2023: o ano da Lei Geral de Proteção de Dados (LGPD)

A Lei nº 13.709, de 14 de agosto de 2018, denominada como Lei Geral de Proteção de Dados (LGPD), foi criada com o objetivo de proteger a privacidade, o interesse e a liberdade dos titulares dos dados e, consequentemente, atribuir uma série de obrigações para as organizações, sejam elas empresas públicas, privadas ou, instituições do terceiro setor.

O objetivo da LGPD não é proibir (nem mesmo comprometer) o funcionamento das instituições, mas obrigá-las a adotar procedimentos, políticas e mecanismos de segurança adequados que garantam proteção dos dados pessoais dos titulares de dados.

A LGPD conceitua dado pessoal como qualquer informação que identifique ou possa identificar uma pessoa natural, e faz uma classificação dos dados pessoais entre: comuns, dados de crianças e adolescentes e dados sensíveis, que são os dados pessoais relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

A LGPD foi sancionada em 2018 e está em vigor desde setembro de 2020. Inclusive, desde agosto de 2021, a ANPD (Autoridade Nacional de Proteção de Dados), responsável por fiscalizar o cumprimento da lei, está liberada para aplicar as multas e sanções previstas na lei. Isso quer dizer que empresas públicas e privadas que coletam e fazem uso de dados pessoais para o exercício de suas atividades já devem responder e estar adequadas à LGPD.

O ano de 2023 é considerado o ano de sua efetividade e da atuação plena e do início da fiscalização pela ANPD.

A cultura da proteção de dados está sendo cada vez mais reforçada em nosso cotidiano e refletida em normativos para que suas práticas sejam intensificadas dentro dos ambientes corporativos.

A privacidade dos dados e a segurança das informações, mais do que obrigações regulatórias, devem ser encaradas como ações estratégicas, competitivas e como um verdadeiro pilar da estrutura organizacional. Essas ações das empresas, dos consumidores, do judiciário e dos órgãos fiscalizadores são reflexos positivos da efetividade da Lei. 

Apesar da relevância do tema e das exigências regulamentadas pela LGPD, muitas empresas ainda não iniciaram a construção do seu Programa de Privacidade. 

Diante desta realidade, para garantir o cumprimento da LGPD, efetivar os direitos dos titulares e evitar exposições desnecessárias, há medidas urgentes e indispensáveis que deverão ser tomadas pela Instituição e que demonstrarão sua conformidade com a LGPD. Sendo assim, reunimos algumas das principais medidas para ter sucesso nesse processo:

1) Formalização do Termo de nomeação de DPO, para comprovar para terceiros quem é o Encarregado de Dados da Instituição;

2) Elaboração da Política de Privacidade, para dar transparência aos titulares e agentes fiscalizadores de como os dados pessoais são tratados na Instituição, para qual finalidade, por quanto tempo, com quem são compartilhados e quais os direitos do titular e como exercê-los;

3) Criação de um canal de comunicação com o titular para efetivação de seus direitos, previsto no art. 18 da Lei;

4) Criação de uma política de cookies para o site institucional, que informe ao usuário, de forma simples e transparente, o que são cookies, quais os tipos de cookies que são coletados, para quais finalidades e qual a forma do titular gerenciar essa coleta;

5) Elaboração e gestão de termos de consentimento específicos, para garantir a legalidade do tratamento quando este for baseado na hipótese de tratamento do consentimento;

6) Elaboração de uma política de segurança da informação que tem como objetivo proteger as informações e dados tratados pela empresa;

7) Elaboração de uma política de retenção e descarte de dados pessoais para dispor, de forma clara, qual o prazo máximo de guarda de cada documento que contém dados pessoais; 

8) Criação de outros fluxos e documentos obrigatórios exigidos pela LGPD e recomendados pela ANPD, tais como: Relatório de Impacto de Proteção de Dados (RIPD), Avaliação de Legítimo interesse (LIA), Plano de Respostas a incidentes que envolvam dados pessoais etc.

O trabalho de conformidade assessorado por uma Consultoria especializada é imprescindível para a implementação eficaz de um Programa de Privacidade e Proteção de Dados, pois auxilia na criação de procedimentos e ferramentas que possibilitarão a criação de uma cultura de privacidade e uma gestão da governança dos dados em toda a Instituição, tornando-se apta a demonstrar, a qualquer momento e para qualquer agente fiscalizador, seu processo de adequação com a LGPD, comprovando-o com robustez, seja em sede de ação judicial, como também nos processos administrativos que possam surgir.