Blog EB Treinamentos

Plano de adequação à LGPD – sua empresa já tem um?

A pandemia do COVID-19 fortaleceu ainda mais o teletrabalho, também conhecido por “home-office”, devidamente regulamentado pela legislação trabalhista no seu art.75-B, abaixo “in verbis”:

Art. 75-B. Considera-se teletrabalho a prestação de serviços preponderantemente fora das dependências do empregador, com a utilização de tecnologias de informação e de comunicação que, por sua natureza, não se constituam como trabalho externo.

Para as empresas que já possuíam ferramentas e políticas de privacidade e segurança de dados adequadas a transição do trabalho presencial para o teletrabalho foi rapidamente implementada, sem maiores preocupações mas, e aquelas empresas que não possuíam nem políticas e nem ferramentas adequadas?

Pois bem, este artigo busca exatamente alertar tais empresas sobre a necessidade de implementação de políticas de segurança e privacidade de dados e, em especial, dados pessoais, já que a Lei Geral de Proteção de Dados Pessoais já é uma realidade bem próxima.

Primeiramente é importante lembrar que as empresas, leia-se “controladores”para a LGPD, são diretamente responsáveis por qualquer dano patrimonial, moral, individual ou coletivo que vierem a causar em razão do exercício de atividade de tratamento de dados pessoais–art.42, caput da LGPD.

As empresas também respondem pelos atos dos seus fornecedores, leia-se “operadores” para efeitos de LGPD,uma vez que compartilhem com estes, dados pessoais.

Ainda, nos termos do artigo 52, os agentes de tratamento de dados, leia-se “controladores e operadores”, que atuarem em desconformidade com o disposto na Lei, estão sujeitos a sanções administrativas, mas não apenas:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I -advertência, com indicação de prazo para adoção de medidas corretivas;

II -multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III -multa diária, observado o limite total a que se refere o inciso II;

IV -publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V -bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI -eliminação dos dados pessoais a que se refere a infração;

VII ao IX -VETADOS

X -suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI -suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII -proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Infelizmente, observamos que algumas organizações não têm sequer ideia dos riscos a que estão expostas com o advento do “homeoffice” e o que pode parecer a panaceia de todos os problemas, mais ainda, para reduzir custos trazidos pela crise é também a porta de entrada de demandas que podem custar inclusive a paralisação total dos negócios.

Assim queremos num primeiro momento, e muito brevemente, alertar as organizações para a conformidade das suas operações e processos, apresentando um pequeno guia a fim de que as organizações comecem a entender a importância e a necessidade de adequação das suas operações à segurança e privacidade de dados.

Plano de adequação

Seu objetivo é garantir a conformidade ou “compliance”, ou seja, garantir que todos os dados pessoais sejam tratados com segurança e privacidade, impedindo sua alteração, perda, acesso ou exposição indevidas.

Basicamente o plano de adequação tem6 etapas: diagnósticos; programa de privacidade; revisão e adequação de contratos; treinamentos e comunicação; plano de resposta a incidentes de segurança em dados pessoais; revisão final e atualização.

1. Diagnóstico

Preliminarmente é importante identificar quais e que tipo de dados pessoais ou de dados sensíveis a empresa trata e com qual finalidade (vide art.7º-LGPD) visto que as hipóteses são restritas e previstas em lei.

Como se trata ou se processa esses dados, quem tem acesso a eles, onde ficam armazenados, com quem são compartilhados são algumas das questões que nortearão esse diagnóstico que será mais ou menos complexo dependendo da operação e do negócio da empresa e ao final deve demonstrar o nível de conformidade atual e o que precisa ser feito.

2. Programa de Privacidade

Com base no diagnóstico nasce um projeto de conformidade ou “compliance” que vai lançar as bases da política de privacidade e segurança da informação da organização, dentro da qual está inserido o programa de segurança de dados pessoais.

Veja que aqui a organização tem uma oportunidade única de mapear seus fluxos e processos, tecnologia utilizada (softwares, hardwares, servidores, armazenamento, etc.) sua necessidade ou não, sua adequação ou não, suas falhas e incompletudes, os responsáveis por cada atividade e sua relevância ou não para o negócio.

3.Revisão e adequação de contratos

Ao identificar os responsáveis pelas atividades podemos verificar se esta é feita dentro ou fora da organização, o que nos leva aos terceiros, parceiros contratados para desenvolver atividades necessárias à organização.

Aqui a revisão e adequação de contratos tem caráter essencial já que rege as relações com funcionários (vale lembrar que o código de conduta é parte da política de segurança da informação), clientes, parceiros, fornecedores e prestadores de serviço em geral.

4.Treinamentos e comunicação

Lembre-se: aparte mais vulnerável de qualquer organização são as pessoas.

Podemos ter o software mais seguro do mercado mas, se não tivermos a conscientização das pessoas em segurança e privacidade, estas abrirão as portas da organização em detrimento daquele.

Por esta razão sensibilização e treinamento são imprescindíveis, assim como o preparo e o alinhamento da comunicação interna e externa, através de protocolos de comunicação, seja com qualquer interlocutor (interno ou externo) da organização.

5.Plano de respostas a incidentes de segurança em dados pessoais

Como “incidentes” devemos entender, na forma do art. 46 –LGPD: “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”

Por esta razão, o plano de respostas a incidentes de segurança deverá definir, acima de tudo um Comitê de Crises, envolvendo representantes das principais áreas da organização assim como a direção.

Esse comitê deve ter autoridade e conhecimento dos processos e políticas da organização, para a coleta de evidências, mas não pode ser nem muito grande nem muito pequeno, porque deve ser ágil mas competente para analisar todos ângulos e impactos do incidente para, atuando rapidamente, minimizarem os riscos e suas repercussões.

Importante destacar, que as medidas de resposta a incidentes devem ser tomadas de imediato, pois há casos em que a autoridade supervisora – ANPD –Autoridade Nacional de Proteção de Dados Pessoais, deve ser comunicada em “prazo razoável”, conforme art. 48, parágrafo 1º-LGPD, assim como os próprios titulares de dados.

Para isso a organização já deve ter estabelecido as formas de comunicação entre empresa-titulares-agência supervisora, ou seja, o responsável (DPO -art. 41 LGPD), os canais (email, telefone) e a forma oficial (formulários, relatórios, conteúdo, etc.).

6.Revisão e atualização

Considerando-se que nada é estático e que tecnologia e legislação estão em constante evolução, o projeto de “compliance”deve prever revisões e atualizações periódicas, do mesmo modo que a organização atualiza seus “softwares”deverá atualizar seus processos e políticas de privacidade e segurança de dados.

Sabemos que o assunto é vasto e não temos a pretensão e nem seria factível cobrir aqui, toda a sua complexidade, mas podemos abrir portas para que os interessados busquem mais conhecimento e não sejam “pegos de surpresa”.

Se você quiser saber mais, acesse meu artigo no Jusbrasil: “Por que a LGPD “vai pegar”! e pesquise a bibliografia abaixo.

Até a próxima.

Lilian Pinheiro

Advogada Especialista Direito Digital, DPO “as a servisse”, Empresária, Membro das comissões OAB Direito Digital e Compliance, Inovação e Empreendedorismo.

Email: contato@melopinheiroeveras.com.br

Bibliografia:

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Brasília, DF. Acesso em 20 jul.2020.

MALDONADO, Viviane Nóbrega. BLUM, Renato Ópice. Lgpd -Lei Geral De Proteção De Dados -Comentada.São Paulo: Revista dos Tribunais, 2019.

MARTINS, Ricardo Maffeis; GUARIENTO, Daniel Bittencourt. Adequação à LGPD: uma oportunidade para empresas reverem seus modelos de negócio e desenvolverem novos produtos. Migalhas.Acesso em 20 jul.2020.

PINHEIRO, Patrícia Peck.Proteção de Dados Pessoais.1ª Ed. SP: Saraiva, 2018.

 

Esta gostando do conteúdo? Compartilhe

Share on whatsapp
Share on telegram
Share on facebook
Share on linkedin

Blog EB Treinamentos

Quer ficar por dentro de todas as novidades da EB Treinamentos ?

aahh que pena

Preencha seus dados e nós vamos te avisar quando a próxima turma abrir