Prévia do material em texto
LEI GERAL DE PROTECÃO DE DADOS LGPD M A R I A N A D E T O L E D O G U I A C O M P L E T O SOBRE A AUTORA MARIANA DE TOLEDO Empresária, advogada e palestrante. Sócia do Sousa Cruz Advogados, escritório especializado em consultoria empresarial e programas de governança em privacidade e proteção de dados; Diretora de Conteúdo e co-founder do Empreendedorismo legal. Idealizadora e professora do curso LGPD 4.0. Especialista em direito empresarial, governança em privacidade e proteção de dados. Graduada em Direito pela Faculdade IBMEC/MG; Pós Graduada em Direito e Gestão Jurídica pela Faculdade IBMEC/MG; Pós Graduanda em LegalTech, Direito, Inovação e Startup pela Pontifícia Universidade Católica de Minas Gerais. Possui Curso de Extensão em Proteção de Dados Pessoais e Privacidade pela Data Privacy BR, em Arbitragem pela Faculdade IBMEC/MG e atualização em Direito, Tecnologia e Inovação pelo Centro de Pesquisa em Direito, Tecnologia e Inovação (DTIBR). Eu acredito que este e-book será útil para muuuita gente! Proteção de dados pessoais e a Lei Geral de Proteção de Dados (“LGPD”) são assuntos que afetam todos nós e você, aqui, vai descobrir como. Por um lado, este documento pode servir para quem é empreendedor e está preocupado com a aplicabilidade da LGPD em seu negócio. Porém, ele definitivamente serve, principalmente, para advogados e outros profissionais que vêem na área uma grande oportunidade de atuação e que gostariam de trabalhar com proteção de dados como consultores ou Data Protection Officer (“DPO"), ou ainda que almejam crescer dentro da empresa em que já trabalham. Além disso, as estratégias que vou apresentar aqui servem para uma infinidade de tipos de empreendimentos, tais como saúde, marketing, customer success, educação, advocacia, finanças, recursos humanos, contabilidade, e- commerce, varejo, e muitos outros. Vou ficar muito feliz se você terminar este e-book conseguindo enxergar as múltiplas oportunidades que a LGPD apresenta para o mercado e sabendo por onde começar a criar um programa de conformidade. Você deve estar se perguntando: por que uma Lei Geral sobre Proteção de Dados? E por que eu, como profissional, deveria me preocupar com ela? Para que você realmente absorva a importância desse tema, eu preciso que esqueça de tudo o que já ouviu falar sobre essa lei e que foque seu olhar, agora, no que eu vou te dizer aqui. Você consegue se lembrar de todos os locais em que distribuiu dados no mês passado? Consegue pensar em um só momento em que eles não estão sendo coletados? suas doenças e vender para planos de saúde para que estes possam aumentar o valor do seu plano? Já te pediram CPF em farmácias, lojas ou restaurantes? Você se preocupou em perguntar o porquê da exigência daquele dado e qual era a finalidade da coleta? E se eu te contar que algumas farmácias utilizam esses dados para desenvolver um mapeamento das E se eu te contar que algumas empresas verificam qual é o modelo do seu computador para, a partir de tal informação, exercer precificação dinâmica, colocando preços maiores para pessoas que têm computadores de marcas mais caras. E se eu te contar que foi criada uma indústria de venda de mailing de clientes, e que seus dados podem estar nessas listas? E, por fim, se eu te contar que o wi-fi público grátis não tem nada de grátis, que você troca internet por dados pessoais utilizados para finalidades bem diversas à de te entregar acesso à internet? Com certeza você já foi perseguido por uma publicidade. Onde você entra, está lá, aquela propaganda te seduzindo e te perseguindo até que você de fato resolve ceder e comprar determinado produto. Você gosta disso? Dados pessoais são rastros da nossa personalidade e, além de nos identificarem, podem manipular nossas escolhas e afetar, inclusive, a democracia. Não sei se você conhece, mas não posso deixar de falar do caso do Facebook e Cambridge Analytica. Esse é um dos principais casos, se não o principal, que demonstra como a coleta de nossos dados pode levar à manipulação de nossas escolhas, inclusive relacionadas ao nosso voto. Ao mesmo tempo, dados pessoais são ativos de extrema importância para as empresas. Eles são necessários porque correspondem ao quanto a empresa sabe sobre aquele consumidor, e quanto mais ela sabe, maior ela fica, mais ela vende e mais lucrativa ela se torna. É através da coleta de dados que a empresa proporciona ao seu cliente uma melhor experiência e, hoje, as empresas não vendem mais produtos ou serviços, e sim experiência. E o cliente quer isso, ele gosta disso, porque ter serviços personalizados nos poupam o nosso principal ativo: TEMPO. Só que ao mesmo tempo em que existem empresas sérias que valorizam os dados, existem aquelas que querem fazer com eles o que bem entenderem. E é aí que mora o perigo! Além disso, estamos vivendo a “era dos vazamentos de dados”. Toda semana nos deparamos com alguma notícia que diz “empresa tem incidente de vazamento de dados”. Se o cenário legislativo permanecesse da forma como estava, sem uma legislação específica visando realmente à proteção, e se de fato não parássemos para discutir o tema, as pessoas iriam buscar meios de não mais distribuir seus dados e, assim, o mercado perderia sua principal matéria prima. Nesse sentido, falar de proteção de dados pessoais é falar de inovação, de empreendedorismo e de desenvolvimento econômico. E é nessa perspectiva que entra a LGPD, estabelecendo as regras do jogo para que os controladores possam continuar usando os dados como sua principal matéria, mas priorizando a proteção dos direitos dos titulares, gerando confiança, mais eficiência e transparência no tratamento de dados. A Lei Geral de Proteção de Dados (Lei n.º 13.709/2018), legislação brasileira que regula as atividades de tratamento de dados pessoais, foi sancionada em agosto de 2018 e entrou em vigor em 18 de setembro de 2020, sendo oportuno destacar que, em princípio, a aplicação de suas sanções somente poderá ocorrer a partir de 1º de agosto de 2021. A LGPD possui uma função dupla: 1 - Fomentar o desenvolvimento econômico e tecnológico; 2 - Proteger direitos e liberdades fundamentais. A Lei se aplica a qualquer operação de tratamento de dados pessoais realizada tanto por pessoa natural quanto por pessoa jurídica (independente do porte da empresa); seja realizada em território brasileiro, ou com dados coletados no território nacional, ou ainda que tenha como titular pessoa localizada em território nacional, tanto no ambiente online quanto no offline¹. Cumpre dizer que, por tratamento, entende-se todas as ações que são feitas com os dados pessoais desde a sua coleta até a sua exclusão, tais como: coleta, processamento, arquivamento, eliminação, avaliação, acesso, transferência, etc. No entanto, a lei não se aplica ao tratamento dos seguintes dados²: 1 - Realizado por pessoa natural para fins exclusivamente particulares e não econômicos; 2 - Realizado para fins exclusivamente jornalístico e artísticos ou acadêmicos; 3 - Realizado para fins exclusivos de segurança pública; defesa nacional; segurança do Estado; atividades de investigação e repressão de infrações penais; 4 - Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na Lei. Dados pessoais são todas as informações que identificam ou possam identificar uma pessoa natural³. Entenda por dados que identificam uma pessoa aqueles convencionais, tais como: nome, CPF, identidade, título de eleitor, e-mail, etc. Quando falamos de dados que possam identificar, você deve pensar em um quebra-cabeças, em que um dado sozinho não é capaz de identificar uma pessoa, mas que, se for agrupado com algum outro dado, pode sim identificá-la. Por exemplo:Provavelmente você logo pensou: Ivete Sangalo. Percebe que mesmo eu não te dando o nome dela, nem identidade, nem CPF, mas com apenas três dados você conseguiu identificar sobre quem eu estou falando? Então esses dados são considerados identificáveis e, logo, são considerados dados pessoais. O conceito de dados pessoais também compreende dados que possam sujeitar uma pessoa individualizada a determinada atitude, ação, comportamento, sem que seja necessário saber quem é aquela pessoa, mas de algum modo interferir nas suas escolhas. Dentro do gênero “dados pessoais”, temos a classe “dados pessoais sensíveis”, que são dados que, devido a sua sensibilidade natural, podem levar a atitudes discriminatórias contra seus titulares e, por tal motivo, precisam de uma atenção especial. São considerados dados sensíveis: raça, etnia, opinião política, filiação a sindicatos, orientação sexual, e os dados referentes à saúde ou à vida sexual, dados biométricos ou genéticos. Lado outro, tem-se os dados de criança e adolescente: os quais também requerem uma atenção especial, sendo necessário a coleta de consentimento específico do responsável. E, por fim, os dados anonimizados: que não permitem a identificação do titular através da utilização de meio técnicos razoáveis. Tais dados não são considerados dados pessoais. • Titular: Pessoa natural a quem se referem os dados objeto de tratamento. • Controlador: Pessoa física ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais. • Operador: pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. • Autoridade Nacional de Proteção de Dados (“ANPD”): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD. • Data Protection Officer ("DPO"), ou Encarregado de Dados: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados, ou seja, ele será a interface da organização no tocante ao tema de privacidade e proteção de dados. A Lei não faz qualquer exigência sobre formação acadêmica, nem certificação para ocupação desse cargo, sendo uma grande oportunidade de carreira para aqueles que desejam atuar na área. Destaco que é muito importante que aquele que deseje exercer esse cargo conheça muito sobre a empresa, sobre a LGPD e a legislação sobre o tema ao redor do mundo. Um dos pontos mais relevantes da lei são seus princípios. Eles funcionam como base para todo o desenvolvimento normativo e devem ser utilizados como parâmetro em qualquer interpretação da norma. No direito, os princípios dão a cara da legislação: eles que vão mostrar qual é a intenção da norma. Logo, são a base fundante do ordenamento jurídico e qualquer leitura da lei deve se dar tendo por base os princípios por ela estabelecidos. O acolhimento desses princípios como valores da empresa fazem com que de fato surja a cultura de proteção de dados e com isso o olhar saia da lei e passe para o usuário, criando assim um novo estágio de sucesso e experiência do cliente. Conforme o art. 6º da Lei, são eles: • Finalidade: É essencial que o tratamento de dados pessoais tenha uma finalidade específica que deve ser informada para o titular e o tratamento daquele dado deve se restringir a tal finalidade. • Necessidade: A coleta daquele dado deve ser necessária para a finalidade ao qual ele se destina. É uma questão de minimização, sempre coletar o mínimo de dados necessários, ou seja, coletar apenas aqueles efetivamente imprescindíveis. • Transparência: Assegurar aos titulares informações claras, precisas e de fácil acesso a seus dados. Trata-se de criar uma relação de confiança entre empresa e titular, em que este sabe exatamente o que a organização fará com seus dados. • Segurança: É a utilização de medidas técnicas para garantir a segurança dos dados pessoais evitando situações de incidentes de segurança. • Prevenção: A necessidade de adoção de medidas para prevenir a ocorrência de danos aos titulares dos dados pessoais. • Adequação: O tratamento dos dados pessoais tem que ser compatível com a finalidade para a qual eles foram coletados. • Livre Acesso: Permitir de forma simples e gratuita o acesso dos titulares aos dados coletados, bem como a todas as informações sobre o tratamento de tais dados. • Qualidade dos dados: Garantir aos titulares a exatidão dos dados, mantendo esses sempre atualizados e verídicos. • Não discriminação: Garantir que o tratamento dos dados pessoais não terá finalidade discriminatória, abusiva ou ilícita. • Prestação de contas: Buscar todos os meios disponíveis para demonstrar a adoção de medidas para mitigação dos riscos e cumprimento das normas de privacidade e proteção de dados. A LGPD não tem como objetivo acabar com nenhum modelo de negócio. Muito pelo contrário: ela visa a desenvolver o empreendedorismo e a inovação através de uma autodeterminação informada do titular em relação ao que de fato é feito com seus dados. Nesse sentido, a lei estabelece 10 (dez) hipóteses que autorizam o tratamento dos dados pessoais. Ou seja, toda vez que houver o tratamento, este deve estar legitimado e pautado em uma dessas dez hipóteses denominadas BASES LEGAIS. Para cada finalidade de tratamento dos dados o controlador deverá indicar uma base legal como fundamento que legitima tal tratamento. Cumpre destacar que, em regra, uma base legal não se sobrepõe à outra. Conforme o art. 7º da Lei, são elas: • Consentimento: É a coleta de permissão do titular de forma informada, livre, inequívoca e específica, para a coleta de determinados dados pessoais. O conceito de consentimento trazido pela lei ultrapassa aquele modelo atualmente utilizado de “li e concordo”, de cashbox já marcados e “coletamos dados para melhorar sua experiência”. As empresas terão que fazer mais, ser mais eficientes e transparentes ao buscar o consentimento, utilizar da criatividade para gerar eficiência e estar em conformidade com a legislação. • Obrigação legal : É quando o tratamento de dados pessoais é necessário para o cumprimento de uma obrigação legal ou regulatória pelo controlador, ou seja, existe uma lei ou regulação que obriga o controlador a tratar aquele dado pessoal. • Processo Judicial ou exercício regular do direito: A lei autoriza o tratamento de dados pessoais para atuação em processos judiciais, administrativos ou arbitrais. • Execução de contrato: É permitido o tratamento de dados pessoais para garantir a eficácia de um contrato, ou seja, para cumprir uma obrigação oriunda de um contrato, do qual seja parte o titular, a pedido do titular dos dados. Ex.: aplicativo de entrega de alimentos - para ele entregar o seu pedido, precisa compartilhar alguns dados seus com o restaurante, para que esse possa preparar o que foi solicitado, bem como tem que compartilhar com o entregador, para que este de fato possa te entregar aquilo que você contratou. • Pesquisa: Dados pessoais poderão ser tratados para realização de pesquisas, mas somente por órgãos de pesquisa. A lei determina ainda que, nesses casos, a anonimização deverá ser utilizada sempre que possível. • Políticas Públicas: Base legal destinada à administração pública que legitima o tratamento de dados pessoais para execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. • Proteção da vida: É legítimo o tratamento de dados pessoais quando identificado estado de perigo ou risco de vida do titular ou de terceiro para que seja prestado socorro. • Tutela da saúde: Legitima o tratamento de dados pessoais essenciais para prestação de serviços ligados à saúde em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária. • Proteção ao crédito: Permite o tratamento de dados visando à proteção do crédito, ou seja, com o objetivo de diminuir o risco de inadimplência em casosde concessão de crédito por instituições financeiras. Vale destacar que essa base legal é exclusiva da legislação brasileira, devendo ser aplicada com cautela devido à falta de parâmetro jurídico internacional equivalente. • Legítimo interesse: Poderá ocorrer o tratamento dos dados pessoais para atender interesses legítimos do controlador ou de terceiros. Por interesse legítimo entende- se apoio à promoção das atividades do controlador. Vale destacar que o legítimo interesse não pode ser considerado uma carta coringa para coleta de dados, ele deve ser usado somente para tratar os dados pessoais estritamente necessários para a finalidade pretendida, bem como tem que ser realizada a validação de sua utilização através do LegitimateInterests Assessment (LIA). O LIA possui 4 fases, sendo elas: 1 - Teste de legitimidade do interesse: constatar a existência de uma situação concreta, especificar o seu propósito com aquela coleta e certificar se o interesse é de fato legítimo. 2 - Teste de necessidade: verificar se não há outra base legal que você possa se valer, bem como se aquele tipo de tratamento desejado é necessário para atingir a finalidade almejada. 3 - Teste de balanceamento: verificar se existe uma legítima expectativa do titular do dado acerca da finalidade do seu tratamento; verificar se não há a possibilidade de um impacto negativo, bem como se aquele tratamento não viola de alguma forma direitos e liberdades fundamentais do titular que se sobreponham ao interesse legítimo ali tratado. 4 - Salvaguardas: Devem ser estabelecidos mecanismos de oposição ao titular para que ele possa se opor àquele tratamento. Devem ser estabelecidos, também, mecanismos para mitigação dos riscos, bem como deve haver o máximo de transparência possível para o titular. • Quando se trata de dados sensíveis as bases legais se restringem, podendo, conforme o art. 11, ser apenas: consentimento - obrigação legal - pesquisa - políticas púbicas - exercício regular do direito em processo - proteção da vida - tutela da saúde - garantia de prevenção àfraude e segurança do titular. Além disso, para a categoria geral de dados pessoais, a LGPD estabeleceu o mesmo peso, logo, nenhuma base legal tem sobreposição à outra, sendo necessário verificar qual a base legal mais adequada para aquela finalidade de tratamento. Já para os dados sensíveis, a Lei deu mais importância ao consentimento, sendo esta a base legal “mãe”, estabelecendo que a aplicação das demais deve se dar de forma subsidiária, fundamentando um tratamento em caráter excepcional, somente para os casos em que a coleta dos dados for indispensável à utilização daquela base legal. Como definir qual a base legal adequada? Você precisa verificar 3 (três) coisas: 1 - Origem do dado; 2 - Categoria do dado (geral, sensível, de criança ou adolescente); 3 - Finalidade para a qual o dado pessoal será usado. Os titulares de dados pessoais poderão, a qualquer tempo, solicitar do controlador, mediante requisição: 1. Explicação: confirmação da existência de tratamento dos seus dados pessoais; 2. Acesso: acesso aos dados pessoais, resguardados os segredos comerciais do controlador; 3. Retificação: correção de dados incompletos, inexatos ou desatualizados; 4. Cancelamento: engloba a situação em que a base legal utilizada para o tratamento foi o consentimento e que o titular deseja revogar tal consentimento, e a hipótese em que o titular solicita anonimização, bloqueio ou eliminação de dados; 5. Portabilidade: solicitação para que o controlador transfira os dados para um novo controlador; 6. Revisão de decisões automatizadas: revisão de processos totalmente automatizados; 7. Oposição: mecanismo utilizado quando a base legal utilizada não foi o consentimento. Consiste no titular se opor ao tratamento daqueles dados. A resposta para essa pergunta com certeza não é mudar política de privacidade e termos de uso do site. Colocar uma organização em conformidade com a LGPD é criar uma cultura de proteção de dados através de um programa efetivo de Governança em Proteção de Dados. Este programa terá como objetivo estabelecer a confiança entre organização e titular de dados, demonstrar comprometimento, transparência e elevar o nível de satisfação do cliente proporcionando a esse, de fato, uma melhor experiência. Mas por onde começar? O ideal é estabelecer um projeto de conformidade em proteção de dados. Esse projeto deverá ter, no mínimo, seis fases, podendo haver adaptações pelo porte da organização e suas especificidades. Vale destacar que esse projeto não é uma receita de bolo, e que cada empresa terá um programa diferente, pois ele deve ser pensado nas necessidades da empresa, seus desafios e propósitos. Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Fase 6 Consientização Mapeamento Gap Analysys Planejamento Implementação Monitoramento As fases do projeto consistem em: Mas antes de adentrar de fato nas fases do projeto, é necessário verificar o porte da sua empresa para detectar se será necessário criar um comitê interno de privacidade. Quando se trata de empresa pequena, com poucos funcionários, o meu entendimento é o de que a criação desse comitê é desnecessária, sendo importante apenas indicar quem será o DPO. Caso o porte da organização justifique a criação do comitê, indico que esse seja multidisciplinar, com representação de todas as áreas da empresa para que o comitê possa ter uma visão global da organização e de seus processos ligados a dados pessoais. Aí sim, após definir o seu time, você adentrará nas etapas do projeto de conformidade. Fase 1 | Conscientização: O objetivo dessa fase é mostrar a importância da lei e sua aplicabilidade prática, tanto na vida dos colaboradores, como consumidores e titulares de dados, quanto na vida da empresa, sua rotina e seus processos. Realizar treinamentos e workshops, para todas as áreas da empresa e todos os funcionários, desde a diretoria até o chão de fábrica. Para disseminar uma cultura, TODOS - sem exceção - devem entender a sua importância. E a minha dica é: conquiste pelo amor, mostre que a LGPD pode ser bem mais que uma obrigação legal, mas sim uma oportunidade para toda a empresa. Crie muito bem sua estratégia de comunicação, encontre a melhor forma de persuasão e de conexão com os colaboradores. Veja o que de fato desperta a atenção deles e em quais temas a curiosidade e as dúvidas mais apareceram, e lembre-se de sempre estimular a participação. Caso você esteja atuando em consultoria externa, nessa fase você também deverá gastar todo tempo que for necessário para conhecer a organização. Então, não se restrinja ao mínimo de ler um e-mail com apresentação institucional. Converse com os funcionários, acompanhe o dia-a-dia da empresa, entenda seu modelo de negócio, seus desafios, propósito, missão, visão e valores. Fase 2 | Mapeamento: O objetivo dessa fase é mapear os dados para que seja possível identificar as principais exposições e contingências da empresa. Nessa fase a empresa deverá descrever todo o seu fluxo de dados, respondendo perguntas como: - De onde vem o dado, ou seja, qual é a sua fonte? - Qual a categoria daquele dado? - Qual a finalidade de tratamento daquele dado? - Ele é compartilhado com alguém? Se sim, quem? Por quê? - Qual o tempo de vida daquele dado, ou seja, qual o período de retenção? - Qual a base legal para tratamento daquele dado? - Qual a categoria do dado (comum, sensível, de criança ou adolescente)? - Onde o dado fica armazenado? - Quais colaboradores têm acesso àquele dado? Por que eles possuem acesso? Dentre outras perguntas que a empresa pode estabelecer. Nessa fase é extremamente importante o contato e a entrevista com todos os funcionários, para que o mapa fique o mais real e fidedigno possível. Fase 3 | Gap Analysis: O objetivo dessa fase é identificar os principais pontos de desconformidade com a legislação, através do mapeamento de dados feito na fase anterior, e apontar as soluções para mitigar ou minimizar os riscos.Uma grande dica nessa fase é: seja criativo no momento de indicar as soluções, pense em soluções que não inviabilizem o modelo de negócio, mas que possibilitem à empresa sair de uma situação de desconformidade para uma de legalidade. Nessa fase você pode identificar a necessidade de fazer um relatório de impacto à proteção de dados pessoais, que tem a finalidade de mensurar os riscos existentes no tratamento de dados, e indicar as providências tomadas pelo controlador, as salvaguardas e mecanismos para mitigação dos riscos. Esse relatório está previsto no art. 384 da lei e pode ser solicitado pela ANPD. A princípio, pela leitura literal do artigo, entende-se que este não é obrigatório. Contudo, a Autoridade Nacional de Proteção de Dados deverá editar regulamentos e procedimentos sobre a produção desse relatório. De acordo com a LGPD, deve constar no relatório, no mínimo: 1- descrição dos tipos de dados coletados; 2 - a metodologia utilizada para a coleta de dados; 3 - as medidas de segurança da informação adotada (ou das informações adotadas); 4- análise do controlador com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados. Fase 4 | Planejamento: O objetivo dessa fase é planejar a forma de execução das soluções propostas na fase anterior, criando um plano de ação e um cronograma de execução, priorizando as áreas que contêm um maior risco. Nessa fase é importante fazer o relatório do projeto de conformidade, detalhando as fases anteriores e os próximos passos para implementação do programa de governança em proteção de dados. Fase 5 | Implementação: O objetivo dessa fase é colocar em prática o plano de ação estabelecido na fase anterior, incluindo a elaboração de todos os documentos que se fizerem necessários. Trata-se de fase de extrema relevância pois é neste momento em que formatado o código de conduta em proteção de dados, os aditivos contratuais, os novos modelos de cláusulas contratuais, nova política de privacidade, restrição de acesso de funcionários a determinados dados, cartilhas de boas práticas, revisão de processos automatizados, revisão na coleta de lead no setor de marketing, dentre outras várias medidas que deverão ser colocadas em prática. Fase 6 | Monitoramento: Essa fase tem o objetivo de manter um monitoramento constante do cumprimento das diretrizes estabelecidas no programa de governança em proteção de dados, fazer as atualizações que se fizerem necessárias e garantir que a organização se mantenha em conformidade. Aqueles que não quiserem fazer só o mínimo podem se utilizar do projeto de conformidade como um meio de rever seu modelo de negócio, vislumbrar novas oportunidades de mercado, inovar, gerar valor para o seu cliente, além de poder criar uma campanha de marketing voltada para os diferenciais que a organização oferece por estar em conformidade. Um programa efetivo de governança em proteção de dados não garante que sua empresa não terá um incidente de segurança, pois é impossível garantir 100% que nada irá ocorrer. Contudo, se o programa for efetivo e a organização tiver tomado todas as providências, o gerenciamento de crise será muito mais eficaz, pois já estará estabelecido dentro do programa. Além disso, a existência do programa e a presença de uma cultura de proteção de dados é levada em consideração pela ANPD no momento da aplicação de uma eventual sanção. Desta forma, não é que o programa irá evitar a ocorrência de um incidente, mas o risco da organização passa a ser controlado, gerando maior eficiência para a empresa. Caso ocorra um incidente ligado a dados pessoais é necessário que o controlador tome medidas para minimizar os danos. Além disso, é importante que seja feito o Data Breach Notification, que consiste em informar tanto à Autoridade Nacional de Proteção de Dados, quanto aos titulares, o ocorrido, os possíveis danos e as providências que estão sendo tomadas para mitigar tais danos. Neste documento deverão ser informados: 1 - a descrição da natureza dos dados pessoais afetados; 2 - as informações sobre os titulares envolvidos 3 - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; 4 - os riscos relacionados ao incidente; 5 - os motivos da demora, no caso de a comunicação não ter sido imediata; 6 - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Você pode notificar o titular através do meio mais fácil de contato e deve ser o mais transparente possível, além de demonstrar a ele que todas as providências estão sendo tomadas. Isso gera confiança, mostra que você está de fato preocupado em solucionar o problema e não escondê-lo. Isso é cultura de proteção de dados! Entender e introduzir na organização o conceito de privacy by design é de extrema importância como mecanismo de minimização de riscos e prevenção da ocorrência de danos. Privacy By Design nada mais é que uma metodologia na qual a proteção de dados pessoais é pensada desde a concepção do desenvolvimento dos produtos, serviços, sistemas, projetos, ou qualquer outra solução que envolva tratamento de dados pessoais. O objetivo é prever situações que possam comprometer a privacidade e proteção de dados, com o objetivo de minimizar os riscos, e adotar uma abordagem focada na experiência do usuário e em sua segurança. É uma ação totalmente preventiva e que gera muita eficiência para a empresa pois evita a ocorrência de incidentes desde a concepção, gerando vantagem competitiva para a empresa perante o mercado e aumentando a relação de confiança com o titular. Nesse contexto, devem ser levadas em consideração a segurança da informação, com utilização de mecanismos de segurança tais como a criptografia, a minimização na coleta de dados, a utilização de anonimização sempre que possível, as políticas de descarte do dado (tempo de vida útil), os direitos e liberdades dos titulares, o momento da coleta, a transparência para com o usuário, e o foco no titular, na sua privacidade e proteção de seus dados. • O descumprimento das estipulações legais levará à aplicação das seguintes sanções: 1 - advertência, com indicação de prazo para adoção de medidas corretivas; 2 - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; 3 - multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais); 4 - publicização da infração após devidamente apurada e confirmada a sua ocorrência; 5 - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; 6 - eliminação dos dados pessoais a que se refere a infração; • E, para aplicação das sanções mencionadas acima, será levado em conta: 1 - a gravidade e a natureza das infrações e dos direitos pessoais afetados; 2 - a boa-fé do infrator; 3 - a vantagem auferida ou pretendida pelo infrator; 4 - a condição econômica do infrator; 5 - a reincidência; 6 - o grau do dano; 7 - a cooperação do infrator; 8 - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; 9 - a adoção de política de boas práticas e governança; 10- a pronta adoção de medidas corretivas; 11- a proporcionalidade entre a gravidade da falta e a intensidade da sanção. É como diz aquele ditado: enquanto alguns choram, outros vendem lenços! Ainda há muita gente reclamando da LGPD e a vendo como um problema. Contudo, conforme demonstrei aqui para vocês, ela pode ser muito mais que uma obrigação legal: pode se tornar uma vantagem competitiva que você pode ofercer a uma empresa. Se você conseguiu adquirir esse mindset, parabéns, você faz parte de um seleto time de pessoas que sabem aproveitar as oportunidades e vender lenços enquanto alguns resolvem só se lamentar. O mantraagora é: Menos dados, mais transparência; não faça só o mínimo, faça a diferença. E vamos juntos propagar uma cultura de proteção de dados pessoais! T O D O S O S D I R E I T O S R E S E R V A D O S À E M P R E E N D E D O R I S M O L E G A L C N P J : 3 3 . 8 6 9 . 3 4 2 / 0 0 0 1 - 0 0 B E L O H O R I Z O N T E - M G C O M E R C I A L @ O E M P R E E N D E D O R I S M O L E G A L . C O M