Em um contexto caracterizado pelo aumento de eventos relacionados a vazamentos de dados, a LGPD (Lei Geral de Proteção de Dados Pessoais) ganhou ainda mais relevância. Tendo em vista que a vigência das sanções previstas na regulamentação começou em agosto de 2021, é necessário que as empresas saibam como se proteger. Por isso, entendemos a necessidade de criar o Guia da LGPD em 2022 para PMES.
Afinal, ficar a par dos detalhes, do método de aplicação da lei e das penalidades é mais que fundamental para o empresário. O cuidado não só ajuda a criar uma boa imagem perante consumidores e potenciais clientes, como também, protege a empresa contra certas consequências legais.
Se você tem uma PME (pequena e média empresa), mas ainda tem muitas dúvidas a respeito da LGPD em 2022, chegou a hora de esclarecer cada uma delas. Confira os detalhes, no nosso guia sobre o assunto!
Qual é o objetivo da LGPD?
Para começar, vamos relembrar qual foi o propósito de criação dessa lei: proporcionar aos usuários o pleno controle quanto à utilização de seus dados. O raciocínio se aplica tanto a dados pessoais, como CNH, RG, idade, etc., quanto aos chamados dados sensíveis.
O segundo grupo recebe mais atenção do texto legislativo devido ao uso inapropriado para realização de atos discriminatórios. Separamos alguns desses dados como exemplo:
- orientação sexual;
- ideologia política;
- biometria;
- origem étnica ou racial;
- informações médicas;
- prática religiosa.
Além disso, a LGPD também obriga as organizações não só a pedirem autorização de uso desses dados, mas igualmente, a informar exatamente qual será a finalidade. Se houver a intenção de compartilhá-los com outras empresas parceiras de negócio, por exemplo, isso deve estar explicitado no aviso.
Ao mesmo tempo, a lei vem com a missão de ampliar a responsabilidade das empresas durante o ciclo completo de um dado. Na prática, isso significa que os gestores devem criar um planejamento que compreenda sistemas seguros de armazenamento e acesso.
Como a LGPD impacta as empresas?
Com uma transformação digital cada vez mais rápida e profunda, leis como a LGPD requerem alguns ajustes internos nas PMEs. De maneira geral, a norma exige, se não houver, investimentos capazes de criar uma infraestrutura robusta de tratamento de dados. Afinal, cada empresa adquire uma quota de responsabilidade quanto ao rastreamento e sigilo dos dados que estiverem sob sua guarda.
Não à toa, desde o início, a legislação fala sobre a necessidade da implantação de um sistema de governança dedicado à privacidade das pessoas. A concretização de todo esse processo demanda pessoal capacitado para tal, além de um planejamento minucioso e integração com determinadas tecnologias.
Evidentemente, essa montagem requer tempo, o qual foi concedido para que as organizações tirassem dúvidas e, gradualmente, fossem adaptadas às transformações. Soma-se a isso o fato de que os custos costumam causar mais impactos nas pequenas empresas.
O órgão encarregado de averiguar as adequações é a ANPD (Autoridade Nacional de Proteção de Dados). Além de advertências, o não cumprimento dos deveres estipula as seguintes sanções:
- multas diárias;
- multas simples (pelo menos 2% sobre o faturamento), com teto de R$50 milhões por ato infrator;
- bloqueio de utilização dos dados pessoais armazenados e envolvidos na infração;
- suspensão temporária ou proibição do processo de tratamento desses dados;
- publicização da transgressão.
Quais são os desdobramentos da LGPD em 2022?
Dado que o primeiro ciclo de fiscalização da LGPD se inicia em 2022, é essencial saber como ela, de fato, ocorrerá. Embora o trecho que trata do detalhamento do método a ser adotado esteja sujeito a sofrer ajustes, alguns pontos devem ser analisados.
Em primeiro lugar, note que, via canal disponibilizado pelo governo federal, os titulares de dados já podem efetuar pedidos de fiscalização junto à ANPD. Em resumo, a entidade entra em ação após ser requisitada de três maneiras:
- reclamação — feita pelo próprio titular quanto ao não atendimento de solicitação de regularização por parte do detentor dos dados;
- denúncia — realizada por qualquer indivíduo (pessoa física ou jurídica) com relação à violação da LGPD;
- representação — conduzida por órgãos públicos no que diz respeito a eventos que possam descumprir as regras da nova lei.
Observe, entretanto, que a ANPD não exercerá seu papel fiscalizador apenas mediante requerimentos. Isso porque a instituição também seguirá um cronograma de monitoramento. Embora faltem algumas especificações, a colaboração com outras entidades governamentais está igualmente em pauta. Há, inclusive, a sinalização de coparticipação de agências reguladoras internacionais.
As penalidades são aplicadas quando necessário, mas repare que a ANPD também cumpre as funções preventivas, derivadas de orientações de boas práticas concedidas às empresas. Em caso de infração, as punições serão aplicadas por meio das seguintes etapas:
- instauração — processo aberto após análise e identificação de infrações;
- instrução — encaminhamento de intimação à empresa infratora, que passa a ter prazo limite de dez dias para formalizar sua defesa;
- decisão de primeira instância — a deliberação cabe à Coordenação Geral de Fiscalização.
Em seguida, são contados mais dez dias para pedido de recurso administrativo junto ao Conselho Diretor. Conforme negação da solicitação, as sanções podem ser, finalmente, aplicadas de acordo com o texto da LGPD.
Com relação aos critérios adotados para executar as penalidades informadas, tenha em mente que o órgão fiscalizador avaliará:
- nível de gravidade da infração e tipos de dados envolvidos;
- sinalização de “boa-fé” e cooperação por parte do diretor de Proteção de Dados da empresa;
- condição financeira da organização;
- registro de reincidência;
- realização de compliance de proteção de dados;
- implantação de mecanismos de contenção de danos.
Como se adaptar à LGPD?
Infelizmente, a maior parte das PMEs ainda está correndo contra o tempo. Sabe-se, por exemplo, que somente 37% (três, em cada dez) das pequenas e médias empresas declararam total alinhamento às regulamentações relativas à LGPD.
O número chama a atenção, já que a nova lei existe desde 2018. Conclusão: houve um período razoável para promover as adaptações necessárias. Também é verdade que boa parcela dos gestores não sabe bem como proceder.
Para se preparar de maneira apropriada, é necessário:
- revisar políticas de coleta, guarda e proteção de dados;
- reformular contratos, deixando-os mais diretos e transparentes;
- atualizar a política de privacidade;
- praticar medidas de governança em privacidade;
- providenciar um forte esquema de segurança da informação;
- certificar-se de que todos os colaboradores entendem a importância de alinhamento aos novos procedimentos adotados;
- nomear o profissional responsável pelo posto de diretor de Proteção de Dados — item obrigatório da LGPD.
Como fica fácil perceber, a adequação à LGPD em 2022 depende tanto de uma boa gestão da base de dados quanto de um sistema de tratamento eficiente. Agora, você já sabe como a fiscalização entrará em ação e o que deve fazer para deixar sua PME devidamente preparada.
Antes de ir, compartilhe essas informações valiosas com seus parceiros de negócios nas suas redes sociais!