Lei Geral de Proteção de Dados
A globalização, a massificação das trocas rápidas de informação e das transações financeiras trouxeram um desafio: como proteger a intimidades das pessoas físicas?
Após extensos debates, em 2012 a União Europeia passou a trabalhar em uma regulamentação para seus países-membros, surgindo, em 2016 a GDPR 2016/679 - General Data Protection Regulation, a qual entrou em vigor no ano de 2018.
Seguindo esses passos, o Brasil promulgou a Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados (LGPD) que entrou em vigor em agosto de 2020, trazendo alterações substanciais na forma como os dados pessoais são tratados, incluindo a coleta, armazenamento, utilização, compartilhamento e eliminação de informações relacionadas a pessoas naturais identificadas ou identificáveis.
Riscos e Oportunidades:
- Multas de até 2% do faturamento anual da empresa ou grupo econômico, limitado a R$ 50 milhões por ato;
- Outras penas severas, como a proibição de atividades e divulgação da infração, expondo negativamente a empresa;
- Responsabilidade pelas perdas e danos causados às pessoas físicas afetadas, inclusive por ação civil pública (ação coletiva) – atuação do ESPEC - MPDFT;
- Empresas adequadas terão vantagens competitivas frente a concorrentes para realização de negócios com outras empresas adequadas e com o Governo;
- Ganho de imagem e reforço positivo da marca frente ao consumidor. d
Visando a adequação da sociedade empresária, a implementação da LGPD é realizada a partir da realização e conclusão das seguintes fases:
- Memorando e definição inicial de escopo de trabalho: Análise e ajuste de todo o escopo do trabalho a ser desenvolvido, incluindo prazos, abrangência, cronograma, pessoas envolvidas na implementação, comitê multidisciplinar, assessment e roadmap;
- Data Mapping: analisar e entender a empresa como um todo, realizando o mapeamento do inventário de dados existente. Identificar todos os envolvidos no projeto e realizar o engajamento para o programa de implementação da LGPD, através de sensibilização e atividades on line com grupo;
- Gap Analysis: Analisar os gaps de risco da empresa em relação aos dados tratados e classificá-los em baixo, médio e alto risco. Finalizada esta análise, será apresentado um plano de ação incluindo nível técnico (ferramentas), documental (atualizar normas em sites, Termo de Uso, Política de Privacidade, revisão de contratos controlador/operador e dos contratos de trabalho) e procedimental (adequar a governança e a gestão dos dados pessoais) e,
- PDCA: um ano após a finalização do trabalho com base nas orientações emitidas pela Autoridade Nacional de Proteção de Dados Pessoais.