A Lei Geral de Proteção de Dados – LGPD (13.709/2018) entrou em vigor em setembro deste ano. A nova diretriz estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de informações pessoais por parte de empresas, impondo mais transparência e proteção, bem como penalidades em casos de não cumprimento.

“O uso indevido de dados pessoais acarretam em danos não somente para a empresa que realiza o tratamento desses dados, mas principalmente para as pessoas que são titulares dessas informações”, explica Bruna da Silva, Data Protection Officer (DPO) da DeServ, empresa instalada no Tecnosinos, que atua no segmento de segurança de dados.  

Segundo Bruna, para as empresas, os danos podem ser patrimoniais, mas também danos relacionados à imagem da organização, perda de credibilidade e até o afastamento de investidores. “As organizações precisam realizar contratos que envolvem o tratamento de dados pessoais com quem garante o correto processamento dessas informações”, explica. 

Nesse sentido, a principal mudança que a LGPD trará para os negócios é na cultura do tratamento de dados pessoais, pois com a lei, é necessário segmentar o que é dado pessoal e o que é dado corporativo. Dessa forma, os processos operacionais que estão relacionados com o tratamento das informações devem estar muito bem mapeados e legalmente justificados.  

Todas informações devem ter garantia de segurança, assim como as organizações devem respeitar a privacidade dos dados das pessoas. Ao contrário do que ocorria anteriormente, quando as informações pessoais adquiridas eram consideradas como ativo da organização. Um equívoco corrigido pela LGPD.

Os dados protegidos

Qualquer informação que, direta ou indiretamente, possa identificar uma pessoa física é considerada dado pessoal. Nesse rol, entram comportamentos, preferências, gostos, geolocalização, CPF, RG, nome, sobrenome, e-mail, são apenas alguns exemplos de dados pessoais. 

Assim, o tratamento destes dados deve ser realizado respeitando os direitos e liberdades das pessoas. “Todos os processos operacionais que envolvem o tratamento de dados devem estar atrelados à ao menos uma base legal, e a LGPD cita dez bases que justificam o tratamento dos dados”, explica a DPO. Bruna também ressalta que medidas técnicas e organizacionais devem ser adotadas na empresa a fim de garantir a segurança das informações, governança e a adoção de boas práticas em um ciclo de melhoria contínua.

Gestão

Bruna também esclarece que os processos administrativos que envolvem o tratamento de dados devem ser mapeados e analisados. Para ela, é importante que a organização avalie o quanto os processos já estão em conformidade com a lei. “Para aqueles que ainda não estão adequados, é preciso que seja realizado um plano de ações para as mudanças”, salienta. 

Dessa forma, a DPO entende que é altamente recomendável que a empresa adote uma norma de segurança da informação, como a ISO 27001 e a ISO 2771, que seja um guia de proteção de dados. “Todos os processos administrativos já devem nascer respeitando a LGPD, o que implica na necessidade das empresas em investir em treinamentos para educação e conscientização dos seus profissionais”, explica.

Prazo de adaptação já encerrou

A Lei Geral de Proteção de Dados foi sancionada em agosto de 2018, mas Acabou entrando em vigor apenas no dia 18 de setembro de 2020. E este período de aproximadamente dois anos foi o momento para os negócios se adequarem. “Obviamente não foram todas as organizações que conseguiram cumprir com todas as exigências nesse prazo, o que deve colocá-las em estado de alerta, pois o prazo agora é o quanto antes”, conclui Bruna.

No caso de violação de dados pessoais, a empresa infratora poderá ter como sanções multas que variam de 2% do faturamento bruto até R$ 50 milhões por infração.