Você sabe o que é LGPD? Quais os desafios impostos pela nova lei? Quais as perspectivas dos principais setores da economia em 2021 considerando a necessidade de atender a uma nova conformidade legal?
A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/2018) dispõe sobre o tratamento de dados pessoais. A definição de tratamento de dados é abrangente, e, inclui toda e qualquer operação realizada com dados pessoais durante o seu ciclo de vida. Dentre essas operações estão: a coleta, organização, armazenamento, utilização, compartilhamento e eliminação de informações relacionadas as pessoas naturais identificadas ou identificáveis.
Após muitos adiamentos e indefinições, a MP 959/2020 foi sancionada e convertida na Lei 14.058/2020. Com isso, a LGPD passou a vigorar, a contar de 18 de setembro de 2020. Entretanto, em virtude da pandemia, a Lei 14.010/2020 também alterou a vigência da LGPD, mas apenas para fins de aplicação das sanções e multas previstas nos arts. 52 a 54 da LGPD (Lei 13.709/2018), que passam a vigorar somente a partir de 01 de agosto de 2021. Cabe destacar que apesar do adiamento na aplicação de sanções e multas, a Lei já está em vigor e as Organizações que ainda não se adequaram já se encontram em desconformidade legal. Se esse é o caso da usa Organização, é bom acelerar o processo. Há muitos projetos e ações a serem implementadas e o tempo é cada vez mais exíguo.
A Lei trouxe garantias importantes e confirmou direitos individuais dos cidadãos (titular dos dados) já tutelados na Constituição e previstos em outros diplomas legais, como aqueles garantidos pelo CDC – Código de Defesa do Consumidor. Dentre os direitos garantidos pela LGPD estão, o direito de acessar os seus próprios dados, a confirmação da existência de tratamento, a anonimização, bloqueio ou eliminação de seus dados pessoais (exceto quando houver exigência legal) do ambiente de responsabilidade do Controlador (Organização). Desde a entrada em vigor da LGPD qualquer tratamento de dados pessoais deve ser realizado a partir da definição de uma finalidade legítima e amparada em uma das 10 (dez) hipóteses de tratamento de dados pessoais (bases legais). Dentre as bases legais previstas, podemos citar o cumprimento de obrigação legal ou regulatória por parte do Controlador (Organização), a preparação ou execução contratual, o legítimo interesse do Controlador (a mais subjetiva e polêmica delas) ou mediante o consentimento expresso do titular, que é a regra.
A Lei é aplicável a qualquer pessoa natural ou pessoa jurídica (de direito público ou privado), desde que o tratamento dos dados pessoais ou o fornecimento de bens ou serviços sejam ofertados em território nacional. Lembrando que o conceito de tratamento de dados é abrangente, conforme exemplificado. Dessa forma, por exemplo, os grandes players de tecnologia do mercado, mesmo que tenham a sua sede em outros países ou ainda que mantenham a hospedagem dos dados pessoais fora do território nacional, estão sujeitos à LGPD, uma vez que fornecem ou tratam dados pessoais que foram coletados no Brasil.
No âmbito do mercado interno, praticamente a maioria das organizações (públicas ou privadas) estão sujeitas a aplicação da LGPD. Essa lista vai desde a farmácia da esquina até grandes empresas e órgãos ou entidades da Administração Pública. Quer saber se a sua Organização precisa estar em conformidade? Basta um simples questionamento. A sua Organização realiza o tratamento de dados pessoais de seus colaboradores, parceiros ou clientes? Se a resposta for sim, o compliance com a LGPD é obrigatório. A Lei prevê algumas excepcionalidades à regra, como no caso de pessoas naturais que utilizam dados pessoais para fins exclusivamente particulares e não econômicos, dados pessoais utilizados exclusivamente para fins jornalísticos, artísticos, de Segurança Pública ou para atender às Políticas Públicas, dentre outras.
Por motivos diversos, e, em potencial, por conta das incertezas do mercado e dos efeitos econômicos negativos produzidos pelo cenário da pandemia, muitas Organizações adiaram ou não demonstraram interesse em iniciar as tratativas de Compliance com a LGPD. Em alguns casos, observa-se até mesmo o descrédito em relação a execução e fiscalização da Lei. Em outros, há a simples falta de conhecimento sobre o assunto ou de assessoramento adequado. É importante destacar que a segurança e privacidade sobre os dados pessoais não são apenas boas práticas, mas sim requisito essencial de conformidade legal que precisa ser atendido.
Para os incrédulos ou desatentos, resta observar que a ANPD (Autoridade Nacional de Proteção de Dados Pessoais), órgão responsável pela fiscalização e aplicação das sanções e multas já foi criada (Lei nº 13.853/2019). Incialmente será órgão da Administração Direta, subordinado a Presidência da República. Contudo, a sua condição é transitória. No prazo de até 02 (dois) anos, a mesma pode se tornar uma Autarquia Especial, o que vai ampliar a sua independência e o seu poder de atuação. O produto da arrecadação das multas aplicadas pela ANPD será destinado ao Fundo de Defesa de Direitos Difusos (incluído pela Lei nº 13.853/2020). Cabe lembrar também que a estrutura regimental e de cargos foi aprovada (Decreto nº 10.474/2020), bem como já houve a nomeação do Conselho Diretor (Decreto Nº 05/2020). Isso sinaliza que em 2021 a ANPD vai estar pronta para atuar plenamente. Se ainda não se convenceu, basta observar a atuação das agências de proteção de dados europeias, que vem aplicando multas de alto valor para as organizações que descumprem o regulamento europeu.
A desconformidade com a LGPD pode custar caro para Organização, e colocar em risco até mesmo a sua existência. A Lei prevê multas e sanções rígidas. Uma Organização (Controlador) que der causa a um incidente de segurança com os dados pessoais pelos quais seja o responsável ou por entidade que esteja realizando o seu tratamento (Operador) por determinação de um Controlador pode receber a aplicação de multa correspondente a até 2% do seu faturamento anual, limitado ao valor de até 50 milhões de reais. Lembrando que a multa é por infração. Isso significa que um ambiente em desconformidade pode promover inúmeras infrações.
Apesar da preocupação de empresários e gestores de empresas estatais de direito privado em relação ao valor da multa, este pode ser o menor dos seus problemas. Para grande parte das Organizações, senão todas, a sua reputação e imagem são seus maiores ativos. É preciso ter em mente que, havendo um incidente de segurança com os dados pessoais de clientes, colaboradores, parceiros, etc., a reputação e a imagem da empresa pode ser parcial ou totalmente comprometida e o seu valor de mercado ou de suas ações (quando aplicável) podem despencar. Um exemplo de risco nesse sentido, é a probabilidade da ANPD determinar que o Controlador, em caso de incidentes importantes, tenha que fazer o reconhecimento público do incidente, incluindo a sua publicação. Muitos não se atentam, mas uma situação dessas pode depreciar a reputação e imagem da Organização, o que vai exigir a implementação de um processo de gestão de crise, um dos processos que integram um Programa de Governança em Segurança & Privacidade, por exemplo. Essa é apenas uma, dentre tantas outras ações que precisam ser implementadas.
O fato é que, para atuar preventivamente e evitar situações como essas, as Organizações vão enfrentar muitos desafios. O processo de adequação da Organização em relação aos requisitos da LGPD vai exigir esforço e recursos. Esse processo deve ser realizado de forma estruturada e vai envolver muitas frentes de trabalho, aquisições de ativos, contratação de consultoria, sensibilização e mobilização de toda a Organização.
O Consultor, especialista e Mestre na área de proteção de dados pela Universidade Federal do Amazonas, Eduardo Nunan, após ministrar dezenas de treinamentos na área de compliance e implementação da LGPD, desenvolveu um método de implementação em 7 etapas: Mobilização e Treinamento, Organização, Preparação Interna, Diagnóstico, Implementação, Governança em Privacidade e Monitoramento, Avaliação e Melhoria Contínua. As etapas incluem uma série de projetos, atividades e ações, como por exemplo, Assessment Inicial, mobilização e treinamento da Organização, elaboração de políticas, adequação de contratos, mapeamento de processos e fluxo de dados, análise de riscos, inventário de ativos, etc.
Segundo o consultor, para o sucesso do processo de adequação é fundamental iniciar pela mobilização e treinamento de todos os gestores de áreas que tratam dados pessoais, e, em seguida, seguir para as etapas seguintes do modelo proposto. Mobilizar e treinar apenas a área de Tecnologia da Informação é insuficiente. Cabe lembrar, que em cada unidade administrativa há um gestor responsável pela execução de processos internos que são afetados por regras de compliance e por colaboradores que precisam ter o conhecimento adequado sobre os requisitos da Lei. Independente do meio utilizado, os dados fluem por processos executados nos diversos setores da Organização, onde são tratados (acessados, coletados, processados e compartilhados, etc.). Lembra? Um incidente de segurança pode representar uma ou mais infrações, por consequência, sanções e multas e eles podem ocorrem em qualquer um desses ambientes. Por isso, os controles devem ser aplicados em todas as camadas. Além disso, a Organização não realiza apenas o tratamento de dados no formato digital, mas também no formato físico (relatórios, formulários, documentos impressos, etc.). Não há dúvidas, que algumas áreas vão precisar ter um envolvimento maior. Dentre elas, a Governança, Controle Interno, a área de TI, o setor Jurídico, o setor de Recursos Humanos, Marketing, Gerenciamento de produtos e serviços, dentre outros, dependendo do tipo de organização. Contudo, a responsabilidade de adequação à LGPD é de toda a Organização.
Nesse contexto conturbado, em virtude da pandemia, o Compliance com a LGPD tem sido, de certa forma, despriorizado ou até mesmo negligenciado pelas Organizações. Entretanto, com prazo cada vez mais exíguo, frente aos riscos de sanções e multas, e, em virtude da quantidade de projetos e ações que precisam ser implementadas, a expectativa é que em 2021 haja uma corrida desenfreada por consultoria, treinamentos e por profissionais qualificados para atuar nos diversos segmentos de mercado, incluindo uma forte demanda para a contratação de profissional ou de serviços de Encarregado de Proteção de Dados, popularmente chamado de DPO – Data Protection Officer. Quer saber mais sobre Compliance e sobre LGPD? Quer ouvir especialistas convidados sobre a sua perspectiva setorial em relação ao compliance com a LGPD? Então se inscreva no Canal Compliance Mais – YouTube.
Eduardo Nunan, criou um canal no Youtube, denominado Compliance Mais – YouTube, para compartilhar conteúdo gratuito sobre temas importantes relacionados a área de Compliance. Compliance é estar alinhado a um conjunto de requisitos aplicáveis a um determinado negócio. A LGPD está inserida nesse contexto.
A inauguração de conteúdo do canal vai ocorrer no próximo dia 20 de janeiro (2021), as 18h (hora Manaus) com uma LIVE que terá como tema “As Perspectivas e Desafios da LGPD para 2021”. O evento será gratuito. Basta apenas se inscrever no canal Compliance Mais – YouTube. A LIVE vai focar nas perspectivas e desafios da LGPD sob a ótica de experts dos principais setores da economia. O mediador da LIVE será o próprio proprietário do canal, Eduardo Nunan. Os palestrantes confirmados são: Dr. Ulisses Tapajós Neto, Engenheiro, empresário, Executivo premiado no setor industrial (45 anos de experiência no Polo Industrial) e Ex-Secretário Municipal de Finanças e Tecnologia da Informação, da Prefeitura de Manaus; Dr. Rogério de Sá Nogueira, Advogado, Subcontrolador-Geral de Transparência e Ouvidoria do Governo do Estado do Amazonas; Dr. Aldo Evangelista, Advogado, Presidente da Comissão de Direito Digital, Startups e Inovação da OAB-AM; Prof. Dr. Eduardo Souto. Doutor em Ciência da Computação. Professor Adjunto do ICOMP da Universidade Federal do Amazonas (UFAM) e membro o grupo de pesquisas em Tecnologias Emergentes e Sistemas de Segurança; Wescley Rabelo. CIO SESC Amazonas e Presidente do Grupo de Gestores de TIC do Amazonas e Lucas Prado. Bacharel em Direito. Cientista de Dados e Co-fundador da StartUp Merity.
Após a LIVE, o canal terá conteúdo gratuito toda a semana, com vídeos aulas sobre temas da área de compliance ministradas pelo prof. Eduardo Nunan e convidados. Vamos falar sobre LGPD, programas de integridade, governança, transparência, dentre outras pautas. A primeira série será a continuidade do tema da LIVE e se chama LGPD+.
O conceito de COMPLIANCE visa agregar valor ao negócio e assegurar a sobrevivência da empresa. Os empresários e gestores precisam ter um olhar positivo. Isso vale para a LGPD. Aliás esse é um dos princípios do Privacy-By-Design (Full Functionality – Positive-Sum, not Zero-Sum) e que permite compreender os benefícios da implementação da LGPD, tais como: identificação de riscos e prevenção de problemas, correção efetiva de não-conformidades, aumento da governança, melhoria da eficiência e qualidade dos serviços ou produtos, consolidação de uma cultura organizacional, ganho de credibilidade junto aos seus clientes, ganho de vantagem competitiva em relação à concorrência; atração de investidores e investimentos e garantia de perenidade ou sustentabilidade da Organização.
Eduardo Nunan é Auditor de Controle Externo, na área de Tecnologia da Informação, no Tribunal de Contas do AM, professor, palestrante e consultor na área de compliance e proteção de dados. Possui Mestra em Ciência da Computação pela UFAM, especialização em Tecnologia e Segurança pela UNESA-RJ e em Gestão Pública pela UEA.
Linkedin: linkedin.com/in/eduardo-nunan-
E-mail: eduardonunan@gmail.com
Canal no Youtube: Compliance Mais – YouTube
E-mail do Canal: compliancemais@gmail.com