Tudo sobre DP e RH em um só lugar
EB TreinamentosEB TreinamentosEB Treinamentos
(Seg à Sex)
contato@ebtreinamentos.com
Santo André
EB TreinamentosEB TreinamentosEB Treinamentos

Plano de adequação à LGPD – sua empresa já tem um?

A pandemia do COVID-19 fortaleceu ainda mais o teletrabalho, também conhecido por “home-office”, devidamente regulamentado pela legislação trabalhista no seu art.75-B, abaixo “in verbis”:

Art. 75-B. Considera-se teletrabalho a prestação de serviços preponderantemente fora das dependências do empregador, com a utilização de tecnologias de informação e de comunicação que, por sua natureza, não se constituam como trabalho externo.

Para as empresas que já possuíam ferramentas e políticas de privacidade e segurança de dados adequadas a transição do trabalho presencial para o teletrabalho foi rapidamente implementada, sem maiores preocupações mas, e aquelas empresas que não possuíam nem políticas e nem ferramentas adequadas?

Pois bem, este artigo busca exatamente alertar tais empresas sobre a necessidade de implementação de políticas de segurança e privacidade de dados e, em especial, dados pessoais, já que a Lei Geral de Proteção de Dados Pessoais já é uma realidade bem próxima.

Primeiramente é importante lembrar que as empresas, leia-se “controladores”para a LGPD, são diretamente responsáveis por qualquer dano patrimonial, moral, individual ou coletivo que vierem a causar em razão do exercício de atividade de tratamento de dados pessoais–art.42, caput da LGPD.

As empresas também respondem pelos atos dos seus fornecedores, leia-se “operadores” para efeitos de LGPD,uma vez que compartilhem com estes, dados pessoais.

Ainda, nos termos do artigo 52, os agentes de tratamento de dados, leia-se “controladores e operadores”, que atuarem em desconformidade com o disposto na Lei, estão sujeitos a sanções administrativas, mas não apenas:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I -advertência, com indicação de prazo para adoção de medidas corretivas;

II -multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III -multa diária, observado o limite total a que se refere o inciso II;

IV -publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V -bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI -eliminação dos dados pessoais a que se refere a infração;

VII ao IX -VETADOS

X -suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI -suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII -proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Infelizmente, observamos que algumas organizações não têm sequer ideia dos riscos a que estão expostas com o advento do “homeoffice” e o que pode parecer a panaceia de todos os problemas, mais ainda, para reduzir custos trazidos pela crise é também a porta de entrada de demandas que podem custar inclusive a paralisação total dos negócios.

Assim queremos num primeiro momento, e muito brevemente, alertar as organizações para a conformidade das suas operações e processos, apresentando um pequeno guia a fim de que as organizações comecem a entender a importância e a necessidade de adequação das suas operações à segurança e privacidade de dados.

Plano de adequação

Seu objetivo é garantir a conformidade ou “compliance”, ou seja, garantir que todos os dados pessoais sejam tratados com segurança e privacidade, impedindo sua alteração, perda, acesso ou exposição indevidas.

Basicamente o plano de adequação tem6 etapas: diagnósticos; programa de privacidade; revisão e adequação de contratos; treinamentos e comunicação; plano de resposta a incidentes de segurança em dados pessoais; revisão final e atualização.

1. Diagnóstico

Preliminarmente é importante identificar quais e que tipo de dados pessoais ou de dados sensíveis a empresa trata e com qual finalidade (vide art.7º-LGPD) visto que as hipóteses são restritas e previstas em lei.

Como se trata ou se processa esses dados, quem tem acesso a eles, onde ficam armazenados, com quem são compartilhados são algumas das questões que nortearão esse diagnóstico que será mais ou menos complexo dependendo da operação e do negócio da empresa e ao final deve demonstrar o nível de conformidade atual e o que precisa ser feito.

2. Programa de Privacidade

Com base no diagnóstico nasce um projeto de conformidade ou “compliance” que vai lançar as bases da política de privacidade e segurança da informação da organização, dentro da qual está inserido o programa de segurança de dados pessoais.

Veja que aqui a organização tem uma oportunidade única de mapear seus fluxos e processos, tecnologia utilizada (softwares, hardwares, servidores, armazenamento, etc.) sua necessidade ou não, sua adequação ou não, suas falhas e incompletudes, os responsáveis por cada atividade e sua relevância ou não para o negócio.

3.Revisão e adequação de contratos

Ao identificar os responsáveis pelas atividades podemos verificar se esta é feita dentro ou fora da organização, o que nos leva aos terceiros, parceiros contratados para desenvolver atividades necessárias à organização.

Aqui a revisão e adequação de contratos tem caráter essencial já que rege as relações com funcionários (vale lembrar que o código de conduta é parte da política de segurança da informação), clientes, parceiros, fornecedores e prestadores de serviço em geral.

4.Treinamentos e comunicação

Lembre-se: aparte mais vulnerável de qualquer organização são as pessoas.

Podemos ter o software mais seguro do mercado mas, se não tivermos a conscientização das pessoas em segurança e privacidade, estas abrirão as portas da organização em detrimento daquele.

Por esta razão sensibilização e treinamento são imprescindíveis, assim como o preparo e o alinhamento da comunicação interna e externa, através de protocolos de comunicação, seja com qualquer interlocutor (interno ou externo) da organização.

5.Plano de respostas a incidentes de segurança em dados pessoais

Como “incidentes” devemos entender, na forma do art. 46 –LGPD: “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”

Por esta razão, o plano de respostas a incidentes de segurança deverá definir, acima de tudo um Comitê de Crises, envolvendo representantes das principais áreas da organização assim como a direção.

Esse comitê deve ter autoridade e conhecimento dos processos e políticas da organização, para a coleta de evidências, mas não pode ser nem muito grande nem muito pequeno, porque deve ser ágil mas competente para analisar todos ângulos e impactos do incidente para, atuando rapidamente, minimizarem os riscos e suas repercussões.

Importante destacar, que as medidas de resposta a incidentes devem ser tomadas de imediato, pois há casos em que a autoridade supervisora – ANPD –Autoridade Nacional de Proteção de Dados Pessoais, deve ser comunicada em “prazo razoável”, conforme art. 48, parágrafo 1º-LGPD, assim como os próprios titulares de dados.

Para isso a organização já deve ter estabelecido as formas de comunicação entre empresa-titulares-agência supervisora, ou seja, o responsável (DPO -art. 41 LGPD), os canais (email, telefone) e a forma oficial (formulários, relatórios, conteúdo, etc.).

6.Revisão e atualização

Considerando-se que nada é estático e que tecnologia e legislação estão em constante evolução, o projeto de “compliance”deve prever revisões e atualizações periódicas, do mesmo modo que a organização atualiza seus “softwares”deverá atualizar seus processos e políticas de privacidade e segurança de dados.

Sabemos que o assunto é vasto e não temos a pretensão e nem seria factível cobrir aqui, toda a sua complexidade, mas podemos abrir portas para que os interessados busquem mais conhecimento e não sejam “pegos de surpresa”.

Se você quiser saber mais, acesse meu artigo no Jusbrasil: “Por que a LGPD “vai pegar”! e pesquise a bibliografia abaixo.

Até a próxima.

Lilian Pinheiro

Advogada Especialista Direito Digital, DPO “as a servisse”, Empresária, Membro das comissões OAB Direito Digital e Compliance, Inovação e Empreendedorismo.

Email: contato@melopinheiroeveras.com.br

Bibliografia:

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Brasília, DF. Acesso em 20 jul.2020.

MALDONADO, Viviane Nóbrega. BLUM, Renato Ópice. Lgpd -Lei Geral De Proteção De Dados -Comentada.São Paulo: Revista dos Tribunais, 2019.

MARTINS, Ricardo Maffeis; GUARIENTO, Daniel Bittencourt. Adequação à LGPD: uma oportunidade para empresas reverem seus modelos de negócio e desenvolverem novos produtos. Migalhas.Acesso em 20 jul.2020.

PINHEIRO, Patrícia Peck.Proteção de Dados Pessoais.1ª Ed. SP: Saraiva, 2018.

 

Leave A Comment

INSCREVA-SE gratuitamente

receba um relatório das suas rubricas

Precisa de ajuda?
;