2020, o ano da LGPD: como empresas inovadoras podem estruturar uma governança de proteção de dados

Voce está em :Home-Direito, Negócios-2020, o ano da LGPD: como empresas inovadoras podem estruturar uma governança de proteção de dados

2020, o ano da LGPD: como empresas inovadoras podem estruturar uma governança de proteção de dados

Especialistas na legislação apontam caminhos para, de maneira prática e segura, se adequarem às conformidades que passam a valer a partir de agosto deste ano.

Especialistas na legislação apontam caminhos para, de maneira prática e segura, se adequarem às conformidades que passam a valer a partir de agosto deste ano. / Imagem: xprtlync

 

[FLORIANÓPOLIS, 06.02.2020]
Redação SC Inova / Fabrício U. Rodrigues, scinova@scinova.com.br

 

Daqui a pouco mais de seis meses, o Brasil terá uma nova legislação sobre a segurança de dados privados no ambiente digital e físico, a Lei Geral de Proteção de Dados Pessoais. Inspirada na legislação europeia, a LGPD tem sido motivo de muitos debates – e incertezas – por parte de empresas que lidam com grande volume de dados de usuários. 

Na ótica de empresas de base tecnológica (startups e scale-ups), quais são as recomendações para começar a estruturar uma política de governança de dados de acordo com a nova lei? 

“Quem sair na frente e modelar seu negócio tendo como baliza a proteção de dados e conformidade certamente terá uma vantagem competitiva. Pela nossa experiência e pelos movimentos de mercado, está claro que investidores, fundos de venture capital e private equity já observam o grau de conformidade da empresas e eventuais exposições a risco de violação de privacidade na hora de avaliar o negócio a ser investido. Quem pretende ser levado a sério numa rodada de investimento, também precisa levar a sério a LGPD”, ressalta Fernando Sotto Maior, sócio do escritório Sotto Maior e Nagel, com unidades em Florianópolis, São Paulo e Nova Iorque e que vem atuando na implementação de planos de governança de dados em ambientes corporativos.  

“Quanto mais antiga a empresa e maior o contexto de mercado, mais complexo e trabalhoso é o processo de adequação – não só pela complexidade do organograma, mas muito pela resistência cultural do corpo diretivo e do quadro de colaboradores já consolidada na companhia”, ressalta.  Por isso, para as empresas que estão em estágio mais inicial de desenvolvimento é preciso adaptar o mais cedo possível seu modelo de negócio a essa nova realidade no tratamento de dados pessoais. É o chamado privacy by design, em que os padrões de privacidade para novos projetos e upgrades são estabelecidos desde a sua concepção. 

Quem pretende ser levado a sério numa rodada de investimento, também precisa levar a sério a LGPD”, ressalta o advogado Fernando Sotto Maior. / Foto: Divulgação

Ele lembra que até o Banco Central foi influenciado pela medida: a resolução 4658 trouxe regras mais rígidas e específicas para o mercado financeiro, ao dispor sobre a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. 

“O trabalho de adequação à lei é complexo. Para estruturar uma política de governança de dados é necessário entender pontos como: modelo de negócio, mudança de mindset dos empresários (menos dados, menos risco), mapeamento detalhado das informações pessoais tratadas e compartilhadas, treinamento dos colaboradores, implementação de plano de ação a ser posto em prática caso haja vazamentos, indicação de um DPO (Data Protection Officer) ou Encarregado de Dados e a possibilidade sistêmica do titular exercer seus direitos: revogação de consentimento, à portabilidade, à correção dos dados tratados, à exclusão, dentre outros”, explica a advogada e DPO Luciana de Paula, que também atua no escritório Sotto Maior & Nagel.

BRASIL AINDA PRECISA DAR CORPO À AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

A ANPD (Autoridade Nacional de Proteção de Dados) é um órgão da administração pública responsável por editar normas e procedimentos, deliberar sobre a interpretação da lei (competências e casos omissos), requisitar informações, fiscalizar e aplicar sanções mediante processo administrativo. Contudo, sua composição ainda não foi sancionada pelo Senado Federal – o que deverá ocorrer a partir de fevereiro.

Caso a ANPD não seja completamente constituída até agosto, corre-se o risco de uma imensa insegurança jurídica, avalia Luciana: “abriremos a porta para todas as provocações ao Judiciário sobre alegações de descumprimento a dispositivos da lei, sendo que muitos ainda precisam de regulamentação, passando a um nível de litigiosidade intolerável. O atraso poderá gerar também a instabilidade social e econômica, especialmente para investidores estrangeiros, uma vez que as condições não são adequadas para gerar negócios”. 

NA EUROPA, PUNIÇÃO ALÉM DAS EMPRESAS DE TECNOLOGIA 

A advogada e Data Protection Officer (DPO) Luciana de Paula: “para estruturar uma política de governança de dados é necessário entender pontos como modelo de negócio e mudança de mindset dos empresários: menos dados, menos risco”. / Foto: Divulgação

Na Europa, desde a criação do Regulamento Geral de Proteção de Dados (GDPR) –  que entrou em vigor em 2018 e unificou o direito europeu sobre a matéria – a ameaça de grandes multas fez com que empresas passassem a levar a sério a legislação. Ao todo, já foram aplicadas sanções que somam mais de US$ 400 milhões – e não apenas em empresas de tecnologia, como Google e o Facebook.  

“A rede de hotéis Marriott foi multada por não tomar os cuidados devidos para proteger seus sistemas, mesmo motivo aplicado à British Airways. Na França, uma imobiliária foi penalizada por uso indevido de dados de uma câmera de vigilância e, na Alemanha, um policial foi multado em US$ 1,5 mil dólares por usar, para fins pessoais, o número da placa de um carro para pesquisar o número de telefone do seu dono”, comenta Luciana. 

Nos Estados Unidos, após anos de disputas judiciais, a Califórnia adotou recentemente uma importante legislação de privacidade de dados, a Lei de Proteção ao Consumidor da Califórnia (CCPA), que fornece uma série de novas obrigações legais para empresas que coletam, vendem e compartilham dados dos consumidores, bem como proteções para esses consumidores. Embora seja uma lei específica da Califórnia, várias empresas já se apresentaram e confirmaram que estenderão as proteções do ato a consumidores em todo o país.

LGPD NA PRÁTICA: É POSSÍVEL SE ADEQUAR EM SEIS MESES?

O tempo é curto e o trabalho é grande, mas é possível se adequar a LGPD antes da nova lei entrar em vigor, afirmam os advogados. Com a proximidade do prazo de vigência, diz Fernando, “percebemos que as empresas estão um pouco aflitas, mas ainda há tempo para fazer as adequações e buscar a conformidade. O que temos frisado é: demonstrem todos os ajustes internos e movimentos feitos em direção à conformidade da Lei e adotem  procedimentos mínimos”, diz Fernando. 

O roteiro para implementar as medidas e resolver os problemas começa por um diagnóstico. Em seguida, é importante elaborar um plano para implementação de soluções que irão resolver estes problemas e eliminar as vulnerabilidades. “Durante este planejamento, também é importante pensar nas ações de contingência, planos B, backups e diversas outras medidas de compliance que irão garantir a proteção de dados, mesmo caso ocorra alguma falha”, comenta. 

CONFIRA UM PASSO A PASSO PARA NORTEAR AS AÇÕES DE SUA EMPRESA: 

  1. Alinhamento de objetivos com alta gestão e a definição da estratégia de privacidade.
  2. Criação de grupo de multidisciplinar para o “Projeto LGPD” com representante de todas as áreas envolvidas com reuniões semanais.

Principais atividades do grupo:

  • Realizar mapeamento de todos os fluxos por onde os dados pessoais são coletados/manipulados/armazenados/compartilhados, para entender e melhorar possíveis gaps de segurança. (inventário de dados);
  • Rever todos os dispositivos e locais de armazenamento de dados com a finalidade de implantar novos sistemas de segurança (framework de privacidade). Exemplos de dispositivos: diretórios de rede, banco de dados, sistemas, FTPs, plataforma em nuvem, estações de trabalho, smartphones, HD externos, pen drive e arquivos em papel);
  • Estruturar as políticas e procedimentos: política interna e externa de proteção de dados, termo de consentimento, plano de resposta à incidente de vazamento de dados e política de retenção de dados e documentos;
  • Revisar todos os contratos e/ou documentos com fornecedores, clientes e empregados com a finalidade de incluir as novas diretrizes sobre Proteção de Dados;
  • Eleger o Encarregado de Dados e as suas atribuições;
  • Criar indicadores de performance (KPIs), o monitoramento e auditoria do programa de privacidade;
  • Criar o Relatório de Impacto à Proteção de Dados Pessoais;
  • Criar um plano de treinamento e comunicação;
  1. Implantação: 
  • Já existem empresas de consultoria e escritórios de advocacia especializados em implantar o Plano de Governança de Dados. Estamos vivendo uma mudança cultural, vai muito além de rever fluxos, procedimentos e contratos, precisamos tratar de forma responsável os dados pessoais.

 

Conteúdo produzido para