LGPD: sanções começaram e agora?
Quem não está em conformidade com a LGPD já pode ser multado pela ANPD, órgão governamental que regula e fiscaliza a LGPD. O prazo de início das sanções começou no dia 1º de agosto.
Quem não está em conformidade com a Lei de Proteção de Dados (LGPD) já pode ser multado pela Autoridade Nacional de Proteção de Dados (ANPD), órgão governamental que regula e fiscaliza a LGPD. O prazo de início das sanções começou no dia 1º de agosto.
De acordo com o art. 52º, as sanções podem chegar até R$ 50 milhões por infração, além de advertências com prazo para adoção de medidas corretivas. A nova legislação é válida para todas as empresas, independentemente do porte ou nível de maturidade do negócio, inclusive escritórios de contabilidade.
A IOB, uma marca da ao³, criou um checklist para ajudar quem ainda não se adequou, confira os doze passos:
1 - Diagnóstico: faça uma análise profunda de todos os processos organizacionais e principalmente, entenda quais informações são coletadas e como elas são coletadas. Também mapeie quais são os fluxos de compartilhamento de dados, utilidade e o prazo que eles ficarão armazenados nos ambientes físico ou digital;
2 - DPO: nomeie o encarregado de proteção de dados, ele é obrigatório para todas as empresas. A lei não exige que o DPO tenha uma qualificação específica, mas é muito importante contar com alguém que entenda sobre o assunto. O ideal é que esse profissional tenha conhecimentos multidisciplinares como: tecnologia, jurídico e gestão de processos. Afinal, as coordenadas e ações tomadas por ele impactam diretamente no negócio;
3 - Atividades de tratamento: entenda os processos que envolvem a coleta de dados. Identifique, de acordo com as bases legais, quais tipos de papéis/dados são arquivados na empresa, qual é a finalidade de cada um e a sua temporalidade;
4 - Definição do controlador e operador: os dois papéis dividem as responsabilidades pelo controle e qualidade dos dados, sendo que o controlador determina o que deve ser feito e o operador executa o tratamento em nome do controlador, logo é essencial organizar quem assumirá cada papel;
5 - Avaliação de riscos: considere possíveis os riscos e falhas, como por exemplo, vazamentos, coleta indevida de dados, acesso de profissionais não autorizados a informações sigilosas, entre outros para construir um plano de gerenciamento de riscos;
6 - Programa de governança interna: desenvolva um plano de ação no qual esteja previsto termos de uso, controles técnicos e administrativos, análise de risco e um time multidisciplinar de profissionais;
7 - Bases legais para atividade de tratamento de dados: defina quais as finalidades determinadas pela LGPD serão utilizadas para as atividades de coleta e tratamento de dados. A lei diz que a empresa deve se enquadrar em uma ou mais das 10 bases legais, que não precisam ter relação entre si. São elas: consentimento do titular; legítimo interesse; cumprimento de obrigação legal ou regulatória; tratamento pela administração pública; realização de estudos e de pesquisa; execução ou preparação contratual; exercício regular de direitos; proteção da vida e da incolumidade física; tutela de saúde do titular; proteção de crédito.
8 - Medidas técnicas e administrativas para segurança de dados: Estruture medidas apropriadas de segurança, técnicas e administrativas junto as equipes de tecnologia da informação para garantir a proteção e privacidade dos dados e dos ambientes físicos e lógicos.
9 - Gestão de terceiros: assegure que todos os prestadores de serviço e fornecedores também estejam em adequação com a LGPD, se necessário, reveja contrato e processos;
10 - Transferência internacional de dados: caso tenha movimentação de dados com os outros países que também tenham regulamentações de proteção de dados, gerencie esse compartilhamento;
11 - Gestão direitos dos titulares: tenha mecanismos para coordenar os direitos dos titulares dos dados pessoais e conseguir responder a todas as solicitações. A lei prevê, entre outras coisas, que a pessoa física acesse a relação de quem acessou suas informações;
12 - Treinamento de colaboradores e programa conscientização: treine os colaboradores para que eles estejam conscientes sobre a importância da lei e a responsabilidade de cada um. Além disso, cultive uma política de aprendizado constante sobre o tema.
Vale lembrar que estar em conformidade agrega outros benefícios como o aumento da credibilidade entre clientes e parceiros comerciais e a melhoria da reputação no mercado. Além disso, especialmente para os contadores que lidam com um alto volume de informações de outras empresas, estar em compliance com a LGPD é também um diferencial competitivo para o escritório.
“Considerando que, ao contrário de um projeto, que tem início, meio e fim, um programa de privacidade estabelece uma metodologia abrangente, que influenciará permanentemente as tomadas de decisão do negócio”, afirma Clayton Lourenço, Gerente de Proteção de Dados Pessoais e DPO da ao³.