5 dicas para reduzir os riscos de sanções administrativas da LGPD

Share on facebook
Share on twitter
Share on linkedin

A Lei Geral de Proteção de Dados (LGPD) foi publicada em 2018, entrou em vigor em setembro de 2020 e as sanções administrativas começaram a valer em agosto de 2021.

Neste momento, é fundamental que as empresas estejam em conformidade com a LGPD, mas boa parte das organizações ainda não se adequaram à lei.

Uma pesquisa realizada pela Fundação Dom Cabral, envolvendo 207 organizações, apontou que 40% delas ainda não estão totalmente adequadas à LGPD.

Com as sanções administrativas em vigor, as empresas podem sofrer penalidades, caso seja identificado o descumprimento da lei, inclusive com efeito retroativo. As penalidades podem variar entre a aplicação de multas (de até 2% do faturamento, limitado a R$ 50 milhões), bloqueio ou exclusão dos dados armazenados (referentes a infração em questão), suspensão do banco de dados, proibição ou suspensão da atividade de tratamento dos dados e outros.

As empresas devem se atentar a essa nova fase da lei e evitar prejuízos financeiros, estratégicos e de reputação para a organização.

É possível evitar as sanções administrativas impostas pela Autoridade Nacional de Proteção de Dados (ANPD), desde que haja um preparo em relação a uma governança de dados sólida e a implementação de uma estratégia que vise prevenir e remediar possíveis sanções.

Haverá a comunicação prévia da ANPD aos agentes de tratamento, antes de quaisquer aplicações das sanções, o que permite a apresentação de justificativas e defesas por parte das empresas.

Como reduzir os riscos de sanções da LGPD

Quando boas práticas em relação à LGPD são adotadas pelas organizações, as possibilidades de punições sofrem uma redução.

Preparamos uma lista com 5 dicas que reduzem o risco de sanções administrativas da LGPD. Confira:

1. Mapeamento das informações armazenadas na base de dados

O mapeamento de dados (data-mapping) é um ponto fundamental quando se trata da adequação à LGPD. Com as normas de proteção de dados em vigor, o mapeamento de dados permite um panorama geral de como a empresa está tratando a privacidade e segurança dos dados sob sua detenção.

Dessa maneira, esse procedimento cumpre com o art. 37 da LGPD, onde é estabelecido ao controlador e operador que seja mantido registro das operações de tratamento de dados pessoais realizados.

Além disso, este mapa deve transparecer o caminho percorrido pelas informações dentro da empresa, ou seja, deve deixar claro como os dados foram adquiridos, qual a base legal que sustenta o tratamento desses dados, qual o nível de segurança da base de dados e outros esclarecimentos necessários para analisar as possíveis fraquezas técnicas e jurídicas.

2. Investimentos adequados em segurança da informação

Recentemente foram vistos diversos casos de ataques cibernéticos, exposição ou perda de dados em diversos lugares do mundo, inclusive no Brasil.

A partir disso, fica ainda mais visível a importância em investir adequadamente em uma infraestrutura de segurança da informação para garantir que os dados sensíveis armazenados não sofram qualquer risco.

Possuindo essa estruturação de segurança digital, a empresa estará em conformidade com a LGPD no que diz respeito a privacidade e segurança dos dados pessoais.

3. Proteção de dados pessoais como cultura da empresa

Outro quesito importante na minimização dos riscos de notificações da ANPD é estabelecer um forte senso dessa responsabilidade com todos os integrantes da organização.

O assunto deve fazer parte da rotina interna da empresa diariamente, trabalhando a cultura da proteção de dados pessoais, realizando treinamentos e ações que eduquem e conscientizem para as boas praticas voltadas para a lei.

4. Gerir o compartilhamento de dados com terceiros

De acordo com a LGPD, o uso compartilhado de dados pessoais emprega-se quando os dados pessoais são comunicados, difundidos, transferidos internacionalmente ou interconectados.

A maioria das organizações trabalham com serviços terceirizados e isso implica no compartilhamento de informações com outras empresas.

Neste caso, é imprescindível que, no fluxo de compartilhamento de dados, exista as autorizações devidas por parte dos titulares e que o tratamento desses dados seja adequado, fora da zona de risco de exposições, por exemplo. Além disso, é fundamental verificar se os terceiros já estão em compliance com a Lei Geral de Proteção de Dados.

5. Instituir o Data Protection Officer (DPO)

O DPO ou encarregado de proteção de dados é o profissional – especialista em proteção de dados – designado para monitorar, fiscalizar, orientar e atuar como via de comunicação entre o controlador, os titulares dos dados e a ANPD, sempre garantindo que a empresa esteja em consonância com as normas de proteção e privacidade de dados.
Segundo a LGPD, em seu artigo 41, parágrafo 2º, o DPO tem como responsabilidade:

I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – Receber comunicações da autoridade nacional e adotar providências;
III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

A LGPD Brasil oferece uma equipe especializada em Direito Digital e DPO como um serviço, que poderão alinhar e adequar uma empresa à LGPD como é necessário, de acordo com as regras e adaptações para cada ambiente ao qual se aplica.

Para entender mais sobre as sanções administrativas, baixe nosso e-Book 10 Perguntas sobre as Sanções Administrativas da LGPD.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *