A Lei Geral de Proteção de Dados (LGPD) foi sancionada pela Presidência da República em agosto e suas novas regras afetarão todas as atividades que envolvam a utilização de dados pessoais em empresas brasileiras, que têm até 2020 para se adequarem e que, certamente, estão cheias de dúvidas. As regras buscam proteger os dados contra as vulnerabilidades e vazamento.
Veja abaixo algumas dúvidas frequentes sobre LGPD, respondidas por Paulo Vinicius de Carvalho Soares, advogado e DPO da Lee, Brock, Camargo Advogados (LBCA).
1. Com a LGPD vou ter que apagar toda a minha base de contatos?
Caso a base de contatos seja formada pela base de clientes da empresa, não será necessário apagar. Contudo, o tratamento dos dados deve ser para a finalidade específica que justifique o seu uso de acordo com a base legal da respectiva finalidade.
No entanto, se a base de dados foi adquirida ou repassada por terceiros, provavelmente terá que apagá-la, caso os titulares dos dados não saibam que você trata estes dados pessoais. Uma forma de remediar esta questão seria entrar em contato e informá-los de modo a pegar o seu consentimento.
2. Com a LGPD corro o risco de perder parte de minha base de dados?
As bases de dados deverão ser tratadas de acordo com finalidades específicas, necessárias e adequadas para as atividades da empresa naquele momento, sendo justificadas pelas bases legais previstas na LGPD.
Caso alguma base de dados pessoais ou parte dela não esteja adequada quanto à finalidade e não possua uma base legal para o seu tratamento, recomenda-se o descarte destes dados, após estudo das bases legais por um advogado.
3. Devo apagar os dados de um contato sempre que for solicitado?
Não necessariamente. Se o tratamento dos dados for feito de acordo com uma base legal (art. 7º da LGPD) que não seja o consentimento, você poderá fazer o tratamento para aquela finalidade, com base em contrato, obrigação legal e até legítimo interesse.
4. Como será comprovado que a empresa garante a proteção dos dados?
A comprovação se dará por meio dos documentos que devem compor o Relatório de Impacto à Proteção de Dados Pessoais, tais como: mapeamento do ciclo de vida do dado pessoal, mapeamento de risco, identificação dos agentes de tratamento em cada etapa ou processo de tratamento de dados, criação de políticas, códigos de conduta e comprovantes de treinamento, entre outros. Ademais, existem certificações mundiais sobre segurança da informação, tais como a ISO 27001 e 27002.
5. Quais são as áreas que mais sofrerão com os impactos da LGPD dentro de uma empresa?
As áreas que sofrerão mais com os impactos da LGPD, sem dúvidas, são aquelas que tratam do maior volume de dados pessoais, tais como, por exemplo: (I) Recursos Humanos e Departamento Pessoal pelos dados dos empregados e colaboradores; (II) Atendimento ao Consumidor e pós-venda; (III) Marketing pelo tratamento de dados para campanhas e envio de propaganda por redes sociais, e-mail marketing etc.; (IV) Vendas, se direta ao consumidor por tratar os dados pessoais para concretização da venda; e (VI) Pesquisa e Desenvolvimento..
No entanto, é necessário destacar que toda a empresa deve se adequar à LGPD, pois a empresa está integralmente vinculada às regras para todos os seus setores.
6. Qual o valor da multa caso minha empresa não tenha se adequado à LGPD até agosto de 2020?
Em âmbito administrativo, as multas aplicadas antes da entrada em vigor da LGPD poderão ser arbitradas pelos órgãos fiscalizadores, tais como PROCONs, Ministério Público, entre outros. Para cada multa será levado em consideração o grau de comprometimento da empresa com a segurança da informação e a proteção de dados pessoais, mediante a comprovação documental, a informação sobre o incidente aos titulares dos dados; o porte da empresa e seu faturamento.
7. Quanto tempo leva para uma empresa se adequar 100% à LGPD? Quais são os passos?
O prazo de adequação de uma empresa à LGPD, sem dúvidas, depende de diversos fatores, tais como porte, quantidade de filiais, quantidade de processos de tratamento de dados pessoais, número de funcionários, quantidade de sistemas e bancos de dados pessoais etc. Recomenda-se que as empresas iniciem o quanto antes o seu procedimento de adequação, o qual pode levar entre 6 a 12 meses, a depender dos fatores.
Os passos para implementação da LGPD basicamente são os seguintes: (I) Conscientização da empresa; (II) Mapeamento de dados; (III) Produção dos mapas, fluxos e matrizes de responsabilidades; (IV) Identificação de Bases Legais para tratamento de dados pessoais; (V), Alteração/Criação de Políticas, Contratos, Termos sobre proteção de dados pessoais; Documentos sobre o tratamento de dados pessoais (IV) nomeação dos agentes de tratamento e do DPO; (VI) Plano de Gerenciamento de Crises; (VII) Criação de sistemas de gestão dos pedidos dos titulares; das autoridades e do consentimento; (VIII) Treinamento das equipes / terceiros que fazem o tratamento dos dados pessoais (IX) auditoria e revisão constante.
8. Toda minha empresa terá que fazer treinamento para a segurança dos dados pessoais?
O artigo 50 da LGPD determina que as empresas promovam ações educativas e de treinamento sobre o tratamento dos dados de acordo com a LGPD. Desta forma, é recomendável que a empresa faça treinamentos com profissionais especializados para conscientização sobre a lei bem como faça treinamentos específicos para os setores mais envolvidos no tratamento de dados pessoais de acordo com o modelo de negócio de cada empresa.