por Rosangela Carmanini*
O ano está apenas começando e já no dia 28 deste mês temos a
comemoração do Dia Internacional da Proteção de Dados. A lei brasileira que
trata da proteção de dados pessoais, popularmente conhecida como LGPD (Lei
Geral de Proteção de Dados), foi criada em agosto de 2018. No entanto, só
entrou em vigor em setembro de 2020. E será que este prazo foi suficiente para
que as empresas mudassem sua cultura e de fato incorporassem a privacidade à
sua rotina? Seguindo este raciocínio, algumas organizações estão contratando
consultorias com expertise em auditoria e LGPD para verificar o quanto já foi
implantado e modificado nos processos da empresa desde a etapa inicial de assessment.
Hoje,
transcorrido mais de um ano após o início da vigência da Lei, não é segredo para
ninguém que a adequação às normas estabelecidas pela nova legislação de
privacidade não ocorre de forma instantânea. É preciso realizar o mapeamento de
todos os processos da empresa que envolvem dados pessoais, verificar com rigor
as questões internas ligadas à segurança da informação, em especial os
softwares utilizados pela empresa, de modo a atestar se todos são de
conhecimento da área de tecnologia da empresa, bem como verificar a gestão de
acessos e a existência de medidas técnicas de segurança. Cabe ressaltar que a
LGPD se aplica tanto a arquivos digitais quanto aos arquivos físicos. Toda
documentação em papel dever ter local apropriado e acesso controlado para
evitar vazamento de dados.
Outro ponto
muito importante é a realizar a revisão frequente dos processos que envolvem
dados pessoais, com o intuito de verificar se os colaboradores que lidam
diretamente com coleta, uso e armazenamento dos dados não estão adotando
práticas diferentes do que foi mapeado no início da jornada de adequação. Ou
seja, trata-se de um processo contínuo, pois as organizações são dinâmicas e
cada mudança deve ser cuidadosamente analisada para que esteja em compliance
com a privacidade de dados e não comprometa todo o trabalho já realizado.
Vale ressaltar
que, segundo o diretor-presidente da ANPD (Autoridade Nacional de Proteção de
Dados), Waldemar Gonçalves Ortunho Junior, o primeiro ano da Lei foi marcado
pela orientação. Em razão disso foram realizados alguns acordos de cooperação
técnica e foi lançado o guia sobre como proteger os dados e mitigar os danos em
caso de vazamento. Em consequência disso, de acordo com a ANPD, ainda nestes
primeiros meses do ano, serão divulgados os parâmetros para cálculo das multas
que poderão ser aplicadas às empresas que não estiverem em compliance
com a Lei, levando em consideração todo o período a partir do qual ficou
determinado que a Autoridade poderia aplicar suas sanções, ou seja, retroativo
a agosto de 2021.
Dentre as
possíveis penalidades mencionadas no art. 52 da LGPD constam desde a aplicação
de advertência, com indicação de prazo para adoção de medidas corretivas,
publicização da infração após devidamente apurada e confirmada a sua
ocorrência, até a aplicação de multa simples de até 2% do faturamento no
seu último exercício, excluídos os tributos e limitada no total de cinquenta
milhões de reais por infração.
Com o objetivo
de auxiliar às empresas neste momento de implementação e revisão de ações para
se enquadrar no recente cenário brasileiro da privacidade, é importante contar
com suporte especializado para tornar esta adequação mais acessível. Um time
multidisciplinar de especialistas em auditoria e privacidade atuará na
avaliação da aderência de políticas, monitoramento da execução de planos de
ação previamente desenvolvidos, realização de testes de verificação de
controles internos nas questões relacionadas à segurança da informação em
operações que envolvem dados pessoais e, claro, sugestão de melhorias de acordo
com as melhores práticas de mercado para viabilizar o compliance com a
LGPD e assim propiciar longevidade e saúde às empresas.
*Rosangela Carmanini é consultora sênior da ICTS Protiviti,
empresa especializada em soluções para gestão de riscos, compliance, auditoria
interna, investigação, proteção e privacidade de dados.