Implantar a LGPD na sua empresa depende de inúmeros fatores, pois se trata de um serviço personalizado. Como sabemos a Lei Geral de Proteção de Dados se derivou de vazamentos de informes de empresas, por exporem a privacidade das pessoas físicas.
1ª QUESTÃO: É um custo ou é um investimento?
Contabilmente é um investimento, apesar de ser uma prestação de serviços e se aplicar a CPC 04. Empresarialmente também é um investimento, por trazer vantagens para a empresa, quer se destacando no mercado, quer por se prevenir de multas da ANPD.
O mesmo se aplica na elaboração da compliance, como explicitado no artigo de Charles M. Machado.
2ª QUESTÃO: Dependendo da empresa, pode variar por causa da quantidade de cadastros envolvidos, podendo ser:
PELO PORTE: Micro empresa, empresa de pequeno, médio ou grande porte, sendo a classificação definida, quer pela quantidade de empregados ou pelo faturamento, dependendo do órgão, como a ANVISA, IBGE ou outros.
PELO RAMO: Operadora de planos de saúde, instituição financeira, indústria, comércio, escritórios de advocacia entre outros.
Ou seja, implantar a LGPD na sua empresa depende de inúmeros fatores, pois se trata de um serviço personalizado.
Como sabemos a Lei Geral de Proteção de Dados se derivou de vazamentos de informes de empresas, por exporem a privacidade das pessoas físicas. Iniciou-se em 2018 na União Europeia através da GDPR (General Data Protection Regulation) e aqui temos a Lei 13.709/2018 alterada pela Lei 13.853/2019 quando foi criada a ANPD.
Neste artigo vamos dar um breve resumo sobre os pontos mais críticos a serem observados em sua implantação, observando inicialmente as 10 bases legais e seus conceitos:
Consentimento: é definido como uma declaração clara e inequívoca de uma pessoa que concorda com o uso dos seus dados para as finalidades propostas pela empresa.
Legítimo interesse: permite o uso dos dados, sem a necessidade de obtenção de consentimento. Porém, por ser uma hipótese de tratamento de dados tão ampla, é necessário cumprir requisitos específicos para a proteção dos dados.
Proteção de Crédito: Para a aprovação de crédito, reduzindo os riscos da transação, é possível que esses dados pessoais sejam consultados avaliando o perfil de pagador do cidadão.
Contratos: No caso da base legal de contratos, os dados de uma pessoa podem ser processados em dois momentos: o primeiro é para que seja cumprida uma obrigação prevista em contrato, e o segundo quando o tratamento de dados serve para a validação e início de vigência de um acordo.
Obrigação Legal: Nesse caso, o tratamento de dados pessoais é justificado por exigências de outras leis. São os cenários onde uma empresa precisa utilizar ou armazenar dados pessoais para cumprir obrigações legais.
Execução de Políticas Públicas: Quando o tratamento de dados pessoais é resguardado pelo interesse público ou por necessidade de uma autoridade oficial, exercendo o papel de controlador daquele dado.
Estudos por Órgãos de Pesquisa: Dados pessoais podem ser tratados para fins de estudos de órgãos que estejam oficialmente credenciados como de pesquisa. Nesse caso, sempre que possível o dado deve ser anonimizado garantindo ao máximo a privacidade dos titulares.
Processo Judicial: Dados pessoais ainda podem ser utilizados para exercício de direito em ações judiciais.
Proteção da Vida: É possível justificar o uso de dados pessoais quando o seu objetivo é de interesse vital, seja do titular do dado ou ainda de outra pessoa.
Tutela da Saúde: Quando profissionais de saúde, serviços de saúde ou autoridade sanitária precisam tratar dados pessoais.
Não é preciso o consentimento da pessoa física quando for indispensável para:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Pela administração pública, de políticas públicas previstas em leis e regulamentos;
- Estudos por órgão de pesquisa, garantido sempre pelo anonimato.
A anonimização são informes da pessoa física que não podem ser identificados, levando em consideração a utilização de ferramentas técnicas razoáveis e disponíveis na ocasião do tratamento.
Apesar da agenda regulatória para 2021/2022 a ANPD ter elencado entre os itens prioritários para tratar no 1º semestre de 2022 o DPO, ou encarregado da proteção de dados, explicitamos que ainda será necessário mapear todos os setores da empresa para conhecimento dos que tratam com dados pessoais de clientes, fornecedores, funcionários, sócios e/ou acionistas, podendo ser também por formulários de consultas aos respectivos chefes e/ou encarregados dos setores, e a devida revisão para atestar sua adequacidade, citando entre elas:
– Quais as áreas foram mapeadas, e quais não foram possíveis fazer a verificação e realização dos trabalhos, é necessário informar a justificativa.
– Se há áreas que foram mapeadas parcialmente ou que a consultoria tenha considerado frágil no levantamento das informações, é necessário informar a justificativa.
– Criação de POP (Procedimento Operacional Padrão) de tratamento das denúncias recebidas.
– Confecção de relatórios previstos na legislação, RIPD e LIA, para cada processo da empresa.
– Contratação do DPO.
Sobre forma de coleta, armazenamento e compartilhamento das informações em relação a(o):
– Dados pessoais de funcionários;
– Histórico de saúde de funcionários;
– Dados pessoais de representantes legais de clientes;
– Dados pessoais de fornecedores;
– Dados pessoais de consumidores ou clientes;
– Dados pessoais de acionistas.
– Se pela análise considera-se que a empresa possui equipe de TI preparada ou se há necessidade de ajustes.
– Se foram identificados todos os tipos de armazenamento de dados, ou se houve apenas a identificação parcial, ou ainda se a consultoria tenha considerado frágil algum armazenamento, é necessário informar a justificativa.
Bases legais para guardar cada tipo de dado:
– Sugestão de formato para implantação de uma ferramenta de gestão de consentimento e de cookies (forma interna ou contratação de terceiro).
– Avaliação da devida forma de segurança da informação, com relação a eliminação ou redução das ameaças digitais
– Ajuste de normas (código de ética, termo de confidencialidade política de segurança da informação…).
– Ajustes das minutas contratuais, com a inclusão de cláusula que regule a proteção de dados.
– Periodicidade de treinamento para sensibilização dos colaboradores assim como de toda a empresa. Nossa sugestão é incluir multas já aplicadas às empresas e processos administrativos, bem como, os judiciais que já estão surgindo.
– Sugestão de formato de canais de denúncia de forma interna ou na contratação de terceiros.
– Forma de divulgação de canais de denúncia.
Fonte:https://www.contabeis.com.br/artigos/6995/qual-o-preco-para-implantar-a-lgpd-na-minha-empresa/
