Multas administrativas da LGPD já estão valendo: entenda a norma e saiba como preparar a sua empresa na prática

Publicado em 26 de agosto de 2021

Professor do MBA em Data Protection Officer do IESB, Alex Rabello, destaca que os dados vão muito além de números e desenvolver uma cultura preventiva é fundamental

Quem desrespeitar a Lei Geral de Proteção de Dados (Lei 13.709) poderá ser punido. A norma aprovada em 2018 teve a sua vigência iniciada no ano passado, mas só agora, a partir de agosto de 2021, as sanções administrativas para quem violar os direitos dos titulares de dados e as obrigações para quem coleta e trata esses registros entraram em vigor.

A LGPD lista como possíveis sanções advertência, multa de 2% do faturamento bruto da empresa, com limite de teto de R$ 50 milhões por infração, além de prever a interrupção da atividade corporativa da companhia multada. A fiscalização e aplicação das punições fica a cargo da Autoridade Nacional de Proteção de Dados (ANPD), estrutura vinculada à Presidência da República.

A Lei fixa ainda um conjunto de direitos para os titulares de dados, como a empresa informar quais dados estão sendo coletados e para quais finalidades, ou ainda não reutilizar os registros coletados para outros propósitos, com algumas exceções.

Além de evitar multas, conhecer a LGPD é fundamental para que ela seja efetivamente respeitada e colocada em prática da maneira correta. O problema é que, embora a lei exista há três anos, essa preparação ainda vem ocorrendo de forma lenta. Levantamento organizado pela consultoria de riscos ICTS Protiviti apontou que 84% das empresas ainda não têm uma diretriz clara sobre as exigências da lei. O estudo, com a participação de 192 companhias, mostrou que a maioria dos participantes não estão utilizando a ampliação do prazo de vigência da legislação para se prepararem e ainda precisam de foco, maturação e eficiência operacional para lidar com a nova realidade.

Como entender tudo isso na prática?


Alex Rabello, Professor do MBA em Data Protection Officer (DPO) do Centro Universitário IESB, explica que a LGPD veio para fortalecer dois pilares: o direito dos titulares, dos cidadãos, de poderem controlar e exercer o poder sobre os seus dados; e o dever das organizações de proteger e custodiar as informações. “Isso é muito importante porque muitas empresas estavam utilizando as informações dos titulares dos dados (consumidor, paciente, cliente…) de forma indiscriminada, sem que, de fato, o dono das informações soubesse o que estava acontecendo”, explica Rabello.

De acordo com a norma, são considerados dados pessoais as informações que podem ser atreladas a uma pessoa (titular) identificável, como nome, CPF, endereço e número de telefone, por exemplo.

Mas, o conjunto de dados pessoais não se resume a números. Há ainda aqueles que exigem um pouco mais de atenção: são os sobre crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, questões genéticas, biométricas e informações sobre a saúde ou a vida sexual de uma pessoa. Sobre os dados sensíveis, autônomos, empresas e governo também podem tratá-los se tiverem o consentimento explícito do titular e seja para um fim definido. Sem o consentimento do proprietário dos dados, a LGPD define que isso é possível apenas quando for indispensável, como, por exemplo, uma obrigação legal, estudos via órgão de pesquisa, um direito em contrato ou processo, à preservação da vida e da integridade física, e outras situações específicas.

O cenário é complexo. Por isso, para tornar uma empresa mais segura contra fraudes e vazamentos de todas essas informações, o professor orienta realizar, o quanto antes, um treinamento com os funcionários e boas práticas de segurança. “Visto que a empresa é custodiante dos dados do cliente e não proprietária, ela tem, por obrigação, o dever de aplicar todas as medidas técnicas, físicas e organizacionais para proteger essas informações. Por isso, ela deve criar, o quanto antes, perímetros maiores de segurança, aplicar mais controles de acesso e fazer treinamentos com seus funcionários sobre o manejo da informação e privacidade dos dados do cliente. É assim que a empresa aumenta o seu nível de maturidade, preservação das informações dos titulares dos dados e cria um importante mecanismo de prevenção contra invasões”, avalia Rabello.

De acordo com o especialista, este treinamento é fundamental ainda para o que eles chamam de Privacy by Design, que tem como proposta central incorporar a privacidade e a proteção de dados pessoais do cliente durante todo o processo de coleta e armazenamento, desde o início ao fim. “É informar e estabelecer uma cultura na qual os colaboradores vão aprender a colocar isso em prática no dia a dia. Por exemplo, não conversar coisas do trabalho em lugares que não são adequados, como um restaurante ou uma viagem de Uber, o que é muito comum”, afirma.

Para coletar e usar corretamente os dados dos clientes, de forma simples e clara, Alex Rabello orienta que empresas e funcionários devem agir atendendo todos os princípios da LGPD. “O primeiro que eu destaco é a finalidade. Toda a coleta e tratamento dos dados deve ser feita com base em uma finalidade específica. Não existe o excesso de informação neste sentido”, reforça.
Para evitar multas, a orientação é aplicar todas as medidas de segurança e privacidade regulamentada pela LGPD. “Se a empresa aplicar uma boa governança da segurança da informação e protegê-las, respeitando os direitos dos seus titulares, certamente ela vai estar agindo corretamente e isso é uma forma de evitar multas que poderá ocorrer, seja pela LGPD ou judiciário”, conclui Rabello.

Mais notícias