Muito se fala sobre a implementação da nova Lei Geral de Proteção de Dados nas empresas, mas poucos sabem realmente o que fazer e quais os impactos. O tema ainda é controverso pois existem várias frentes de aplicação que geram dúvidas.

A LGPD não se limita à preocupação com a estrutura técnica e operacional que uma área de tecnologia deve manter, mas de todo um processo de gestão de risco escalonado que precisa ser considerado. É preciso que a empresa faça uma avaliação inicial para entender se:

• está atuando em ambiente seguro;
• está respeitando o direito do usuário e coletando termos de consentimento de forma específica;
• os dados coletados recebem o tratamento de acordo com a sua finalidade;
• realiza tratamento de dados sensíveis;
• de alguma forma coleta dados pessoais de menores;
• está pronta para emitir relatório de impacto quando formalmente solicitado;
• existe um ponto focal que exerça o papel do DPO (Data Privacy Officer).

A LGPD é uma lei de interesse nacional, e de aplicação extraterritorial, cuja fiscalização não se limita somente à Agência Nacional de Proteção de Dados (ANPD) uma vez que o Ministério Público, enquanto fiscal da lei, ou qualquer pessoa física que tenha o seu direito de privacidade violado, também podem fazer valer a norma frente ao caso concreto. Nesse sentido, é muito importante que as empresas tenham clareza em quais momentos dados de pessoas físicas são coletados de maneira direta ou indireta, mapeando todo o fluxo, com o objetivo de mitigar eventuais impactos decorrentes do vazamento de dados de forma indevida ou de destinação imprópria sem o legítimo interesse.

Para que haja um projeto efetivo de implementação da LGPD, é necessário envolver todas as áreas da empresa para que ocorra a avaliação dos riscos por meio de mapeamento e planos de ações que vão desde a ajustes contratuais com colaboradores, parceiros, prestadores de serviços e clientes à criação ou atualização de políticas internas de conformidade, como: Política de Privacidade interna e externa; Política de Cyber Security e Política de Gestão de Incidentes. Referidas políticas resguardam e norteiam a atuação da empresa, além de serem mandatórias perante grandes players do mercado, significando dizer que, para se ter grandes clientes, inevitavelmente será necessário ter políticas voltadas para gestão de riscos.

Assim, é indispensável a integração das áreas jurídica e de tecnologia para que ambos consigam identificar e mitigar os riscos de acordo com as nuances legais e com o objetivo de prevenção a multas e/ou responsabilidades civis e criminais. Para se ter uma ideia, as sanções decorrentes do descumprimento da Lei Geral de Proteção de Dados podem variar de 2% sobre o faturamento do empresário a 50 milhões de reais, além da multa diária pelo tempo de descumprimento dos requisitos legais.

É urgente a necessidade das empresas estarem em conformidade com a LGPD sob a perspectiva de prevenção e contingências a ameaças externas, pois uma pessoa jurídica bem posicionada no que diz respeito à privacidade de dados e que se preocupa com a gestão de riscos, tem mais credibilidade no mercado e consequentemente mais oportunidades de negócios.