A LGPD (Lei Geral de Proteção de Dados) já está em vigor, porém as sanções previstas entram em vigor em 1° de agosto de 2021 trazendo um novo panorama regulatório às empresas, que devem adaptar seus processos internos para manter a segurança da informação e garantir a proteção destas informações. Com isso, entender na prática onde as rotinas e a cultura organizacional sofrerão impactos da nova legislação não é uma tarefa fácil, e muitas entidades apresentam dúvidas sobre por onde começar e o que deve ser mapeado.
Para Rebeca Arima, especialista em LGPD da área de FIDS da Grant Thornton Brasil, o primeiro passo é entender onde a empresa manuseia informações pessoais. “No cenário atual, mesmo com a lei em vigor, vemos todas as empresas trabalhando com dados pessoais como, por exemplo, atividades relacionadas ao departamento de recursos humanos que possui nome, CPF e endereço residencial. No entanto, as empresas sentem dificuldade na organização dos processos relacionados a esses dados. Com a legislação, o ciclo de vida dessas informações pessoais precisa estar, obrigatoriamente, mapeado”.
Caso a empresa trabalhe com terceiros em seus processos, estes também serão averiguados. “As medidas de segurança são pensadas em longas escalas e em diferentes cenários. Por exemplo, se eu estou analisando a segurança física, uma sala ou um escritório, eu penso no armazenamento de arquivos em papel. Agora, se eu for para o campo eletrônico, eu penso nos sistemas, se esses sistemas são compartilhados e se há medidas de segurança em tecnologia aplicadas em todas as plataformas”.
Esse processo de mapeamento está diretamente relacionado à cultura da empresa, isso porque ainda é comum o compartilhamento de informações de uma forma deliberada dentro das organizações, como o envio de uma lista de colaboradores de um setor para o outro ou em disparos de e-mail. Da mesma forma que a compra de base de dados passa a ser uma ação incompatível com a LGPD, uma vez que a empresa deve saber a origem de cada dado pessoal que fica sob sua guarda. No caso da ausência de conhecimento da origem do dado pessoal, a empresa está sujeita a punições pela Autoridade Nacional de Proteção de Dados (ANPD).
“As empresas, sozinhas, não conseguirão identificar os processos ou adequá-los à nova legislação. Elas conseguem mapeá-los, mas não cruzar as informações para saber se estão atendendo a legislação. Por isso é necessário que a companhia entenda sobre o tema em proteção de dados, para identificar as falhas internas e assim fornecer um plano de ação”, complementa Rebeca.
Ao realizar os mapeamentos de dados, as empresas devem entender qual o propósito de se ter tais dados para determinada atividade da área de negócio: qual o momento da coleta, quais dados pessoais são necessários, e o porquê de trabalhar com essas informações. Observado este cenário, busca-se responder como a informação será armazenada, utilizada, compartilhada e, eventualmente, descartada.
Rebeca explica que, nesse ponto, não se trata apenas de uma mudança dos processos ou de tecnologias, mas a principal revolução é na cultura organizacional. “A LGPD afeta as ações das pessoas em relação às suas atividades do dia a dia e não só aquelas detentoras das informações. Para que as pessoas consigam alcançar o cumprimento efetivo da legislação dentro e fora das empresas faz-se necessária uma mudança cultural. Por exemplo, muitas pessoas ainda não sabem que, com a LGPD, o compartilhamento de informações precisa ter propósitos específicos”, pontua.
Um caminho a ser seguido para a adequação ao Programa de Privacidade, após o entendimento das empresas sobre o que deve ser adequado, é a atualização de seu Código de Conduta para que a privacidade se torne um princípio a ser observado. Com isso, criar regras internas como diretrizes em privacidade de dados, além de procedimentos para que a empresa tenha informações sobre como realizar as atividades. O Programa de Privacidade é uma estrutura a ser seguida para evitar infrações à LGPD e, consequentemente, acarretar consequências como as penalidades previstas na legislação pela ANPD e a possibilidade de as empresas perderem oportunidades de negócios.
A ANPD é o órgão responsável pela aplicação de penalidades, como multas e advertências. A entidade dedicará o primeiro semestre de 2021 para a sua estruturação e educar as empresas sobre sua atuação, no entanto a aplicação de sanções ficará para o segundo semestre. Vale destacar que a multa prevista é de até 2% do faturamento da pessoa jurídica – limitada a R$ 50 milhões por infração – além dos demais danos causados à imagem e até a possibilidade de paralisação dos serviços.
Entre os principais focos de orientação da ANPD neste primeiro semestre estão as pequenas e médias empresas. Neste sentido, a especialista da Grant Thornton Brasil conclui que os negócios desses portes devem estar abertos à reestruturação de suas culturas organizacionais. “Se a companhia não aberta para mudanças e não tiver um programa de privacidade que garanta a segurança das informações, ela estará exposta”.
Conte com as nossas equipes especializadas em privacidade e proteção de dados para adequar seus processos de maneira customizada para atender às necessidades do seu negócio.
Entre em contato conosco
Como a Grant Thornton pode auxiliar sua empresa nesse momento?