Sua empresa já está preparada para a LGPD?
por Marcelo Lopes, GRC Consultant da Athena Soluções Inteligentes
A Lei nº 13.709/18, alterada pela Lei 13.853/19, ou Lei Geral de Proteção de Dados (LGPD), estabelece normas rigorosas para a proteção dos dados pessoais, causando um impacto na sociedade como poucas leis causaram, através do regramento para o uso de dados pessoais no Brasil.
Todas as empresas que fazem o tratamento de dados pessoais deverão tomar uma série de medidas para garantir o cumprimento da nova legislação.
- Implementar políticas corporativas adequadas.
- Contratar recursos de tecnologia da informação.
Dados Pessoais | Titular | Tratamento | Controlador | Operador |
Qualquer informação relacionada a uma pessoa física que a identifique diretamente ou a torne identificável. Alguns exemplos de dados pessoais: nome e sobrenome, número do RG, CPF, perfis de comportamento, preferências pessoais, entre outras informações atribuídas ou atribuíveis a um indivíduo. | É a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. | Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. | Pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais. | Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. |
Âmbito
A LGPD aplica-se a qualquer operação de tratamento de dados pessoais realizada no território nacional, ou mesmo fora do território nacional, independentemente de onde os agentes de tratamento estão sediados ou os dados estão localizados, desde que:
• a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços no território brasileiro;
• a atividade de tratamento tenha por objetivo o tratamento de dados de indivíduos localizados no território brasileiro;
• os dados pessoais, objeto do tratamento, tenham sido coletados no território brasileiro.
Bases Legais
Os dados pessoais somente poderão ser tratados em uma das seguintes hipóteses:
- Mediante consentimento do titular;
- Para cumprimento de obrigação legal ou regulatória do controlador;
- Para execução de políticas públicas pela administração pública;
- Para realização de estudos por órgãos de pesquisa;
- Quando necessário para execução de contrato ou procedimentos preliminares a um contrato do qual seja parte o titular, a pedido do titular;
- Para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais;
- Para proteção da vida ou da incolumidade física do titular ou de terceiros;
- Para tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, salvo quando prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de seus dados pessoais; e
- Para proteção do crédito.
Sanções Administrativas (em vigor desde 01/08/2021)
A LGPD estabelece penalidades bastante rigorosas:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% (dois por cento) do faturamento da empresa ou grupo, limitada no total a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e
- Eliminação dos dados pessoais a que se refere a infração.
Como a Athena Soluções Inteligentes pode auxiliar sua empresa para o adequado atendimento à Lei?
- Criar e manter um inventário de atividades de processamento e informações relevantes;
- Gerenciar as declarações de aviso de privacidade e consentimento e associá-los a ativos de informação relevantes;
- Rastrear os cronogramas de retenção obrigatórios dos dados e associá-los aos ativos apropriados;
- Avaliar as atividades de processamento para garantir que os metadados apropriados sejam capturados;
- Realizar avaliação de nível de maturidade da conformidade à lei;
- Realizar avaliações de identificação de dados para atividades de processamento de estoque e ativos de informação;
- Realizar auditorias de conformidade à lei;
- Projetos de proteção de dados de escopo para avaliação de risco potencial;
- Avaliar o risco de atividades de processamento;
- Realizar as avaliações de impacto à proteção de dados;
- Estruturar os conjuntos de dados pessoais tratados pela organização;
- Emitir relatórios de nível de conformidade (usando as 12 dimensões da LGPD), risco, DPIA (Relatório de Impacto à Proteção de Dados) e ROPA (Registro de Atividades de Tratamento);
- Gerenciar comunicações com reguladores.