A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma regulamentação que formaliza a importância do tratamento ético e responsável dos dados dos usuários titulares. Com a LGPD em voga, tornou-se mandatório que as empresas elaborarem políticas de privacidade claras o suficiente para manter uma relação de transparência durante todo o tratamento dos dados, com informações que demonstram a segurança, integridade e a proteção das informações captadas.
As organizações que não se adequarem à LGPD podem sofrer diversas sanções, como advertências e multas. A lei é aplicável para negócios de todos os setores que realizam o tratamento de dados pessoais, de funcionários a clientes e o público em geral. Para isso, é fundamental adequar as operações na corporação, adotando processos internos específicos voltados para atender os direitos dos usuários e que considerem os princípios básicos estabelecidos no art. 6º da LGPD.
Pensando nisso, convidamos Nathália Criscito e Alexandre Rodrigues, analistas sênior de Segurança da Informação da TIVIT, para explicar mais sobre a importância das políticas de privacidade. Confira, a seguir!
Com o advento da LGPD, a forma de tratar os dados pessoais dos usuários agora precisa considerar os limites de tratamento, de acordo com a autorização dos titulares dos dados ou enquadrá-los em bases legais adequadas, medidas previstas no art. 7º da LGPD.
Como explica Nathália, o objetivo dessa regulação é trazer equilíbrio nas relações entre titulares de dados pessoais x organizações, por meio do estabelecimento de parâmetros, para que as empresas passem a absorver uma cultura de tratamento de dados ética e transparente.
Nesse sentido, a captação das informações deve ser a mínima possível, limitando às imprescindíveis para o desenvolvimento regular dos negócios — menos é mais. Assim, evitando também o acúmulo em bancos de dados com informações que, por muitas vezes, acabam não sendo utilizadas. Ou, pior, como acontecia em algumas empresas: as informações eram utilizadas, mas, para finalidades não acordadas previamente com o titular no ato do compartilhamento.
Então, a LGPD trouxe uma série de mudanças em relação ao controle dos dados, exigindo uma melhor gestão por parte das empresas. Alexandre comenta que há algumas medidas obrigatórias apresentadas pela LGPD que devem ser priorizadas para os negócios atingirem a adequação necessária à Lei.
Por exemplo, atualmente, os titulares dos dados pessoais contam com mais direitos, previstos no art. 9º da LGPD, os quais geram obrigatoriedade para as empresas e devem ser atendidos dentro do dos prazos estabelecidos pela Lei para cada situação. Assim, se uma empresa não contar com um processo de gestão de dados, o cumprimento do prazo se tornará cada vez mais difícil.
Ainda falando em obrigatoriedades, uma delas, por exemplo, é a necessidade de nomeação de um Encarregado de Proteção de Dados (DPO) na empresa — ou seja, um especialista responsável especificamente pelo tratamento de dados dentro da organização.
Um outro exemplo é a necessidade da criação de canais de contato que facilitem o diálogo entre usuário titular proprietário dos dados e as organizações, com objetivo de que o exercício dos direitos desses usuários seja sempre de fácil acesso e ágil para efetuar solicitações.
Nathália comenta que, atualmente, as organizações devem preparar relatórios de impacto e criar mecanismos de gestão, controle e proteção adequados para a manipulação dos dados. De acordo com a legislação, também tornou-se obrigatório que as empresas que sofrerem incidentes envolvendo dados pessoais informem os titulares sobre os dados envolvidos no incidente, bem como a Autoridade Nacional de Proteção de Dados (ANPD) — o informativo deve conter a indicação de uma série de detalhamentos que, em geral, expliquem o que motivou determinado incidente e quais medidas passaram a ser adotadas pela organização para que um novo caso similar não aconteça.
A ANDP, por sua vez, é o órgão responsável por garantir a eficácia da Lei, pacificando entendimentos, analisando e tomando medidas contra diferentes interpretações na lei e, quando necessário, aplicando sanções e multas.
Como explica Nathália, a expectativa é de que, a médio e longo prazo, os titulares terão maior consciência a respeito do valor de seus dados, tornando-os mais cuidadosos e exigentes com relação aos seus direitos. O mapeamento, a organização e a adequação dos processos internos de uma empresa que envolvam o tratamento de dados pessoais é o começo para que seja possível atingir um mecanismo de gestão adequado à Lei e que viabilize o atendimento aos direitos dos titulares.
Com o advento da LGPD, para que as Políticas de Privacidade sejam, de fato, ferramentas eficazes, as organizações terão de fazer um trabalho de disseminação de uma nova cultura interna.
Isso envolverá o planejamento de ações, campanhas e treinamentos que tenham como objetivo a conscientização de todos osseus colaboradores, de modo a tornar a mudança de pensamento e ação cada vez mais orgânica e intuitiva. O êxito na disseminação dessa nova cultura se tornará cada vez mais um diferencial competitivo no mercado.
A LGPD oferece formas legítimas para que a análise dos dados estratégicos seja feita de maneira segura e equilibrada, tanto para o titular quanto para as empresas. Alexandre explica que, sem a adequação à lei, os negócios correm inúmeros riscos, como, por exemplo, perder a confiança de clientes e a credibilidade perante o mercado. Isso sem mencionar as inúmeras sanções às quais estão sujeitas, conforme previsto no art. 52 da LGPD.
Assim, sem uma estrutura adequada para o atendimento aos direitos estipulados pela lei e sem a implementação de mecanismos de controle e gestão de processos adequados, os danos causados por eventuais incidentes de vazamento de dados podem se tornar imensuráveis.
Um bom ponto de partida na estruturação de uma política de privacidade são os princípios descritos no art. 6º da LGPD, que trazem pontos sobre:
Os princípios devem estar refletidos em toda a política de privacidade. Na prática, a empresa deve iniciar pelo processo de adequação, realizando o mapeamento dos dados, das bases legais e do aconselhamento jurídico. Outro ponto a ser considerado é em relação ao conteúdo da política de privacidade, que deve contar com linguagem, conteúdo e aspectos visuais simples e de fácil entendimento para todas as pessoas.
Com medidas como essa, a organização demonstra seu compromisso com a transparência e com a ética no tratamento dos dados pessoais de seus consumidores, explica Nathália.
Sem a segurança de dados, não é possível garantir o tratamento adequado dos dados exigido pela LGPD. A ausência de mecanismos de controle de cibersegurança pode trazer diversos riscos às companhias, uma vez que os cibercrimes e a possibilidade de vazamento de dados cresce diariamente, comenta Alexandre.
Caso não cumpram os novos requisitos da lei, as empresas podem sofrer: advertências, bloqueio dos dados pessoais, publicização da infração e, claro, multas, que podem chegar ao valor de R$ 50 milhões ou até 2% do faturamento anual da companhia.
Em casos de infrações mais graves, como o vazamento de dados ou coleta sem consentimento dos usuários, a inadequação aos requisitos torna-se um agravante para os critérios de medição na aplicação das sanções mencionadas. Além disso, a LGPD determina que a empresa que faz uso dos dados seja responsabilizada por qualquer tipo de violação de segurança que comprometa a privacidade dos titulares, principalmente quando a falha acontecer por conta de uma postura negligente da empresa em relação ao tratamento conferido a esses dados.
A TIVIT é uma empresa especializada em cibersegurança, contando com times certificados e com larga experiência em privacidade e cibersegurança. O objetivo é apoiar os clientes na melhora da maturidade de seus controles e processos, explica Nathália.
Atualmente, a TIVIT fornece a plataforma Privally, que auxilia na automatização dos processos de gestão do tratamento de dados pessoais. A ferramenta ainda oferece mecanismos de atendimento aos direitos dos titulares, recursos digitais para a gestão de cookies, bem como diversas soluções tecnológicas e de cibersegurança para os ambientes digitais dos clientes.
Com a LGPD, é fundamental que as empresas ajustem suas políticas de privacidade para atuar em conformidade com a legislação. Além disso, devem ser implementadas as medidas necessárias para garantir a devida segurança das informações.
Quer entender melhor como a TIVIT pode ser uma parceira para a adequação do seu negócio? Entre em contato com os nossos consultores agora mesmo e tire todas as suas dúvidas sobre o processo!
Confira também: O que é LGPD