A pandemia de Covid-19 acarretou uma série de mudanças na vida dos brasileiros, sejam pessoas físicas ou jurídicas. Entre elas, a provável mudança no início da vigência da Lei Geral de Proteção de Dados (LGPD). A Legislação torna efetiva a segurança digital do consumidor em relação ao fornecimento e uso de dados pessoais, minimizando, inclusive, os impactos causados por roubo e vazamento de dados. Dentre suas diretrizes, a LGPD estabelece que empresas somente poderão tratar dados pessoais de consumidores sob a guarda de pelo menos 1 dos 10 critérios autorizadores do regulamento. Assim, a legislação prevê a redução e potencialmente eliminação do comércio de informações pessoais on-line ou off-line.
Com o início da vigência prevista para agosto deste ano, a data poderá ser prorrogada devido a dois instrumentos legislativos em trânsito. O primeiro é o Projeto de Lei (PL) 1179/2020, apresentado pelo senador Antônio Anastasia, que estende o prazo para janeiro de 2021 e as penalidades para agosto do mesmo ano. O segundo é a Medida Provisória (MP) 869/2020, que transfere início da vigência e aplicação das penalidades para maio do próximo ano.
No entanto, segundo o advogado e Key Account Manager da SPDATA, João Gonçalves, é crucial que empresas que recebam dados em confiança percebam a real extensão da legislação e iniciem as mudanças em tempo hábil para se adequar dentro do novo prazo determinado. “A LGPD chegou para alterar processos, culturas, investimentos e pontos de vista. O prazo médio para implantação de um conjunto de framework é de oito meses e exige muita dedicação da equipe envolvida. É importante ter consciência de que ganhamos no mínimo mais quatro meses de trabalho, mas se a organização postergar as ações, o risco de não concluí-las é alto”, alerta o especialista.
A LGPD protege sobre dois tipos de dados: os pessoais e os pessoais sensíveis. O dado pessoal é considerado qualquer informação capaz de identificar uma pessoa, como nome, endereço, CPF, entre outros. O dado pessoal sensível é aquele que possibilita qualquer tipo de discriminação do indivíduo, como orientação sexual, peso, visão política, dentre outros. “Quando falamos no mercado de saúde, a própria Lei diz que dados relacionados à saúde de alguém são dados sensíveis, mas não devemos esquecer que, dos dados tratados pela saúde, nem todos entram nessa categoria de sensíveis, mas a maioria é considerada dados pessoais. Sendo assim, é importante ter em mente que qualquer informação que conste no prontuário de um paciente é sensível. Os dados técnico-administrativos, como cadastro de visitas, funcionários e prestadores de serviço, também devem receber cuidados especiais”, explica Gonçalves.
Para elaborar um programa de proteção de dados eficiente, as instituições devem se atentar ao investimento adequado em segurança (tecnologias e sistemas); na mudança e adequação no processo de filosofia de privacidade, colocando a privacidade dos dados dentro de um conjunto de processos; e, ainda na capacitação dos colaboradores. “Proteção de dados se faz com segurança da informação, gestão de processos e cultura da privacidade. A organização pode possuir o melhor sistema de segurança, mas se todos os colaboradores tiverem a mesma senha de acesso o sistema não cumprirá sua função e será considerado frágil”, exemplifica João Paulo.
As punições para àqueles que não seguirem as recomendações são rigorosas e vão desde a advertência à multa de 2% do faturamento anual – limitado a 50 milhões de reais -, passando pela publicização da ocorrência e multa diária. As organizações ainda estão sujeitas à exclusão ou suspensão do banco de dados. As penalidades serão avaliadas de acordo com a gravidade do vazamento. Já o artigo 37 da Lei reforça que toda empresa deve possuir registro de processamento de dados.
Criada com a LGPD, a Autoridade Nacional de Proteção de Dados – ANPD possui poder fiscalizador e sancionador, consequentemente, possui autonomia para investigar infrações e aplicar multas e outras penalidades. “O órgão não só vai fiscalizar, mas também tem como objetivo estimular denúncias por meio de canais simplificados. Portanto, a principal orientação é: repense seus processos e seguranças. Contrate uma equipe capaz de fazer uma análise de suas vulnerabilidades, invista em tecnologia e em sistema que ofereçam segurança e capacidade de proteger os dados. A melhor forma de evitar as punições é se adequar para não cometer infrações”, conclui João Gonçalves.
