A Lei Geral de Proteção de Dados (LGPD) foi publicada em 2018, entrou em vigor em setembro de 2020 e as sanções administrativas começaram a valer em agosto de 2021.
Neste momento, é fundamental que as empresas estejam em conformidade com a LGPD, mas boa parte das organizações ainda não se adequaram à lei.
Uma pesquisa realizada pela Fundação Dom Cabral, envolvendo 207 organizações, apontou que 40% delas ainda não estão totalmente adequadas à LGPD.
Com as sanções administrativas em vigor, as empresas podem sofrer penalidades, caso seja identificado o descumprimento da lei, inclusive com efeito retroativo. As penalidades podem variar entre a aplicação de multas (de até 2% do faturamento, limitado a R$ 50 milhões), bloqueio ou exclusão dos dados armazenados (referentes a infração em questão), suspensão do banco de dados, proibição ou suspensão da atividade de tratamento dos dados e outros.
As empresas devem se atentar a essa nova fase da lei e evitar prejuízos financeiros, estratégicos e de reputação para a organização.
É possível evitar as sanções administrativas impostas pela Autoridade Nacional de Proteção de Dados (ANPD), desde que haja um preparo em relação a uma governança de dados sólida e a implementação de uma estratégia que vise prevenir e remediar possíveis sanções.
Haverá a comunicação prévia da ANPD aos agentes de tratamento, antes de quaisquer aplicações das sanções, o que permite a apresentação de justificativas e defesas por parte das empresas.
Como reduzir os riscos de sanções da LGPD
Quando boas práticas em relação à LGPD são adotadas pelas organizações, as possibilidades de punições sofrem uma redução.
Preparamos uma lista com 5 dicas que reduzem o risco de sanções administrativas da LGPD. Confira:
1. Mapeamento das informações armazenadas na base de dados
O mapeamento de dados (data-mapping) é um ponto fundamental quando se trata da adequação à LGPD. Com as normas de proteção de dados em vigor, o mapeamento de dados permite um panorama geral de como a empresa está tratando a privacidade e segurança dos dados sob sua detenção.
Dessa maneira, esse procedimento cumpre com o art. 37 da LGPD, onde é estabelecido ao controlador e operador que seja mantido registro das operações de tratamento de dados pessoais realizados.
Além disso, este mapa deve transparecer o caminho percorrido pelas informações dentro da empresa, ou seja, deve deixar claro como os dados foram adquiridos, qual a base legal que sustenta o tratamento desses dados, qual o nível de segurança da base de dados e outros esclarecimentos necessários para analisar as possíveis fraquezas técnicas e jurídicas.
2. Investimentos adequados em segurança da informação
Recentemente foram vistos diversos casos de ataques cibernéticos, exposição ou perda de dados em diversos lugares do mundo, inclusive no Brasil.
A partir disso, fica ainda mais visível a importância em investir adequadamente em uma infraestrutura de segurança da informação para garantir que os dados sensíveis armazenados não sofram qualquer risco.
Possuindo essa estruturação de segurança digital, a empresa estará em conformidade com a LGPD no que diz respeito a privacidade e segurança dos dados pessoais.
3. Proteção de dados pessoais como cultura da empresa
Outro quesito importante na minimização dos riscos de notificações da ANPD é estabelecer um forte senso dessa responsabilidade com todos os integrantes da organização.
O assunto deve fazer parte da rotina interna da empresa diariamente, trabalhando a cultura da proteção de dados pessoais, realizando treinamentos e ações que eduquem e conscientizem para as boas praticas voltadas para a lei.
4. Gerir o compartilhamento de dados com terceiros
De acordo com a LGPD, o uso compartilhado de dados pessoais emprega-se quando os dados pessoais são comunicados, difundidos, transferidos internacionalmente ou interconectados.
A maioria das organizações trabalham com serviços terceirizados e isso implica no compartilhamento de informações com outras empresas.
Neste caso, é imprescindível que, no fluxo de compartilhamento de dados, exista as autorizações devidas por parte dos titulares e que o tratamento desses dados seja adequado, fora da zona de risco de exposições, por exemplo. Além disso, é fundamental verificar se os terceiros já estão em compliance com a Lei Geral de Proteção de Dados.
5. Instituir o Data Protection Officer (DPO)
O DPO ou encarregado de proteção de dados é o profissional – especialista em proteção de dados – designado para monitorar, fiscalizar, orientar e atuar como via de comunicação entre o controlador, os titulares dos dados e a ANPD, sempre garantindo que a empresa esteja em consonância com as normas de proteção e privacidade de dados.
Segundo a LGPD, em seu artigo 41, parágrafo 2º, o DPO tem como responsabilidade:
I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – Receber comunicações da autoridade nacional e adotar providências;
III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A LGPD Brasil oferece uma equipe especializada em Direito Digital e DPO como um serviço, que poderão alinhar e adequar uma empresa à LGPD como é necessário, de acordo com as regras e adaptações para cada ambiente ao qual se aplica.
Para entender mais sobre as sanções administrativas, baixe nosso e-Book 10 Perguntas sobre as Sanções Administrativas da LGPD.