Entrevista com Andréia Santos Sobre a nova LGPD

Entrevistada Andréia Santos

CompliancePME. Quais os principais impactos da LGDP para as empresas brasileiras?

Primeiro, será uma mudança de cultura. Isto porque nem todas as empresas brasileiras estavam atentas às questões voltadas à proteção de dados, que engloba outros elementos além da adoção de medidas de boas práticas voltadas à segurança da informação, como as medidas previstas nas ISOs 27001 e 27002. Ou seja, o que antes era visto como boa prática de mercado, agora é mandatório. Além disso, todo o desenvolvimento de um novo produto e serviço deve levar em consideração a proteção de dados.

Se por um lado, isto pode ser visto como mais um gasto para a empresa, por outro é uma oportunidade. Vale uma reflexão da importância dessa lei, primeiro para os consumidores, mas também para que as empresas tenham uma ampla visão de todos os dados que coletam e possuem e, assim, estrutura-los de forma a contribuir para as suas decisões de negócios.

Claro que em uma visão macro, sabemos que o cenário brasileiro abarca empresas de diversos portes, desde uma loja pequena de bairro às grandes empresas multinacionais com sede no Brasil. Mas, a lei leva em consideração essa diversidade de estruturas.

 

CompliancePME. E para as PMEs?

Acredito que se deve começar pela quebra do paradigma de que a LGPD supostamente não seria aplicável às PMEs e, segundo, que a adaptação à lei pelas PMEs seria muito difícil. Pois bem, a lei é aplicável a todas as empresas independentemente do porte e do segmento. Portanto, as PMEs deverão se adequar ao novo regramento. Vale lembrar que no contexto de criação da lei, levou-se em consideração as diferenças entre as empresas de grande porte e as PMEs, bem como os ramos de segmento. Certamente, uma empresa que tem seus negócios pautados em grande volume de dados para personalização de seus produtos, por exemplo, apresentará maior risco à proteção de dados dos titulares e, por esta razão, deverá apresentar um programa de proteção de dados compatíveis com este volume. Tanto é verdade que a depender da natureza, do porte e do volume de tratamento de dados, a futura Autoridade Nacional de Proteção de Dados (ANPD) poderá estabelecer normas complementares isentando empresas de determinado porte e natureza da indicação de um Encarregado de Proteção de Dados (mais conhecido mundialmente como Data Protection Officer – DPO).

Uma segunda questão é a da adaptação das PMEs à legislação. Basta uma breve observação para que se perceba que o cenário de PMEs também é bem diverso. De um lado, temos os pequenos negócios que estão começando, muitas vezes, dentro da própria casa do empreendedor ou de um pequeno comércio; de outro, empresas que se iniciam pequenas, mas já estruturadas em termos de segurança da informação. Então, o desafio é fazer com que todo esse ecossistema esteja informado e entenda em que medida e extensão a LGPD será aplicável ao seu negócio.

 

CompliancePME. Como LGDP se relaciona com compliance?

Em termos gerais, compliance significa estar em conformidade com as normas e regulamentos aplicáveis ao negócio. Por isso, muitas empresas estruturam uma área de compliance, a fim de mapear o cenário da empresa, averiguar eventuais pontos de atenção e assegurar o cumprimento legislativo e minimizar riscos legais. Com o advento das ferramentas tecnológicas e a aprovação de leis específicas para os negócios digitais, como por exemplo, o Decreto do Comércio Eletrônico, o Marco Civil da Internet e seu Decreto Regulamentador, as empresas começaram a instaurar um Programa de Compliance Digital para atender a essas normas em específico.

A proteção de dados pessoais, nos termos da LGPD, envolve a combinação de uma governança corporativa – que inclui estruturação, documentação de processos e conjunto de normas e políticas internas – e a segurança da informação (que são mecanismos técnicos para garantir a integralidade, a autenticidade, a confidencialidade e a disponibilidade das informações). Ou seja, um Programa de Proteção de Dados representado por corpo estruturado de ações técnicas e organizacionais que assegurarem a conformidade da empresa à LGPD.

 

CompliancePME. Qual seria o primeiro passo a ser tomado por uma PME em relação à LGDP?

O primeiro passo é entender o propósito e os princípios básicos da LGPD e, por conseguinte, mapear todo o fluxo de dados pessoais (como e por quem são coletados, quais as finalidades do tratamento, onde são armazenados, com quem são compartilhados, quais os mecanismos técnicos e administrativos de segurança das informações, cláusulas de contratos com terceiros vigentes, etc.). A partir disto, será possível compreender em que extensão a lei é aplicável a seu negócio, principalmente em termos de responsabilidade. Vale relembrar que a lei está atenta à diversidade do mercado brasileiro. E este é um momento de adaptação dos requisitos mínimos previstos na lei, uma vez que alguns pontos ainda dependem de regulamentação pela futura Autoridade Nacional de Proteção de Dados.

 

CompliancePME. Quais as penalidades as empresas estão sujeitas?

A LGPD elenca penalidades que variam desde uma advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil, limitada a R$50.000.000,00 por infração ou multa diária; publicização da infração; bloqueio ou até eliminação dos dados pessoais a que se refere a infração. Vale mencionar que serão levados em consideração alguns parâmetros e critérios, como a gravidade da infração, a boa-fé e a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas para minimizar os danos. Portanto, as empresas que possuírem, por exemplo, Política de Segurança da Informação e Política de Resposta a Incidentes atualizadas, registro de seu fluxo e tratamento de dados pessoais, demonstrando que estão atentas à LGPD e seus impactos podem ter eventuais sanções reduzidas.

 

Entrevista publicada no Portal CompliancePME. Leia em https://www.compliancepme.com.br/entrevistas/entrevista-com-andreia-santos-sobre-a-nova-lgpd-20181211

Voltar


Telefones

Rio de Janeiro
(55 21) 2102 4212

São Paulo
(55 11) 2103 9107

Escreva para nós