Por Luiza Simon, advogada
Nesse mês de setembro se comemora 1 ano da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), porém foi tão somente a partir de 1º de agosto de 2021 que a referida Lei passou a produzir todos os seus efeitos. Isso porque, os artigos do capítulo VIII da referida lei, que tratam da fiscalização, somente passaram a vigorar a partir de agosto deste ano.
Com a entrada em vigor dos artigos 52, 53 e 54, a Autoridade Nacional de Proteção de DADOS – ANPD poderá aplicar sanções administrativas para aqueles que descumprirem com o quanto disposto na LGPD. As sanções administrativas vão desde a advertência até a aplicação de multa de até 2% do faturamento bruto anual – limitada ao total de R$ 50 (cinquenta) milhões por infração – ou até mesmo a eliminação dos dados pessoais a que se refere a infração.
Para evitar as penalidades previstas na Lei, as empresas precisam se atentar ainda mais às novas mudanças, adequando-se o quanto antes às exigências legais. Este processo de adequação perpassa pela adoção de algumas importantes medidas, dentre as quais destacam-se as abaixo indicadas:
- CONSCIENTIZAÇÃO DOS COLABORADORES ACERCA DA LEI E DE QUE FORMA ELA IRÁ AFETAR O DIA A DIA DO TRABALHO E AS ATIVIDADES DA EMPRESA
Com a LGPD nasce a necessidade de mudar a cultura de proteção de dados. Essa nova cultura precisa ser implementada e praticada por todos os integrantes da empresa para funcionar.
Para isso, é de suma importância que a sua empresa invista na conscientização dos seus colaboradores, a fim de que todos, sem exceção, compreendam o conteúdo da Lei e seus princípios básicos. Isso porque, o desconhecimento da legislação certamente dificultará o processo de implantação das novas práticas de gestão.
- NECESSIDADE DE REVISÃO/ADEQUAÇÃO DAS POLÍTICAS DE SEGURANÇA DE DADOS DA EMPRESA
As empresas precisam proteger os dados que possuem. A política de segurança da informação (PSI) de uma empresa consiste no conjunto de regras que ditam o acesso, o controle e a transmissão da informação em uma organização.[1]
A segurança da informação compreende um conjunto de práticas, recursos, sistemas, habilidades e mecanismos usados para proteger todos e quaisquer tipos de dados da empresa e sistemas contra o ataque de criminosos, o acesso indevido de usuários e o uso impróprio das informações da organização.[2]
Uma boa política de segurança da informação garante a proteção das informações que a empresa tem acesso, evitando os riscos de perda, vazamento ou o hackeamento desses dados. Por isso, é importante investir em sistemas de segurança digital que atendam às necessidades de proteção da empresa.
Ao contrário do que muitos pensam, o cuidado e a preocupação com a segurança desses dados deve ser geral, não só dos profissionais de TI. Todos os funcionários da empresa devem ter o conhecimento da política de segurança, evitando condutas como o compartilhamento de informações sigilosas ou senhas de acesso, utilização de dispositivos externos que contenham vírus, dentre outros.
- NOMEAR UM ENCARREGADO PARA ZELAR PELA SEGURANÇA DE TODOS OS DADOS ARMAZENADOS
A ideia é ter um especialista responsável pela proteção desses dados, gerenciando e aprimorando boas práticas de gestão para que a empresa esteja em compliance com as diretrizes da LGPD.
A lei define o encarregado ou, como muitos preferem chamar, DPO (data protection officer) em seu artigo 5º como “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.
A própria LGPD prevê quais são as atividades do encarregado, quais sejam: (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da autoridade nacional e adotar providências; (iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Basicamente, o DPO vai funcionar como um mediador entre os titulares dos dados e a empresa possuidora dos dados. Por essa razão, os dados de contato do encarregado devem ser públicos e estarem facilmente acessíveis nos canais de comunicação da empresa.
Lembrando que o DPO deve possuir experiência na área de segurança da informação/proteção de dados e possuir profundo conhecimento da LGPD, afinal será ele o responsável por treinar a equipe e implementar novos hábitos no tratamento desses dados – de forma que a sua figura se torna demasiadamente importante.
Aliada a adoção de tais medidas, recomenda-se a busca de orientação jurídica especializada, a fim de garantir que estejam em linha com as diretrizes legais em vigor.
[1] Política de segurança da informação: saiba como e por que desenvolvê-la. Docusign, 2018. Disponível em: https://www.docusign.com.br/blog/politica-de-seguranca-da-informacao-saiba-como-e-por-que-desenvolve-la. Acesso em: 20 de setembro de 2021.
[2] Tudo sobre segurança da informação! Confira nosso guia completo do assunto. STEFANINI, 2021. Disponível em: https://stefanini.com/pt-br/trends/artigos/guia-sobre-seguranca-da-informacao. Acesso em: 20 de setembro de 2021.