentos de conscientização para toda a população da empresa, pois a “multidisciplinariedade da lei deve estar refletida na equipe de trabalho do projeto. Áreas como jurídico, compliance, controles internos, tecnologia e segurança da informação, além do marketing e recursos humanos, deverão trabalhar em conjunto, complementando os conhecimentos e criando um programa que contemple todas as visões”.
O cuidado principal para a manutenção e sobrevivência do programa – alerta Adriana Wagatsuma – “é ter em mente que não se trata de um programa que terá fim, quando a lei entra em vigor, mas será uma atividade contínua, que deverá ser incorporada nas práticas da empresa e ser permanentemente revisada e atualizada a fim de manter as melhores práticas de tratamento e segurança dos dados pessoais. Os treinamentos e comunicações periódicas são essenciais, pois a jornada está apenas começando”.