O que muda com a vigência imediata da LGPD e a estruturação da ANPD?

Diante da aprovação pelo Senado Federal do Projeto de Lei de Conversão nº 34 de 2020 (“Projeto de Lei”), que teve origem na Medida Provisória nº 959 de abril deste ano, e tendo sido retirado o artigo que postergava entrada em vigor da Lei Geral de Proteção de Dados (“LGPD”), assim que houver a sanção presidencial do Projeto de Lei de Conversão, a LGPD entrará em vigor imediatamente, o que deverá ocorrer nos próximos dias.

Em paralelo, o governo federal publicou ontem dia (26.08) o decreto nº 10.474, que regulamenta a estrutura da Autoridade Nacional de Proteção de Dados (“ANPD”), órgão que terá o papel de fiscalizar e garantir o cumprimento da legislação.

O Decreto nº 10.474/2020 estipula as competências de cada um dos órgãos que compõe a ANPD, como o Conselho Diretor, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (órgão consultivo) e a Secretaria Geral, por exemplo.

Entre outras competências, a ANPD será responsável por fiscalizar o cumprimento da legislação de proteção de dados pessoais e aplicar as sanções administrativas previstas na LGPD no caso de descumprimento da lei.

Cabe ressaltar que o Decreto apenas entrará em vigor quando da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União.

Destaca-se, entretanto, que o início do prazo para aplicação de sanções administrativas previstas na LGPD será apenas em 1º de agosto de 2021, conforme disposto na Lei nº 14.010/20.

Assim, para garantir que sua empresa estará em plena regularidade com a LGPD é necessário iniciar o processo de adequação o mais breve possível, a fim de viabilizar a implementação de adaptações relevantes em tempo hábil.

Por fim, cabe ressaltar que o tema é delicado e complexo, tendo várias controvérsias entre os juristas e posicionamentos distintos entre os legisladores, razão pela qual é recomendável a contratação de profissionais especializados, a fim de evitar a implementação inadequada do projeto que poderá acarretar penalidades administrativas e cíveis por conta da inobservância da LGPD.

O Pinheiro Villela está à disposição para auxiliá-lo a estar em conformidade com a LGPD, bem como no esclarecimento de dúvidas sobre aplicação da LGPD ao seu negócio.


A Proteção de Dados Pessoais e as Investigações Internas nas Empresas

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) exige que as empresas informem previamente às pessoas (titulares de dados) sobre como seus dados pessoais serão tratados, de maneira clara, ostensiva e acessível, e determina as informações mínimas a serem fornecidas a elas. Mencionados requisitos fazem parte dos princípios da transparência, livre acesso e adequação, previstos no artigo 6º da Lei, os quais buscam impedir que as empresas usem os dados pessoais de forma imprevisível ou prejudicial aos indivíduos.

Nas investigações internas, sejam relacionadas às condutas antiéticas ou ilegais dos colaboradores, o cumprimento desses princípios e obrigações é imprescindível, entretanto podem apresentar desafios práticos, especialmente quando a empresa não tem uma política de proteção de dados pessoais e de monitoramento abrangentes, podendo o uso dos dados pessoais dos colaboradores para fins de investigação ser considerado inadvertido e danoso para esses colaboradores.

Além dos requisitos acima mencionados é importante que, para que ocorra o monitoramento das comunicações corporativas dos colaboradores (seja e-mail, chat, WhatsApp, telefone ou outra fornecida pela empresa), a empresa seja transparente sobre a interceptação, rastreabilidade e monitoramento de suas comunicações, seja por meio de políticas escritas seja na consistência de suas condutas. Obviamente que quando há monitoramento de comunicações corporativas, existe a possibilidade de a empresa ter acesso a dados pessoais dos colaboradores, o que deve também estar claro na política.

No contexto das investigações internas, a proteção de dados e da comunicação obrigam as organizações a serem explícitas com os colaboradores sobre como seus dados pessoais e suas comunicações são usadas, a fim de garantir que eventual interceptação e seu subsequente uso e/ou divulgação sejam viáveis e legalmente embasados, evitando reivindicações futuras de violação de privacidade dos colaboradores.

É importante que as investigações internas observem pelo menos os seguintes pontos:

  • Os registros dos procedimentos investigatórios devem ser confidenciais e mantidos em sigilo;
  • Os dados pessoais acessados devem fundamentar as conclusões das investigações;
  • A empresa não têm direito irrestrito de acesso a todos os dados pessoais mantidos sobre o colaborador e deve acessar apenas aqueles dados pessoais relevantes para o assunto que está sendo investigado, ou seja, não há justificativa para acessar as informações relacionadas à saúde do colaborador se a investigação não é sobre este tema, por exemplo;
  • Deve-se ter um procedimento claro e escrito de como a empresa lidará com as investigações;
  • Os direitos de acesso aos dados pessoais dos colaboradores pela empresa devem observar todos os preceitos da LGPD.

Outro ponto relevante são as denúncias, assim, as empresas, em suas políticas devem incluir um tópico para elas, devendo, no caso de ocorrerem, respeitar os princípios de proteção de dados, incluindo não apenas o anonimato do denunciante como também salvaguardas para o relatório de denúncia e quaisquer terceiros nele mencionados. As empresas também precisarão garantir que apenas os dados pessoais necessários à investigação de uma denúncia sejam tratados.

Ao procederem uma investigação interna onde haverá o tratamento de dados pessoais, as empresas devem redobrar a atenção caso venham a lidar com dados pessoais sensíveis, uma vez que estes estão sujeitos a maior restrição legal.

Para a realização de investigações internas, as empresas normalmente contratam terceiros para lhes auxiliarem, os quais demandam acesso aos dados pessoais dos colaboradores para que possam prestar seus serviços. Nestes casos, a empresa deve celebrar contrato de prestação de serviços com esse terceiro, estabelecendo, dentre outras disposições, o objeto do tratamento de dados e a sua duração, a natureza e a finalidade do tratamento, o tipo de dados pessoais, obrigações de sigilo, bem como determinadas obrigações contratuais que possam garantir inclusive o pagamento de multas e indenizações em caso de incidente de vazamento ocasionado por ação ou omissão deste prestador.

Para a elaboração de políticas, procedimentos e contratos envolvendo investigações internas diante do cenário da proteção de dados, bem como treinamentos, conte com a assessoria jurídica do Pinheiro Villela Advogados.

 

 

 


mulher com jaleco branco analisando dados em uma tela fazendo alusão à lei geral de proteção de dados

A possível prorrogação do início da vigência da LGPD e a escolha adequada do DPO

 

           Diante da pandemia ocasionada pela disseminação da Covid-19, diversas medidas foram editadas pelo Governo visando diminuir o impacto financeiro para as empresas e, muitas outras estão sendo anunciadas, dentre elas, está o Projeto de Lei nº 1.179/2020, que pretende, entre outras providências, prorrogar o início da vigência da Lei Geral de Proteção de Dados (“LGPD”) para janeiro de 2021 e a aplicação de suas sanções para agosto de 2021. Referido projeto de lei já foi aprovado pelo Senado e agora está aguardando aprovação pela Câmara e ao que tudo indica o será em breve, dado o momento crítico que muitas empresas já estão vivenciando.

 

Em que pese o prenúncio da prorrogação do início da vigência da LGPD, que será benéfico para a maioria das empresas que ainda não começaram a sua implementação, há que aproveitar o tempo que será concedido para iniciar o projeto de implementação, pois, para uma implementação adequada é necessário alguns meses de trabalho, sendo recomendado um planejamento prévio de 6 (seis) à 12 (meses) de antecedência.

 

Além disso, a prorrogação do início da vigência da LGPD, proporciona a oportunidade para a escolha e preparação adequadas do profissional que irá desempenhar a função do Encarregado ou “Data Protection Officer” (“DPO”) nas empresas, pois, o perfil adequado para esta posição, ainda é uma questão que enseja muitas dúvidas.

 

O Encarregado tem entre suas atribuições precípuas, aquelas previstas no § 2º do artigo 41 da LGPD, quais sejam: aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares. Mencionadas atribuições podem ser desmembradas em pelo menos quinze atividades diversas, que demandam um profissional com competências multidisciplinares e habilidades específicas.

 

           Destacamos a seguir algumas das habilidades que a função exige: (i) pessoais: integridade, iniciativa, organização, perseverança, discrição, capacidade de se afirmar em circunstâncias difíceis, interesse na proteção de dados e motivação; (ii) interpessoais: comunicação, negociação, resolução de conflitos, capacidade de construir relações de trabalho.

 

           O desempenho adequado das tarefas pelo DPO geralmente exige que o profissional tome atitudes firmes também com os tomadores de decisão da organização. Assim, o DPO deve ser capaz de suportar as pressões e dificuldades que acompanham essa importante posição, mantendo sua independência e autonomia, não apenas detectando e prevenindo riscos, mas também criando valor para a organização.

 

           O profissional deve ter conhecimento especializado na legislação e prática em proteção de dados e é necessário um bom entendimento da terminologia relacionada à Tecnologia da Informação, sistemas de gerenciamento de dados, tipos de software, arquivos e sistemas de armazenamento de dados, bem como sobre políticas de segurança (biometria, criptografia de dados, assinaturas eletrônicas, dentre outros).

 

           O Encarregado deverá ser formalmente nomeado para a função e todos os requisitos acima e atividades a serem por ele desempenhadas deverão estar claramente refletidos no documento e suas informações e contato deverão constar do sítio eletrônico da empresa.

 

           A empresa não precisa necessariamente criar um cargo interno para DPO, muito menos um cargo em período integral, o que pode ser uma opção é encontrar dentro da corporação um colaborador com as competências e habilidades necessárias para a execução da função ou, o que muitas empresas têm feito é contratar um escritório de advocacia para cumprir as funções de DPO, mediante contrato de prestação de serviços, o que pode ser muito útil para empresas de menor porte.

           Assim, é prudente avaliar individualmente cada empresa e seu respectivo modelo de negócio para que possa ser definido o perfil mais apropriado do DPO, tendo em vista o volume de demandas e a exposição a eventuais riscos de cada corporação.

           O Pinheiro Villela está à disposição para auxiliá-lo a estar em conformidade com a LGPD, bem como no treinamento ou prestação de serviços de DPO.

 

 


Qual o atual cenário da LGPD em tempos de COVID-19?

Em virtude da pandemia causada pelo avanço do COVID-19 muitos questionamentos acerca da legislação de proteção de dados vêm surgindo em todo mundo, será que ela beneficia ou prejudica as ações públicas e privadas para contenção da pandemia? Quais as perspectivas da Lei Geral de Proteção de Dados (LGPD) no Brasil?

 

Uma vez que o tratamento de dados para contenção da pandemia é visto como uma medida protetiva à vida seja do titular ou de terceiros há uma legitimidade na coleta e transferência de dados para essa finalidade específica, não sendo necessário o consentimento do titular, entretanto, pelo princípio da transparência o titular mesmo que sem a necessidade do consentimento deveria ter conhecimento dos dados que estão sendo coletados e da proteção adequada de tais dados para evitar que um eventual vazamento viabilize condutas discriminatórias.

 

Recentemente, foi revelado pelo jornal chinês South China Morning Post em artigo intitulado Coronavirus accelerates China’s big data collection, but privacy concerns remain[i] a enorme quantidade de dados pessoais e sensíveis que foram coletados sem a devida autorização e que o vazamento de muitos desses dados pessoais de pessoas infectadas, na província de Wuhan, que foram disponibilizados na internet, proporcionou todo o tipo de discriminação.

 

Em razão da pandemia, vários países estão utilizando a tecnologia seja em aplicativos móveis ou em inteligência artificial para conter a crise, porém, muitas vezes o setor privado como farmácias, hospitais e clínicas laboratoriais acabam sendo as fornecedoras de tais dados, expandindo a responsabilidade pela proteção adequada para tais agentes.

 

Nesse sentido, o CODIV-19 traz esse alerta para o Brasil, que terá a LGPD em vigor em agosto de 2020, e precisará buscar o equilíbrio entre a privacidade e a necessidade de coleta de dados. O desafio será evitar que a necessidade propicie violações à dignidade humana através de práticas discriminatórias.

 

Ademais, vem surgindo questionamentos e especulações sobre uma possível postergação da vigência da LGPD. Neste aspecto, é importante observar que até o presente momento não houve avanço em nenhum projeto de lei em trâmite no senado e em paralelo tivemos na semana passada a publicação da Resolução nº 1, 16.03.2020 do Comitê Central de Governança de Dados em que houve a aprovação do regimento interno do Comitê, sinalizando a ação do governo em avançar com a constituição da Autoridade Nacional de Proteção de Dados.

 

Certamente, que as empresas afetadas pela pandemia poderão justificar os atrasos na finalização do processo de adequação à LGPD, porém, a ausência total de qualquer processo de adequação à LGPD com a justificativa da pandemia poderá não ser suficiente para evidenciar a boa-fé prevista no inciso II do artigo 52 da LGPD, tendo em vista, que as empresas já deveriam ter iniciado tal processo de adequação.

 

Por fim, entendemos que caso haja eventual postergação, o prazo não deverá ser superior há seis meses, uma vez que o Brasil terá sérias implicações comerciais nas relações com empresas de países em que já se encontra vigente a proteção de dados pessoais. Portanto, não deixem para a última hora para se adequar à nova legislação, uma vez que o projeto é complexo e pode durar de 6 (seis) até 12 (doze) meses para sua conclusão[ii].

 

Ressaltamos que grande parte das empresas brasileiras ainda não se adequaram a LGPD. As multas estabelecidas por ela são elevadas podendo alcançar o valor de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

 

Por isso, o Pinheiro Villela está à disposição para auxiliá-lo a estar em conformidade com a LGPD. Quer saber como podemos te ajudar? Então, entre em contato conosco!

 

 

 

 

 

[i] https://www.scmp.com/tech/apps-social/article/3052232/coronavirus-accelerates-chinas-big-data-collection-privacy

 

[ii] A Estimativa de tempo foi realizada com base nos projetos já realizados pelo Pinheiro Villela Advogados, o prazo poderá ser maior ou menor conforme o tamanho e complexidade da empresa.


A LGPD e seus impactos na área da saúde

Com vigência, a partir de agosto de 2020, a Lei Geral de Proteção de Dados (LGPD) tem despertado nas empresas a preocupação com a segurança da informação, principalmente no setor da saúde, pois, com tantos avanços tecnológicos, os laboratórios, hospitais e demais fornecedores do setor se encontram vulneráveis às ameaças de vazamentos de dados, sequestros de dados e uso indevido de dados pessoais.

Nesse sentido, é necessário encontrar meios avançados para proteger as informações de seus pacientes e clientes, bem como promover a implementação da LGPD de modo cauteloso para atender as peculiaridades da lei na área da saúde.

Além de dedicar tempo ao devido tratamento dos dados pessoais de colaboradores e terceiros, os laboratórios, hospitais e empresas relacionadas direta ou indiretamente ao setor da saúde devem ainda ter outra preocupação: o tratamento dos dados pessoais sensíveis de seus pacientes e clientes.

O que são dados sensíveis para a LGPD?

De acordo com o artigo 5º da LGPD, os dados sensíveis são aqueles que dizem respeito aos seguintes aspectos:

  • origem racial ou étnica;
  • convicção religiosa;
  • opinião política;
  • filiação a sindicato ou organização de caráter religioso, filosófico ou político;
  • dado referente à saúde ou vida sexual;
  • dado genético ou biométric

Em resumo, são considerados sensíveis os dados que podem causar exposição de alguma característica ou informação da esfera íntima/privada do indivíduo.

Como os dados sensíveis impactam o setor da saúde?

Com o volume de dados sensíveis que circulam em empresas da área da saúde, é necessário a adequação de processos para garantir que os mesmos sejam mantidos confidenciais, criptografados e somente utilizados quando expressamente autorizados por seus titulares ou para cumprimento de alguma finalidade legal.

Nota-se ainda, a necessidade de uma política clara para a coleta de dados de pacientes, bem como a finalidade de sua coleta, sendo necessário que os registros coletados sejam apagados após sua utilização. No caso de dados de pacientes menores de idade deverão ser adotadas medidas mais especificas e restritivas.

Caso a empresa não se adeque às exigências da lei, alterando seus processos de coleta, armazenamento e compartilhamento dessas informações, estará sujeita à multas altas ou, em casos mais graves, a suspensão dos serviços prestados.

Assim, é necessário que as empresas mapeiem todos os processos realizados atualmente e encontre possíveis lacunas, visando tomar as medidas cabíveis, sendo recomendado nesses casos uma assessoria jurídica para garantir que as ações estejam adequadas à lei. Confira alguns processos que merecem maior atenção:

Dados de pacientes

Toda coleta de informações por uma instituição de saúde ou fornecedora de serviços e produtos médicos deve ser justificada. É necessário informar a procedência do uso delas dentro do ambiente de armazenamento, devendo haver o consentimento do usuário para qualquer ação.

Exclusão de dados após o uso

Após a demanda de utilização das informações sensíveis por parte de um hospital, por exemplo, o mesmo deve criptografar ou apagar de seu banco de dados todos os registros que contenham esse conteúdo. O intuito é impedir que haja disponibilidade indevida dessas informações após a passagem do paciente pela entidade.

Transparência de dados

Uma vez que o usuário de um serviço de saúde é o titular dos dados informados à instituição, a mesma deve dispor de mecanismos para que paciente possa não só consultar, como também promover alterações nas informações disponibilizadas, de modo claro e desburocratizado.

Treinamentos e Comunicações

Outro ponto importante é a realização de treinamentos frequentes para os colaboradores e terceiros impactados pelas atividades da instituição, visando deixar claro que a limitação de acesso aos dados pessoais se dá pelo interesse maior dos indivíduos e especialmente da corporação.

Os treinamentos devem ser frequentes, em tom amistoso e elaborados especialmente à cada uma das áreas a que são dirigidos.

A comunicação entre a instituição e o colaborador também deverá ser permeada pelas disposições da nova Lei, atentando-se o Departamento ao que questiona aos colaboradores e às informações que deles recebe.

Integração com o departamento de TI

Para garantir que as medidas citadas acima não apresentem falhas, é fundamental que o departamento de Tecnologia da Informação esteja constantemente integrado com os demais departamentos, sendo os pilares da adequação dos procedimentos da nova lei.

Após o mapeamento de processos internos, será necessária a revisão dos contratos e documentos que dizem respeito à política de segurança de dados dos pacientes, clientes e colaboradores da empresa. Após esse procedimento, é fundamental a elaboração de um documento com as orientações de acesso para que os profissionais de TI possam utilizar os dispositivos tecnológicos para blindar e/ou criptografar as informações dos colaboradores e de terceiros, limitando os acessos conforme as orientações de acesso para cada função/atividade desenvolvida.

A implementação de novos processos, além de garantir que a empresa atue dentro da lei, quando instituída com agilidade e eficiência é um fator que pode aumentar o grau de confiança da empresa perante seus colaboradores, terceiros e o mercado.

 

Portanto, recomendamos a revisão de seus processos a fim de garantir a adequação de sua empresa à Lei Geral de Proteção de Dados em tempo hábil. Aqui no Pinheiro Villela, disponibilizamos assessoria jurídica especializada para implementação da LGPD. Quer saber como podemos te ajudar? Então, entre em contato conosco!


LGPD e seus impactos nas rotinas de RH

Com vigência, a partir de agosto de 2020, a Lei Geral de Proteção de Dados (LGPD) tem despertado nas empresas o senso de  urgência na reestruturação de suas estratégias de marketing, bem como na forma pela qual abordam seus clientes e armazenam informações de funcionários e demais terceiros nos sistemas da corporação.

Nesse sentido, é necessário entender quais os impactos da implementação da LGPD nas rotinas de RH, visto que os dados dos fornecedores, dos funcionários e de seus familiares continuarão a circular pela organização.

Além de dedicar tempo ao devido tratamento dos dados pessoais de colaboradores e terceiros, os departamentos de RH devem ainda ter outra preocupação: o tratamento dos dados pessoais sensíveis.

O que são dados sensíveis para a LGPD?

Assim como os dados considerados sensíveis na GDPR, de acordo com o artigo 5º da nova lei, os dados sensíveis são aqueles que dizem respeito aos seguintes aspectos:
  • origem racial ou étnica;
  • convicção religiosa;
  • opinião política;
  • filiação a sindicato ou organização de caráter religioso, filosófico ou político;
  • dado referente à saúde ou vida sexual;
  • dado genético ou biométrico.
Em resumo, são considerados sensíveis os dados que podem causar exposição de alguma característica ou informação da esfera íntima/privada do indivíduo.

Como os dados sensíveis impactam a rotina dos profissionais de RH?

Com o mapeamento dos dados que circulam dentro do Departamento e seu enquadramento como dados sensíveis, os profissionais de Recursos Humanos devem adequar seus processos para garantir que os mesmos sejam mantidos confidenciais e somente utilizados quando expressamente autorizados por seus titulares ou para cumprimento de alguma finalidade legal.

Indica-se que o mapeamento de tais dados seja precedido de entrevistas com os colaboradores do Departamento, as quais extrairão de cada um a real necessidade de acesso aos dados pessoais sensíveis em sua rotina de trabalho diária e quais dados vem sendo acessados, podendo, assim, deixar de coletar tais dados caso não sejam essenciais ao desenvolvimento das atividades.

Caso a empresa não se adeque às exigências da lei, alterando seus processos desde a seleção, contratação até a demissão de um colaborador, estará sujeita à multas altas ou, em casos mais graves, a suspensão dos serviços prestados.

Assim, é necessário que o departamento de RH mapeie todos os processos realizados atualmente e encontre possíveis lacunas, visando tomar as medidas cabíveis, sendo recomendado nesses casos uma assessoria jurídica para garantir que as ações estejam adequadas à lei. Confira alguns processos que merecem maior atenção:

Dados de candidatos

Ao divulgar uma vaga de emprego, é necessário solicitar ao candidato a inclusão no documento de texto com autorização, por ele expressamente firmado, autorizando a empresa a utilizar seus dados, esclarecendo também no formulário preenchido ou no e-mail resposta a finalidade de seu uso.

Caso a empresa compartilhe o currículo do candidato, como por exemplo com empresas de recrutamento e seleção parceiras ou com empresas do mesmo grupo econômico, é necessário questionar o candidato se ele concorda que seu currículo seja compartilhado com essas organizações e, neste caso, fazer com que o candidato declare no próprio currículo a possibilidade de uso de suas informações pessoais para fins de recrutamento e seleção em processos seletivos posteriores ou de terceiros.

Admissão de colaboradores

Assim que um novo colaborador ingressar para o quadro de funcionários da corporação, é necessário garantir que ele acesse apenas os dados pertinentes à execução de sua funções, evitando o compartilhamento indevido de outros dados pessoais.

A empresa deve ainda obter a autorização para uso de seus dados por meio de documentos específicos. Esses materiais devem ser didáticos a fim de garantir a fácil compreensão da finalidade de uso dos dados fornecidos pelos colaboradores.

Para otimizar a adequação ao processo, o departamento de RH pode implementar tal procedimento prontamente aos novos colaboradores e gradativamente obter tais autorizações dos antigos colaboradores mediante ações específicas de divulgação da nova lei e preservação dos dados já obtidos, alterando-se as rotinas e controlando acessos antes ilimitados.

Treinamentos e Comunicações

Outro ponto importante é a realização de treinamentos frequentes para os colaboradores e terceiros impactados pelas atividades da organização, visando deixar claro que  a limitação de acesso aos dados pessoais se dá pelo interesse maior dos indivíduos e especialmente da  corporação.

Os treinamentos devem ser frequentes, em tom amistoso e elaborados especialmente à cada uma das áreas a que são dirigidos.

A comunicação entre o RH e o colaborador também deverá ser permeada pelas disposições da nova Lei, atentando-se o Departamento ao que questiona aos colaboradores e às informações que deles recebe.

Dados de terceiros que circulam pelo RH

Importante notar que o Departamento de Recursos Humanos tem acesso à informações sensíveis também dos dependentes dos colaboradores, seja para fins de contratação de seus planos de saúde, por exemplo,  seja pelo recebimento de ofícios do Judiciário para o desconto de pensão alimentícia, dentre outros; devendo segregar o recebimento de tais informações à profissionais específicos do setor e com a acesso restrito pelos demais colaboradores.

Integração com o departamento de TI

Para garantir que as medidas citadas acima não apresentem falhas, é fundamental que os departamentos de Tecnologia da Informação e Recursos Humanos estejam constantemente integrados, sendo os pilares da adequação dos  procedimentos da nova lei.

Após o mapeamento de processos internos, os profissionais de RH deverão revisar os contratos e documentos que dizem respeito à política de segurança de dados de colaboradores da empresa. Após esse procedimento, é fundamental a elaboração de um documento com as orientações de acesso para que os profissionais de TI possam utilizar os dispositivos tecnológicos para blindar e/ou criptografar as informações dos colaboradores e de terceiros, limitando os acessos conforme as orientações de acesso para cada função/atividade desenvolvida..

A implementação de novos processos, além de garantir que a empresa atue dentro da lei, quando instituída com agilidade e eficiência é um fator que pode aumentar o grau de confiança da empresa perante seus colaboradores, terceiros e o mercado.
Portanto, recomendamos a revisão de seus processos a fim de garantir a adequação de sua empresa  à Lei Geral de Proteção de Dados em tempo hábil. Aqui na Pinheiro Villela, disponibilizamos  assessoria jurídica especializada para implementação da LGPD. Quer saber como podemos te ajudar? Então, entre em contato conosco!


anpd - mão tocando tela selecionando ícone em formato de cadeado

Descubra qual o papel da ANPD — Autoridade Nacional de Proteção de Dados

Nos últimos tempos, muito se tem falado sobre a Lei Geral de Proteção de Dados (LGPD), sancionada pelo ex-presidente Michel Temer que entrará em vigor a partir do ano que vem. Mas qual será exatamente o papel da Autoridade Nacional de Proteção de Dados (ANPD)? 

O órgão servirá como uma espécie de elo entre o governo e os cidadãos, que poderão fazer denúncias sobre as empresas que não estiverem cumprindo todas as diretrizes da LGPD, por exemplo. Além disso, a ANPD tem diversas outras responsabilidades.

O surgimento da Autoridade Nacional de Proteção de Dados (ANPD)

A primeira menção à Autoridade Nacional de Proteção de Dados (ANPD) na legislação brasileira ocorreu em dezembro de 2018, quando a Medida Provisória nº 869 foi sancionada, criando a entidade.

Recentemente, a Medida Provisória foi convertida na Lei nº 13.853/18, sancionada em julho de 2019 pelo presidente Jair Bolsonaro. De acordo com essa legislação, a ANPD é o “órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional”.

A legislação também classifica a ANPD como um “órgão da administração pública federal, integrante da Presidência da República”.

As 7 principais responsabilidades da ANPD

Entendido o que é a Autoridade Nacional de Proteção de Dados (ANPD), é interessante atentar-se às responsabilidades desse órgão. Afinal, as atividades por ele executadas impactam diretamente na atuação das empresas brasileiras ou cujo tratamento de dados transite pelo território nacional.

A seguir, confira as 7 principais responsabilidades da ANPD.

1. Fiscalização junto às empresas

A ANPD terá o papel de fiscalizar o cumprimento da LGPD junto às empresas. Imagine, por exemplo, que uma companhia compre um mailing list com e-mails de pessoas moradoras de uma determinada região e comece uma campanha de e-mail marketing.

Com a LGPD em vigor, esse tipo de situação não poderá mais acontecer, uma vez que as empresas só poderão enviar e-mails para um indivíduo se essa pessoa autorizar o uso de seus dados para essa finalidade.

Logo, um cidadão que receber essa mensagem poderá fazer uma denúncia para a ANPD, que verificará se realmente houve infração à LGPD. Caso a constatação seja positiva, aplicará as sanções cabíveis à companhia infratora.

2. Apoio ao consumidor

Um dos principais pilares da LGPD é dar aos consumidores mais domínio e autonomia sobre os seus dados. Números de telefone, endereço físico e eletrônico, entre outras informações pessoais não poderão mais ser utilizados pelas empresas, a menos que haja autorização expressa para isso.

Assim sendo, a ANPD atuará também na defesa do consumidor, uma vez que qualquer pessoa que se sentir lesada por uma companhia poderá registrar uma denúncia.

3. Atuação junto a outros órgãos

A ANPD poderá atuar junto a outros órgãos de defesa do consumidor, tais como a Anatel, a Anvisa, o Procon etc. A ideia é que a Autoridade Nacional de Proteção de Dados forneça informações para as outras entidades, esclarecendo as obrigações que são de sua competência.

Se um consumidor se sentir lesado por ter seus dados utilizados de forma inadequada por uma empresa e também por não ter recebido um produto de qualidade, por exemplo, a atuação da ANPD ocorrerá junto ao Procon.

O objetivo é que os órgãos públicos atuem em sinergia, garantindo o cumprimento das leis e dos direitos da população.

4. Realização de consultas públicas

Também será uma responsabilidade da ANPD a realização de consultas públicas para colher sugestões que sejam de interesse público. De tal modo, o órgão deverá atuar realizando pesquisas de temas relevantes e relacionados à proteção de dados.

Poderão ser realizados estudos de temas relacionados, como as melhores maneiras de identificar empresas que são confiáveis para autorizar o uso dos dados, por exemplo. Tudo isso visa facilitar o entendimento da população em relação ao assunto.

5. Difundir o conhecimento sobre as políticas públicas

A LGPD é uma legislação muito importante e que gera muitos impactos, tanto para as empresas quanto para os consumidores. Por isso, é importante que todos os cidadãos tenham conhecimento claro sobre os seus principais pontos.

Uma das atribuições da ANPD será justamente difundir esse conhecimento, por meio da produção de conteúdos informativos sobre o tema para as mais diversas mídias, atividades de assessoria de imprensa, participação em eventos públicos, como palestras e simpósios etc.

6. Requisitar informações sobre o tratamento de dados às empresas

Sempre que julgar necessário, como nas situações em que são registradas denúncias por parte dos cidadãos, por exemplo, a ANPD poderá solicitar às empresas informações sobre o tratamento de dados.

Dessa forma, as organizações terão que apresentar relatórios sobre o uso de dados, bem como as devidas autorizações, formas de captação utilizadas e outras informações.

É por isso que as empresas precisarão estar preparadas e ter tudo muito bem organizado, para sempre poder prestar contas e provar que estão agindo de acordo com a legalidade.

7. Editar normas e procedimentos em relação a dados pessoais

Também será uma atribuição da ANPD a edição de normas e procedimentos em relação aos dados pessoais. Assim sendo, se forem necessárias fazer alterações futuras na LGPD ou alterar a forma como as fiscalizações serão conduzidas, isso também será de responsabilidade do órgão.

Cabe lembrar que a Autoridade Nacional de Proteção de Dados já foi criada. De tal forma, o órgão já iniciou as suas atividades e está sendo estruturado, com políticas e cargos ainda sendo definidos pelo Governo Federal.

O objetivo é que a ANPD esteja totalmente organizada e em pleno funcionamento até a data em que a LGPD entrar em vigor. Assim, desde o primeiro dia em que a lei estiver sendo aplicada, fiscalizações e denúncias já poderão ser realizadas.

A importância do tratamento de dados dentro das empresas

O tratamento de dados passa a ter cada vez mais importância dentro das empresas. Algo que antes não tinha tanto valor para as companhias, passou a ser protagonista de seus processos. Além disso, algumas práticas, como a compra de mailing lists, como citado, e uso indiscriminado de dados pessoais de consumidores, não serão mais permitidas.

A LGPD entrará em vigor em 2020 e as empresas devem buscar meios para adequar os seus processos de coleta e tratamento de dados pessoais. Somente assim será possível evitar as penalidades, que são bastante severas.

Compreender a atuação da ANPD também é de extrema relevância  pois, como explicamos, é esse órgão que fará as fiscalizações da LGPD e poderá bater à porta da sua companhia a partir do ano que vem.

Para garantir que tudo está em ordem, contratar uma consultoria para o inventário de dados, controles e políticas, auditoria interna e melhoria contínua é a melhor solução. 

O Pinheiro Villela pode ajudá-lo nesse sentido! Para saber mais sobre os serviços que oferecemos, entre em contato conosco!


mulher com jaleco branco analisando dados em uma tela fazendo alusão à lei geral de proteção de dados

A Lei Geral de Proteção de Dados (LGPD) é baseada no General Data Protection Regulation (GDPR), que entrou em vigor na Europa em 25 de maio de 2018. A  LGPD tem como objetivo preservar a privacidade de todos os que interagem com as organizações, tanto interna quanto externamente.

A Lei nº 13.853, de 2019, entrará em vigor em agosto de 2020. Por isso, a maioria dos empresários já corre contra o tempo para adequar todos os processos a esta nova realidade.

A LGPD alcança todas as operações que envolvam transferência, coleta, utilização, reprodução, armazenamento, arquivamento e processamento de dados pessoais. Portanto, qualquer organização que armazene dados, inclusive cadastro de funcionário, precisa se adequar à lei.

Não sabe por onde começar? Continue a leitura e aprenda como implementar a Lei Geral de Proteção de Dados na sua empresa!

Faça uma análise de todos os dados armazenados pela sua empresa

O primeiro passo é fazer uma análise sobre quais são os dados coletados, utilizados e armazenados atualmente pela sua organização. Verifique também os documentos de funcionários, clientes e fornecedores.

É necessário saber onde, quando e como essas informações são coletadas, desde os dados mais simples como uma data de nascimento, até os mais complexos, como folha de pagamento, e os sensíveis, como formulários para planos de saúde.

Feito o mapeamento, separe toda a documentação (física e digital) e a registre, catalogando-a. Vale ressaltar que o tratamento de dados é permitido pela LGPD, desde que haja o consentimento do titular ou que seja para cumprimento de obrigação legal. Por isso, é importante criar um Termo de Uso e uma Política de Privacidade para nortear todos os processos de acordo com a nova legislação.

Adote um plano de mudanças para adequar o que for necessário

Antes da legislação, muito provavelmente você não tinha um cuidado especial com o tratamento de dados. Por isso, agora é o momento para criar um plano de mudanças e adequar tudo o que for necessário para cumprir a Lei Geral de Proteção de Dados.

Para ajudar no processo, é importante (e obrigatório) nomear um Data Protection Officer (DPO), ou seja, um responsável legal por gerenciar a entrada, tratamento e saída de dados da sua empresa. Ele é o principal responsável por treinar a sua equipe no processamento de informações e promover auditorias regulares para garantir a segurança da sua empresa.

Faça um mapa de riscos de tratamento de dados pessoais

Mapeie a gestão de riscos: avalie como está a maturidade da sua empresa no que tange o universo da proteção de dados.

Verifique a estrutura de segurança e de controle:

  • inventarie os dados tratados, mapeando-os;
  • categorize-os — por exemplo: anônimos, sensíveis, pessoais, diretos, indiretos, crianças, adolescentes etc.;
  • entenda como funciona o ciclo dos dados: como são coletados, onde são armazenados e qual a sua finalidade;
  • confira se todos os dados coletados realmente são essenciais para o seu negócio;
  • confira como funciona o compartilhamento de informações com terceiros (quando necessário);
  • analise/verifique qual é o perfil dos usuários que atualmente têm acesso ao banco;
  • analise/verifique quais são os processos e ferramentas utilizados (WhatsAppDropboxSofwtare de Gestão);
  • verifique todos os setores da empresa que devem ser influenciados pela nova legislação;
  • trabalhe em conjunto com as áreas de gerenciamento de riscos da sua empresa;
  • defina como será o processo de descarte de dados; e
  • elabore um documento para formalizar o descarte de informações dos usuários.

Faça uma análise corretiva para atender à LGPD

Como vimos, é necessário analisar e gerenciar todas as suas políticas de segurança e privacidade, além de revisar todos os contratos com terceiros.

Em cada documento é preciso ter cláusulas que garantam o uso e a confidencialidade dos dados a que o terceiro terá acesso e outras informações específicas e importantes para seguir a legislação de acordo com a realidade do seu negócio.

Portanto, faça uma análise corretiva para conferir todos os documentos que precisam ser alterados para cumprir a legislação.

Treine os colaboradores

Com o auxílio do DPO, os funcionários precisam de treinamento e monitoramento para conferir a efetividade do seu trabalho com relação à legislação. Então, ofereça um bom treinamento para que todos compreendam a importância do assunto, bem como as consequências do mau uso de dados.

Todos os envolvidos na organização, sejam funcionários, freelancers, sócios, profissionais autônomos, diretores, consultores, entre outros, precisam ter a consciência sobre a necessidade da transformação dos processos para o cumprimento da lei.

Manter toda a equipe interna engajada e envolvida nesse processo é uma das principais garantias de que a sua empresa implementará a LGPD sem complicações.

No entanto, treinamento e auditoria devem ser constantes: alinhe com os departamentos de comunicação interna, gestão de riscos e marketing a fim de construir ações de conscientização frequentes.

Afinal, toda a sua equipe é a principal responsável por compreender o processo e dar continuidade a essa nova cultura.

Defina quem poderá ter acesso a cada tipo de dado

Avalie quem pode ter acesso à determinada informação. Por exemplo, o departamento de Recursos Humanos deve ter acesso aos dados dos funcionários, no entanto, será que o time de produção de uma fábrica precisa ter essa mesma permissão?

Então, analise a rotina de trabalho de cada setor, levando em consideração a necessidade de acesso a cada tipo de dado, e determine quem poderá ter acesso a cada tipo de informação, criando usuário e senha para todos com as suas devidas permissões. Assim, o funcionário só terá acesso a um determinado dado sigiloso quando realmente necessário — devido a alguma ação essencial e justificada dentro da empresa.

Promova a integração entre as áreas jurídica, de TI e de segurança da informação

As áreas jurídica, de tecnologia da informação (TI) e de segurança da informação precisam estar alinhadas.

Por isso, faça uma reunião presencial ou on-line com os responsáveis para conversar sobre a LGPD e verificar quais são as ações cabíveis em cada departamento para atender à nova lei.

Procure aconselhamento jurídico

Por mais que você colete diversas dicas no mundo dos negócios, é essencial procurar aconselhamento jurídico para conhecer os impactos legais da LGPD na sua empresa.

A assessoria jurídica ajuda a identificar os riscos, prevenir e remediar passivos contingentes. Além disso, a assessoria também pode ajudar nas seguintes ações:

  • inventário e categorização de dados;
  • controles e  políticas;
  • elaboração e revisão de contratos;
  • implementação e aplicação das novas políticas (baseadas na captura de informações e também no processamento e uso);
  • controle e auditoria;
  • melhoria contínua (com treinamentos e revisões).

A Lei Geral de Proteção de Dados tem como objetivo principal proteger os dados de todos os envolvidos com uma determinada organização. Por isso, é muito importante buscar aconselhamento jurídico a fim de conferir os reais impactos da LGPD no seu negócio e, assim, providenciar as melhorias sugeridas.

Neste post, você conferiu algumas dicas sobre como implementar a Lei Geral de Proteção de Dados. Você tem alguma dúvida sobre o assunto? Podemos lhe assessorar a encontrar a melhor solução para a sua empresa. Entre em contato conosco agora mesmo!