ASSOCIADOS
| 12/01/2021 |
LGPD E Compliance: Quais Os Principais Desafios Para As Empresas? [BMA Advogados]
O uso intenso da tecnologia vem transformando a forma como nos relacionamos. Essa transformação não afeta apenas as pessoas, mas também impacta o modo como as empresas lidam com o grande volume de informações. Nesse contexto, surgiu a nova Lei Geral de Proteção de Dados Pessoais (LGPD) que trouxe consigo um importante questionamento sobre a relação entre LGPD e Compliance.
A nova legislação estabeleceu um prazo para que as empresas nacionais se adequem às normas. Isso leva à necessidade de implementação de um programa de Compliance para garantir essa transição e o cumprimento das novas regras pelas organizações.
Neste artigo, você encontrará as principais informações sobre o impacto da LGPD no Compliance e os principais desafios em relação a esse tema. Para isso, conversamos com o advogado Felipe Palhares, sócio da área de Proteção de Dados, Tecnologia e Negócios Digitais do BMA e único brasileiro reconhecido como Privacy Law Specialist pela International Association of Privacy Professionals.(IAPP). Confira!
Entenda a LGPD
A Lei Geral de Proteção de Dados Pessoais (LGPD) foi criada com o objetivo de implementar um sistema de proteção de dados pessoais no Brasil e oferecer as bases legais para o tratamento dessas informações. Inspirada no Regulamento Geral de Proteção de Dados da União Europeia, ela se aplica a todas as pessoas — físicas ou jurídicas, públicas ou privadas — que realizam operações de tratamento de dados pessoais.
Entrada em vigor
A lei estabeleceu datas diferentes para a entrada em vigor de seus dispositivos, que ainda sofreram alterações posteriores. Essas mudanças acabaram gerando muitas dúvidas sobre quando a lei realmente passou a vigorar. Segundo o seu artigo 65, a lei entra em vigor nas seguintes datas:
I — dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B;
I-A — dia 1.º de agosto de 2021, quanto aos arts. 52, 53 e 54;
II — 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos.
Desse modo, no momento, apenas as sanções administrativas foram prorrogadas para 1.º de agosto de 2021 pela Lei n.º 14.010/2020. Como a LGPD já se encontra em vigor, as empresas já têm uma série de obrigações e deveres a serem cumpridos.
Nesse sentido, Felipe Palhares esclarece: “como a única coisa que foi prorrogada foi a possibilidade de aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), nós não teremos, até agosto de 2021, as sanções que podem ser aplicadas somente por essa autoridade”.
“Por outro lado, outras autoridades governamentais — como o Ministério Público, o Procon e a Senacon — já podem fiscalizar a legislação e, eventualmente, acionar a empresa judicialmente por conta da legislação e de outras normas do nosso ordenamento jurídico, da mesma forma que os titulares de dados também podem entrar com processos judiciais por violações da LGPD imediatamente”, acrescenta ele.
Mudanças nas empresas
Segundo Palhares, "as empresas precisam realmente compreender o que elas fazem com os dados pessoais que coletam". Para isso, as organizações devem responder algumas perguntas, entre elas: por que coletam esses dados, qual a finalidade desse tratamento de dados, com quem esses dados serão compartilhados e qual a base legal desse tratamento.
Nesse sentido, Palhares acrescenta: “as empresas vão precisar incorporar essa cultura de proteção de dados e de privacidade. Isso quer dizer não só entender os seus fluxos de dados, mas criar políticas e processos específicos para que esse tratamento de dados pessoais seja realizado em conformidade com a legislação”.
O impacto da LGPD no Compliance
No ambiente corporativo, diversas áreas da empresa têm contato com dados pessoais alheios. Desse modo, promover uma reorganização dentro da empresa para o tratamento dessas informações não é uma tarefa fácil.
Nesse sentido, o setor de Compliance, responsável por garantir a conformidade com as normas legais, se mostra figura imprescindível para as empresas em relação à LGPD. Assim, o Compliance corporativo — que busca agir com rigor em relação às determinações legais de cada país — é um dos setores que terá mais contato com a nova legislação.
Com o objetivo de proteger a privacidade dos titulares dos dados e impedir que as empresas utilizem as informações sem que haja uma base legal que autorize essa operação, o setor de Compliance tem a missão de adequar a empresa à LGPD e acompanhar as mudanças e práticas advindas dessa adequação.
Como adequar o Compliance à Lei Geral de Proteção de Dados Pessoais
Quando se fala em Compliance, é bastante comum relacionar o programa à parte de integridade corporativa e anticorrupção. Contudo, estar em Compliance é estar em conformidade com a legislação, o que torna importante adequar esse setor às normas da LGPD.
“Agora a gente vai ter o chamado Compliance digital ou de proteção de dados, que é trazer as práticas internas para a conformidade com a LGPD”, esclarece Palhares. Por isso, é importante entender o uso dos dados pessoais e criar um programa de governança em privacidade e proteção de dados.
Esse programa de governança precisa ter políticas específicas de como tratar os dados pessoais dos clientes e dos empregados, determinar as práticas da organização para compartilhamento desses dados, além de especificar as medidas de segurança da informação que a empresa vai adotar.
Quem precisa se adequar
A LGPD não é uma lei apenas para negócios digitais. Ela se aplica tanto no ambiente digital quanto no presencial. Ou seja, mesmo que o negócio não tenha qualquer atividade na internet, é preciso cumprir com a legislação da mesma forma.
Segundo Palhares, "a lei vale tanto para empresas com presença digital, quanto para a padaria de bairro, o consultório médico, enfim, todos os negócios que tratam dados pessoais. São praticamente todos os existentes, afinal, se a empresa tem um funcionário, já trata dado pessoal".
Desafios na adaptação e adequação à lei
Um dos primeiros grandes desafios em relação à adaptação da empresa às normas da LGPD é fazer com que os funcionários dentro da organização entendam a importância de tratar os dados pessoais de acordo com a lei. Isso retrata tanto uma mudança cultural quanto de procedimento, pois muitos processos, que hoje são feitos de determinada forma, precisarão ser revistos.
Segundo Palhares, as empresas precisam avaliar se a rotina daquele funcionário precisa de alguma adequação específica: "hoje já temos várias políticas de mesa limpa. O que isso significa? Se o colaborador deixar na mesa papéis com dados pessoais existe o risco de alguém que passe ao redor e não trabalhe na organização tenha acesso indevido aos dados dos papéis que estão ali".
Desse modo, existem desafios corporativos de mudança da cultura organizacional e mudanças de hábitos antigos arraigados nos funcionários. Assim, todos os colaboradores precisam ser treinados, pois eles precisam entender como funciona não só a legislação, mas também as próprias práticas e políticas que serão desenvolvidas por cada organização.
Impactos da pandemia
A sociedade ainda precisa lidar com a digitalização forçada por conta da pandemia. Nesse cenário, muitas empresas acabaram adotando o home office sem estarem estruturadas para isso. Em muitos casos, as próprias organizações não tinham sequer notebooks para oferecer para todos os funcionários.
Assim, a empresa precisa investir em segurança da informação — para proporcionar aos colaboradores meios seguros de continuar executando o seu trabalho — e treinamento — para conscientizar os colaboradores sobre a importância da segurança da informação.
Recentemente, tivemos notícias sobre os incidentes de vazamento de segurança de dados pessoais envolvendo o Superior Tribunal de Justiça (STJ), que foi alvo de um possível ataque de hackers, ocasionando um incidente de segurança. Esse acontecimento deixou claro que isso pode acontecer em qualquer organização.
Por isso, as empresas inovadoras precisam estar bem preparadas para enfrentar esses incidentes de segurança, por meio de um programa de Compliance e LGPD. Afinal, esse setor é responsável por garantir que a organização atue em conformidade com a legislação, agindo como um guardião da LGPD.
O BMA tem grande conhecimento e sólida experiência jurídica em diversos setores. Conheça nossas áreas de atuação e saiba como podemos ajudar na prevenção de problemas e na resolução de conflitos das mais diferentes especialidades!
Este conteúdo tem caráter meramente informativo. Em caso de questionamento jurídico sobre esse tema, entre em contato conosco.
Fonte: BMA Advogados
