Solicite uma Proposta
Planejamento Empresarial

Adequação à LGPD: sua empresa já se adequou?

24 de março de 2021por Eduardo Ercoli0

Tudo o que você precisa saber sobre a adequação à LGPD

Desde 2018 em discussão, a LGPD já gerou grandes debates no Brasil. E mesmo em meio a uma crise econômica, entrou em vigor, em sua maior parte, em setembro de 2020. De um lado, a necessidade de proteção de dados pessoais, uma tendência mundial. De outro, empresas de todos os portes que correm para se adequar à legislação antes da vigência das sanções administrativas, previstas para agosto de 2021.

Em torno disso dois medos: as altas multas e a dificuldade de adequação.

Afinal, envolve uma mudança de processos e de cultura, quando não investimento em tecnologia.

E por isso, desmistificamos o tema para você e explicamos como se adequar até lá!

adequação à LGPD

1. O que é a LGPD?

Publicada em agosto de 2018, a LGPD (Lei 13.709 ou Lei Geral de Proteção de Dados Pessoais) é a lei que dispõe sobre a coleta, o uso e tratamento dos dados pessoais no sistema brasileiro. Mas, na prática, o que isto significa?

Significa que todas as pessoas, sejam naturais, jurídicas, de direito público ou privado, precisam se atentar, até mais do que às regulações específicas, mas também aos princípio da lei.

É importante observar, ainda, que a lei não distingue o tratamento de dados nos meios online ou offline. Embora tenha surgido para regular dados pessoas e modificar o Marco Civil da Internet, a LGPD tornou-se mais ampla. Engloba, sim, a era da internet. Contudo, não ignora que se pode coletar dados de outras formas.

Sua empresa, por exemplo, tem sede física e coleta dados na portaria? O uso desses dados precisa observar a legislação. Seu RH armazena os dados de candidatos não aprovados? Você coleta consentimento para ter esses dados em sua base? Com que finalidade ainda os mantém?

Mas, calma!

No início, entender que dados entram por diversas portas pode ser difícil. E talvez seja mais complexo ainda visualizar todo o caminho que ele percorre e como promover a adequação à LGPD em todos esses processos. Entretanto, é por isso que estamos aqui!

2. Quando é considerado tratamento de dados pessoais

Antes de continuar, contudo, há um detalhe que não se pode ignorar. A LGPD trata apenas de dados pessoais. Ou seja, dados que identifiquem a pessoa natural ou que permitam a sua identificação.

Isto engloba, portanto:

  • nome;
  • telefone;
  • e-mail;
  • CPF e outros documentos;
  • usuário (a depender da situação)

O que são dados pessoais identificados e identificáveis

Primeiro detalhe: a LGPD não abrange dados de pessoas jurídicas. O cuidado que você precisa tomar ao fazer a adequação da sua empresa, entretanto, é avaliar se os dados da pessoa jurídica podem identificar as pessoas naturais por trás dela. Por exemplo: se a sua empresa oferece serviços para escritórios de advocacia, e você armazena os dados de escritórios clientes e não clientes, poderá identificar pessoas naturais pelos nomes dos escritórios, já que eles possuem o sobrenome dos sócios, muitas vezes.

Quando a lei fala sobre dados identificáveis, ela se refere a todos aqueles dados que, por si só, não são identificam a pessoa natural, mas que permitem a identificação junto a outros elementos.

Esta é a mesma questão dos cookies, por exemplo. Cada vez mais comuns, sobretudo para marketing digital, cookies oferecem muitos dados sobre a interação do público com o seu negócio. No entanto, com algumas etapas, o ID do usuário pode ser identificado e, com isso, a identificação da pessoa por trás dele.

Novamente, há saídas para isso. Como você verá, ainda há muitas discussões sobre a LGPD e, inclusive, previsões legais que autorizam a coleta e o tratamento de dados dentro das finalidades da empresa.

Cuidado com os dados sensíveis

Segundo detalhe: é preciso um cuidado redobrados com dados sensíveis.

Dado sensível para a LGPD é todo aquele dado que, por sua natureza, quando relacionado a uma pessoa natural, pode gerar discriminação. Entre os dados previstos na Lei 13.709/2018, estão:

  • origem racial ou étnica;
  • convicção religiosa;
  • opinião política;
  • filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
  • dado referente à saúde ou à vida sexual;
  • dado genético ou biométrico.

Por exemplo, se sua empresa atua no ramo da saúde, o cuidado com o histórico hospitalar dos pacientes é essencial. Para isso, então, também se recomenda observar as diretrizes específicas da área, como as editadas pelo CRM (Conselho Regional de Medicina) para esse caso em específico.

Outro exemplo bastante comum é a coleta de informações sobre gênero para fins de marketing das empresas. Embora a prática permita direcionamento de comunicação, também pode levar a uma discriminação de gênero. Por isso, é essencial entender com que finalidade os dados são coletados, armazenados e tratados dentro do seu negócio.

3. Por que se adequar à LGPD

Agora, o que muitos se perguntam: por que se adequar à LGPD?

O motivo imediato, talvez, seja a penalidade prevista na legislação. E concordemos que não são rasos os valores: até R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Mas a adequação à LGPD também faz parte de um processo maior. Ainda que a lei date de 2018 e se inspire na GDPR, de 2016, as discussões sobre a proteção de dados se iniciam já na segunda metade do século XX. E se o primeiro enfoque era na relação dos setores públicos com os dados, posteriormente passou também a envolver as empresas privadas e seus processos internos.

Quando falamos da certificação ISO 27.001 e a segurança da informação, já mencionamos um pouco do papel da LGPD. Lembramos que a certificação não é obrigatória, até o momento, para fins da lei brasileira, mas já comporta princípios básicos para a adequação legal. De todo modo, fato é que a regularização do uso e tratamento de dados também impacta a forma como a empresa é vista pela sociedade.

Ou seja, mais que apenas uma segurança legal, a adequação também importa para a sua marca, para a relação que você estabelecerá entre a sua empresa, os seus clientes, os seus stakeholders, o seu mercado.

As pessoas, de modo geral, buscam segurança. E portanto, escolherão as empresas que oferecem isto a ela.

4. Como as empresas devem se preparar para a LGPD

Em primeiro lugar, não existe uma regra geral para a adequação à LGPD, o que não significa que não haja primeiros passos. O processo de adequação variará conforme os processos da empresa. Até mesmo porque não é necessário mudar tudo de uma única vez, deixar de fazer tudo o que se fazia, mas entender de que forma o que era feito antes pode ser adaptado ao novo contexto.

Por exemplo: a coleta de um dado que não encaixa nas bases legais e é necessário às atividades da empresa pode ser feita mediante consentimento do usuário. O consentimento é, talvez, a mais frágil das bases legais. Contudo, é uma medida preventiva, também, quando não há outras alternativas.

Explico isso a você, então, junto ao passo-a-passo da adequação:

Primeiros passos para a adequação à LGPD

Em primeiro lugar, então, você precisa mapear os dados que entram na sua empresa, em diferentes áreas, de clientes e não clientes. Registre, assim:

  • quais dados pessoais sua empresa coleta? Há dados sensíveis entre eles?
  • sua empresa os armazena? Se sim, por quanto tempo?
  • onde ocorre a coleta? Onde são armazenados? Quais os softwares ou ferramentas por onde eles passam? Ficam no Brasil ou em outros países? Você conhece as políticas dessas ferramentas?
  • quem tem acesso a esses dados?
  • por que você coleta esses dados? Qual a finalidade deles dentro da empresa? Como eles são tratados? Os titulares possuem conhecimento sobre o tratamento?
  • os dados são compartilhados ou provenientes de terceiros? Esses terceiros estão em conformidade à LGPD?
  • alguma base legal justifica a coleta, o tratamento e o armazenamento dos dados?

Bases legais da Lei Geral de Proteção de Dados Pessoais

A última pergunta é importante, porque a LGPD prevê, sim, possibilidades legais para o tratamento dos dados. Por exemplo: para firmar um contrato, você precisa de dados documentais, os quais não pode excluir tão logo a assinatura seja concluída. Para isso, sua empresa estará amparada pela lei e disporá de um tempo máximo de armazenamento mesmo após o encerramento do contrato.

São as bases legais autorizadas pela Lei Geral de Proteção de Dados Pessoais:

  1. Consentimento do titular;
  2. Cumprimento de obrigação legal ou regulatória;
  3. Tratamento pela administração pública, quando necessário à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  4. Estudos por órgãos de pesquisa (preferencialmente realizada, quando possível, com anonimização dos dados);
  5. Exercício regular de direitos em processo judicial, administrativo ou arbitral;
  6. Proteção da vida ou da incolumidade física do titular ou de terceiro;
  7. Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  8. Legítimo interesse do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  9. Proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

5. Compliance: a chave está nos processos internos da sua empresa

Como mencionei antes, o processo de adequação à LGPD é muito particular a cada empresa. Portanto, o ideal é procurar uma consultoria que analise o seu negócio e qual a melhor solução, inclusive dentro das bases legais possíveis.

Ademais, nem sempre será possível promover a adequação apenas pelo viés legal. Dependendo da sua área de atuação e do seu produto, pode ser necessário uma adequação tecnológica, por exemplo, o que demandará conhecimento em programação.

Por fim, depois de todas as análises e de reestruturação, o grande segredo para as empresas é também investir em uma boa política de compliance.

Afinal, toda a sua equipe e o seu entorno precisam aderir a esse compromisso. E lembre-se: a sua empresa é responsável pelos danos que ela causa. E isto mesmo que a responsabilidade seja, inicialmente de um colaborador, dentro de suas funções. Nesse caso, então, é a política interna que oferecerá uma diretriz à empresa, inclusive como salvaguarda.

E o mesmo se refere aos stakeholders: é preciso construir relações condizentes com o que a sua empresa defende e com que o mercado espera.

A LGPD, enfim, está vigente, em sua maior parte, desde setembro de 2020. Ainda pendem as sanções administrativas, com previsão de vigência para agosto de 2021.

Quer saber mais sobre segurança da informação? Entre em contato com a Ercoli Consultoria e receba uma proposta!

Eduardo Ercoli

Diretor Geral e sócio da Ercoli Consultoria, Engenheiro Civil (UFPR), Pós-Graduado em Planejamento e Gerenciamento Estratégico (PUC/PR), Lead-Auditor ISO-9001, ISO-14001, SA-8000, Consultor e Instrutor Credenciado do SEBRAE/SC em Gestão de Processos, Consultor Sênior com 23 anos de experiência em consultoria empresarial, Parceiro comercial do organismo de certificação Italiano RINA, Atuou como auditor de organismo de certificação Suíço SGS por 10 anos. Atuação como consultor em empresas de prestação de serviços e indústrias de diversos ramos de atividades.

Deixa um comentário

Your email address will not be published. Required fields are marked *

anterior
Metodologia OKR: como usar a ferramenta de gestão estratégica
próximo
Liderança da direção na implantação da ISO 9001
ERCOLI CONSULTORIANossos contatos
Estamos atentos ao seu contato.
(47) 9 8831-9595
ercoli@ercoliconsultoria.com.br
ercoliconsultoria.com.br
NOSSA LOCALIZAÇÃOOnde nos encontrar
https://ercoliconsultoria.com.br/wp-content/uploads/2020/08/img-footer-map-ercoli.png
Blumenau/SC: R. XV de Novembro, 1336 – 12º andar, Sala 120 – Centro
Bauru/SP: Rua Floriano Peixoto, quadra 17, nº 116 - Jardim Estoril
ENTRE EM CONTATORedes sociais da Ercoli
Faça parte da nossa rede de contatos

Ercoli Consultoria. Todos os direitos reservados.

Ercoli Consultoria. Todos os direitos reservados.

× Como posso te ajudar?