Impactos da LGPD na governança e compliance

Conforme já tratamos anteriormente, a Lei Geral de Proteção da Dados (LGPD), lei 13.079/18, que entra em vigor, em agosto de 2020, estabelece diretrizes para definir e proteger a propriedade dos dados pessoais dos indivíduos.

Passa a exigir que empresas tenham o consentimento do consumidor para utilizar dados compartilhados e armazenados, sendo assegurado o direito de revogação deste consentimento.

Também está garantido o direito ao conhecimento, seja da quantidade de dados armazenados pela empresa, entidade ou governo, ou ainda da finalidade, utilização e eventual compartilhamento com terceiros.

A LGPD também determina que empresas reportem à Autoridade Nacional de Proteção de Dados (ANPD) incidentes de segurança que possam colocar em risco esses dados, além de uma série de outras regulamentações exigindo conformidades e especificando sanções administrativas – incluindo multas que podem chegar a 2% do faturamento bruto anual, limitada a R$ 50.000.000,00 (cinquenta milhões de reais).

Com a edição do Decreto nº 10.046/19, pelo Presidente da República, regulamentou-se a governança no compartilhamento de dados dentro da Administração Pública Federal, além de criar o Cadastro Base do Cidadão e um comitê central para cuidar da sua governança.

E, neste contexto, verificamos que muitas empresas, entidades e o próprio governo não estão preparadas para a mudança cultural que a nova legislação exigirá: atualmente os dados podem estar espalhados por vários sistemas, podem estar em poder de parceiros ou ainda sendo tratados para várias finalidades distintas dentro da mesma organização.

Assim, a partir da LGPD, há aspectos importantes que precisam ser observados e implementados o quanto antes:

(I) Indicar explicitamente um encarregado (interno ou terceirizado) pelo tratamento de dados pessoais;

(II) Elaborar um relatório de auditoria e conformidade de risco, um inventário, com uma política definida de retenção e backup de dados dos cidadãos, fornecedores, representantes, funcionários e consumidores;

(III) Elaborar um relatório de impacto, com uma revisão e/ou ajustes de contratos com terceiros e a redação de um código de conduta para funcionários e terceiros para proteger a privacidade dos dados;

(IV) Realizar a gestão de consentimentos, definir políticas e emitir avisos de privacidade;

(V) Realizar a gestão da fonte de dados com prontas respostas a incidentes com dados ou violações de privacidade;

(VI) Criar ferramentas para gerenciamento de conformidade com a LGPD;

Para as empresas, incluindo o governo, claramente se observa que a LGPD implicará em um processo contínuo, abrangente e custoso, envolvendo mais aspectos de gestão de compliance, processos e pessoas do que a compra de pacotes de software de cibersegurança para proteção de informações pessoais.

Caso tenha interesse em receber mais informações a respeito, consulte-nos para a disponibilização de apresentação acerca da solução jurídica tecnológica que preparamos para essa implementação e gestão em conformidade com a LGPD.