As sanções da LGPD – Lei de Proteção de Dados começaram a vigorar em agosto, e mesmo com o prazo longo para se realizar as adequações muitas empresas ainda têm dúvidas sobre a lei. Dessa forma, as instituições que não se ajustaram estão sujeitas a aplicação de multa sobre o seu faturamento. Assim, podem ser penalizadas com a divulgação da infração ou até mesmo o eventual bloqueio de acesso ao banco de dados. Isso pode gerar danos irreversíveis dependendo da sua área de atuação.
Com a pandemia e o crescimento do trabalho remoto, muitas empresas atualizaram ou criaram políticas de uso de dados. Também instituíram uma Política de Segurança da Informação. No entanto, muitas instituições não estão preparadas e não possuem regras de Compliance com a LGPD. Isso porque a adequação necessária vai além da atualização das regras, trazendo impacto na própria infraestrutura, governança e capacitação de seus profissionais
Uma das principais regras da LGPD é a obrigação, por aqueles responsáveis pelos tratamentos de dados pessoais (que inclui a recepção, a coleta, o armazenamento e a exclusão), sendo o tomador da decisão (controlador) ou seu mero executor (operador), de realizar as operações de tratamento, com base em uma das hipóteses permitidas nos artigos 7º e 11º da LGPD.
Como evitar as sanções da LGPD
É muito importante que as organizações estejam cientes dos direitos dos titulares, elencados no artigo 18º da LGPD. Além de seu dever de informar aos titulares sobre seus direitos, tem por obrigação disponibilizar meios para que possam exercê-los. São eles:
- Confirmação de existência do tratamento dos dados (confirmar se a empresa (controladora ou operadora realiza o tratamento);
- Acesso aos dados pessoais (obter uma cópia de seus dados pessoais), de forma gratuíta;
- Correção dos dados pessoais incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação, caso os dados pessoais tratados pela empresa se mostrem desnecessários, excessivos, ou ainda em desconformidade, caso não estejam sendo tratados para finalidades específicas ou o tratamento não seja justificável por nenhuma das dez bases legais;
- Portabilidade dos dados pessoais para outro fornecedor de serviço ou produto;
- Informação sobre compartilhamento;
- Informações sobre as consequências da negativa do consentimento; e
- Revogação do consentimento.
Assim, vale lembrar que é direito do titular saber com quem os seus dados estão sendo compartilhados. Portanto, o titular que descobrir que a empresa não cumpriu com a LGPD pode notificar a empresa ou ainda peticionar junto à ANPD – Autoridade Nacional de Proteção de Dados para formalizar a denúncia. Todo cidadão, órgãos públicos e privados podem apresentar denúncias à ANPD.
Esfera judicial
Além disso, a matéria é judicializável, quer dizer que, o titular pode ingressar com ação judicial, seja de forma individual ou coletiva, sem prejuízo de denúncia em outros órgãos como PROCON ou Ministério Público.
Para se adequar a LGDP, o primeiro passo é aceitar esta nova cultura, independente da utilização de recursos digitais ou físicos. Além da blindagem técnica e documental, faz parte da conformidade, investir em treinamentos e palestras de conscientização.
Nomear o “Encarregado – DPO”, representante da Proteção de Dados Pessoais na empresa também é, assim, um passo fundamental. Aqui saliento a importância de sua nomeação, pois ele tem como função atuar como canal de comunicação entre o controlador e os titulares dos dados, bem como entre o Controlador e a ANPD, além disso, ele deverá emitir pareceres e orientar a organização, de forma efetiva em relação à Proteção de Dados Pessoais.
Transparência
Disponibilizar um canal de atendimento aos titulares dos dados pessoais e buscar medidas contingenciais para evitar a violação dos direitos desses titulares é de extrema importância. Dessa forma, esta medida deve ser tomada o quanto antes.
Por fim, as instituições deve procurar profissionais qualificados, afinal a adequação é um processo que exige muitas conformidades, governança de dados e políticas de conscientização, além disso, LGPD não se limita ao projeto de adequação, mas efetivamente de um programa contínuo para manutenção dessa adequação. Isso evita não somente as sanções da LGPD, mas também a criação de uma cultura de proteção de dados nas organizações.