A Lei Geral de Proteção de Dados – LGPD, que deveria entrar em vigor ainda em 2020, foi adiada por meio de uma Medida Provisória. Agora, o início da vigência está fixado em 3 de maio de 2021, e as sanções em caso de descumprimento serão aplicadas a partir de agosto deste mesmo ano.
A mudança ocorreu em virtude da pandemia do novo coronavírus e deu aos empresários mais tempo para fazerem as adaptações exigidas, antes da regulação. Uma boa notícia, já que 58% das empresas com 20 a 90 funcionários ainda estão longe de se adequar à LGPD, de acordo com levantamento da Associação Brasileira de Software (Abes).
Apesar de parte do empresariado brasileiro demonstrar resistência em aderir à lei e descrença pelo histórico de ineficiência legislativa e executiva do país, especialistas indicam que se trata de uma tendência mundial que será cada vez mais cobrada, não só pelo judiciário, como pela população.
”Recentemente, algumas das maiores empresas do setor de tecnologia estiveram envolvidas em processos relacionados ao mau uso de dados. Acabaram sofrendo danos muito fortes às suas reputações e tiveram que gastar muito dinheiro. Além disso, perderam a confiança não só do público, como a de seus clientes e investidores, o que impacta seriamente nos negócios”, destaca Marcelo Erthal, especialista em tecnologia e compliance e empresário do setor.
Ainda que o momento seja de crise econômica e os pequenos negócios estejam focados em sobreviver no mercado, não se pode deixar de lado mais essa preocupação.
Para concluirem os objetivos da LGPD, as empresas devem traçar um plano claro, que considere três passos cruciais: a escolha do Data Protection Officer (DPO), a elaboração dos relatórios de impacto e mapeamento e a anonimização dos dados.
DPO
A escolha do Data Protection Officer (DPO) é um bom primeiro passo para adequação à lei, já que esse profissional é especialista em proteção de dados e poderá colaborar para o andamento de todo o restante do processo.
Embora tenha um foco específico na LGPD, o DPO trabalha em colaboração com a equipe de compliance, pois seu trabalho está profundamente ligado a esta área.
No entanto, a contratação do DPO somente é obrigatória em empresas grandes ou que lidam com uma grande quantidade de dados pessoais.
Relatórios de impacto e mapeamento
Elaborar relatórios de impacto e mapeamento é trabalhoso, mas importante para a adequação. Na LGPD são citados dois específicos: Ropa – Record of Processing Activities (em português, Registro de Operações) e RIPD – Relatório de Impacto à Proteção de Dados Pessoais.
O Ropa consiste no registro dos principais detalhes de como é feito o tratamento de dados na empresa. Aponta, entre outras coisas, quem os trata, com que frequência e para quais finalidades, além das ferramentas utilizadas.
Já o RIPD abrange o levantamento dos riscos presentes no tratamento dos dados e dos meios empregados para minimizá-los. O relatório deve incluir, ainda, justificativa para a coleta de dados sensíveis.
Esses relatórios têm a importante função de direcionar as atividades de proteção de dados da equipe de compliance.
Anonimização de dados
Em muitos casos, as empresas não precisam manusear informações pessoais – identificar titulares nos seus cadastros. Em vez disso, é possível utilizar dados anônimos. A vantagem nesse caso é não ser necessário implementar todos os procedimentos de proteção previstos na LGPD.
Existem tecnologias de anonimização gratuitas e pagas para ocultar nomes e endereços que podem identificar o titular. É recomendável adotar uma dessas ferramentas e integrá-la com os pontos de entrada de dados.
Quem não se adequar às novas orientações estará mais vulnerável a se envolver em processos judiciais, que podem levar a consequências graves como multas e perda de investimentos, clientela e reputação.
“É importante focar nessa adaptação com antecedência, visto que a implementação de uma estratégia de compliance digital é diferente de outros programas com os quais o compliance está acostumado”, reforça Erthal.
Com esses três passos, é possível avançar significativamente na adequação à LGPD, sem perder de vista o novo prazo para a entrada em vigor da lei.
