A LGPD (Lei Geral de Proteção de Dados) tem sido motivo de grande atenção de praticamente todas as empresas brasileiras, independentemente do porte ou segmento de atuação. Sancionada em 2018, a lei, que entrou em vigor em agosto de 2020, regula as atividades de tratamento de dados pessoais.
Já em agosto de 2021, começaram a valer as multas por descumprimento da LGPD no país, que podem chegar a até R$ 50 milhões por infração. Por isso, é fundamental que diversas áreas da empresa estejam atentas para se adequar à legislação, evitando assim possíveis sanções.
Para ajudar nessa missão, convidamos os especialistas em riscos cibernéticos da AIG, Gabriela Martins e Tiago Lino, juntamente com Renato Chalfin e Thiago Junqueira, da CGV Advogados, para um podcast especial sobre os principais aprendizados neste primeiro ano de vigência da LGPD e alertar sobre os principais pontos de atenção para as empresas, uma vez que as multas e sanções passaram a vigorar a partir de 1º de agosto de 2021.
O que mais você precisa saber sobre a LGPD? Preparamos uma série de respostas para as perguntas mais comuns abaixo. Confira:
O que é a LGPD?
A LGPD (Lei Geral de Proteção de Dados) visa garantir a privacidade dos dados pessoais, com regras sobre os procedimentos de captação, armazenamento e compartilhamento dessas informações. O objetivo é trazer mais estímulo e transparência às transações online, respeitando os direitos do consumidor.
O que é compliance?
Expressão muito utilizada no universo corporativo, o termo “compliance” pode ser traduzido em português como “conformidade”. Ou seja, estar de acordo com as normas, leis e regulamentações vigentes, tanto externas quanto internas.
A área de compliance em uma empresa deve garantir que o negócio esteja em conformidade com a legislação, assim como assegurar que as práticas internas adotadas sigam um padrão de ética previamente estabelecido. Tudo isso com o objetivo de trazer uma imagem de credibilidade para a instituição.
Entenda a relação entre compliance e a LGPD
Com a adoção da LGPD no Brasil, tanto entidades públicas quanto organizações privadas vêm se movimentando para criar mecanismos de proteção dos dados de pessoas e empresas, como uma forma de inibir e coibir os crimes digitais.
As empresas devem adotar medidas para prevenir, detectar e resolver violações de dados pessoais, pois isso garante um negócio confiável e seguro para os clientes, mantendo a saúde financeira e continuidade dos negócios.
Mesmo antes de a LGPD entrar em vigor, essa já deveria ser uma preocupação da área de compliance das companhias. As empresas que não se mobilizaram antes, certamente terão mais trabalho para se adequar à legislação.
Como surgiu a LGPD?
A LGPD foi inspirada em outras regulamentações que já existiam no exterior, como por exemplo a GDPR (General Data Protection Regulation), lei europeia que entrou em vigor em maio de 2018 com o objetivo de proteger os cidadãos da União Europeia contra a violação de privacidade e dados.
Segundo o site Precise Security, houve em 2019 um aumento significativo no tamanho das multas por violação de dados na Europa. As 10 maiores somaram 402,6 milhões de euros.
Com isso, no Brasil foi criada a Lei nº 13.709/2018, a LGPD, sancionada no dia 14 de agosto de 2018. Inicialmente prevista para 18 meses, ela entrou em vigor de fato no país em agosto de 2020.
Como parte desse processo, em julho de 2019 foi criada a ANPD (Autoridade Nacional de Proteção de Dados), órgão fiscalizador vinculado à Presidência da República, com o objetivo de zelar pelo cumprimento da LGPD no país.
Qual é a importância da LGPD?
A LGPD define regras para o uso, proteção e transferência de dados pessoais coletados pelas empresas, independentemente de seu segmento de atuação, porte ou faturamento. Os negócios que registram informações dos clientes sem sua autorização, ou que os repassem, armazenem sem necessidade comprovada, ou que tenham esses dados vazados de alguma forma estão sujeitos às penalidades da lei.
Todas as empresas devem ter sistemas de controle que previnam, detectem e resolvam violações de dados pessoais. Isso garante um negócio confiável e seguro para os clientes, mantendo a saúde financeira e continuidade de seus negócios, principalmente das empresas menores.
Como funciona a LGPD na prática?
Sabemos que as prioridades de cada empresa são diferentes, dependendo da atividade e do tipo de dados que elas coletam. Cada uma deve primeiro entender que tipo de dados são coletados, para qual propósito e, então, certificar-se de que está cumprindo a lei. Mesmo assim, ainda persiste algum nível de subjetividade e as diferenças culturais podem levar a diferentes ações realizadas pelas organizações.
Com o início da LGPD, é mais importante do que nunca que as empresas estejam familiarizadas com a lei e entendam o seu funcionamento. Todas as áreas da companhia precisam estar cientes da importância do bom gerenciamento dos dados.
É importante que levem a lei a sério, pois os ataque cibernéticos são um problema global e é cada vez mais difícil saber de onde partem. Trazer quem os comete à justiça é quase impossível. Então, as empresas precisam perceber que é preciso se atentar às vulnerabilidades e corrigi-las rapidamente.
Caso a empresa ainda não tenha conseguido avançar no quesito segurança como gostaria, o ideal é buscar alguém com experiência em tecnologia, segurança cibernética e proteção de dados para atuar junto de si ou ter ao seu lado uma empresa de consultoria que possa ajudar a organização a estabelecer o que é necessário.
Ter alguém com essa habilidade no comitê de riscos da empresa ou de conhecimento externo pode ser o grande diferencial e, só assim, a sua empresa estará protegida dos cibercriminosos e das penalidades previstas em lei.
Saiba como implementar a LGPD no seu negócio
A maior parte dos principais ativos de uma marca hoje são não físicos, ou seja, dados. Portanto, é preciso focar nessa área, pois ela constitui grande parte da vantagem competitiva de uma empresa. É muito importante saber se a organização tem tratado essas informações de maneira adequada, as responsabilidades potenciais dos funcionários e as consequentes multas e penalidades regulatórias que a empresa pode sofrer. É fundamental tomar as medidas adequadas para proteger esses ativos. Todas as empresas precisam levar isso a sério, pois costumam ter muitas informações, até mesmo de seus funcionários.
Para implementar a LGPD no seu negócio, é importante ter alguém na liderança da empresa que tenha experiência em tecnologia, cibersegurança, proteção de dados ou uma empresa de consultoria que possa ajudar a organização a minimizar os riscos ao máximo. Caso contrário, pode haver problemas potenciais de governança corporativa, especialmente se os executivos precisarem responder a investigações regulatórias e multas e danos potenciais à reputação ou à marca.
Na Europa, por exemplo, à medida em que se foi discutindo a implementação da GDPR, as empresas buscaram se adequar às exigências, algumas, inclusive, de forma bastante proativa, para estarem em total conformidade com a regulamentação. Muitas companhias tiveram dificuldades na interpretação de alguns pontos da lei e, portanto, de terem a certeza de que estavam agindo da forma correta.
O Brasil passa pelo mesmo processo, com as empresas nacionais também se movimentando para ter o consentimento de seus clientes sobre o uso de dados e buscam se certificar que estão no caminho certo. Estar em completa conformidade com a lei é hoje uma forma de proteger a organização e seus ativos.
É, também, uma vantagem competitiva para as empresas. Assim, é importante que os líderes das companhias tomem a frente dessas certificações, verificando se as informações estão sendo protegidas adequadamente, sob pena de responderem investigações regulatórias, além da aplicação de multas. Se houver um incidente significativo em que as informações foram divulgadas, por exemplo, e o preço das ações cair vertiginosamente, eles serão responsabilizados.
Quais são as punições para o descumprimento da LGPD?
As penalidades previstas na LGPD variam de advertências a multas de até R$ 50 milhões por ocorrência. São elas:
- Advertência: Com indicação de prazo para adoção de medidas corretivas.
- Multa simples: De até 2% do faturamento líquido da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50 milhões por infração.
- Multa diária: Sanção aplicada por dia de descumprimento da lei, com os mesmos limites previstos na multa simples.
- Publicitação da infração: Após devidamente apurada e confirmada a sua ocorrência.
- Bloqueio dos dados pessoais envolvidos na infração: Os dados pessoais envolvidos ficam bloqueados até a regularização dos mesmos.
- Eliminação dos dados pessoais envolvidos na infração: Caso não seja feita a devida regularização no prazo determinado.
Leia mais artigos em nosso blog:
- Danos materiais, morais e corporais: o que são e quais as diferenças entre eles?
- Conheça o seguro com cobertura para PIX, que traz segurança para as suas transações