LGPD e compliance: principais desafios e como vencê-los

Last Updated on

O compliance é uma das áreas que mais serão afetadas com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados). A nova lei (Lei nº 13.709/18), sancionada em agosto de 2018, se inspira na legislação europeia sobre o tema e detalha como as empresas devem colher, tratar, armazenar e usar dados de clientes, funcionários, visitantes dos sites e redes sociais.

O objetivo é proteger a privacidade dos titulares dos dados e impedir que as empresas abusem da informação, utilizando-a sem o consentimento do titular ou tornando públicos dados sensíveis.

Como o compliance é a área da organização responsável por garantir que a empresa atue de acordo com a lei e com as melhores práticas, será ele também o “guardião” da LGPD.

Neste artigo, vamos esclarecer as principais dúvidas que surgem em relação aos desafios que envolvem LGPD e compliance e como resolvê-los. Acompanhe!

O que diz a LGPD?

Como explicado, o principal objetivo da Lei Geral de Proteção de Dados é proteger os dados pessoais dos brasileiros. Além disso, tem aplicação extraterritorial, ou seja, vale para todas as empresas que tenham dados de brasileiros em seus cadastros, mesmo que não estejam sediadas no Brasil.

A LGPD parte do princípio de que cada pessoa é dona dos seus dados e deve ter livre acesso às próprias informações que forem coletadas ou tratadas por empresas. Assim, foram introduzidos 10 princípios da proteção de dados, entre eles:

  • os titulares têm amplos direitos sobre seus dados, incluindo informação, retificação, cancelamento, oposição e portabilidade;
  • o consentimento do titular é uma das 10 possibilidades que legitimam o tratamento de dados pessoais;
  • a criação de regras específicas para tratar dados sensíveis, transferência internacional de dados e uso de dados de crianças e adolescentes;
  • a obrigação de notificar incidentes envolvendo dados;
  • a necessidade de realizar assessment de impacto à proteção de dados;
  • o tratamento de dados deve ser mapeado, e as atividades que envolvam dados precisam ser registradas em cartório.

Assim, uma empresa não pode, por exemplo, ceder ou vender os dados que coletou para outra empresa que queira divulgar produtos ou serviços de telemarketing. Mais do que isso, a própria empresa que coletou os dados não pode usá-los para outra finalidade do que aquela que foi combinada com o titular dos dados e para a qual ele deu o seu consentimento.

Conheça mais sobre a Lei Geral de Proteção de Dados no Brasil.

Como isso se relaciona com o compliance?

A LGPD também cria a figura do Data Protection Officer (DPO) ou, em português, o Encarregado de Proteção de Dados, que será responsável pela comunicação entre a empresa, os titulares dos dados e a ANPD (Agência Nacional de Proteção de Dados).

O DPO é um profissional com conhecimento em compliance, risco e governança. Não é uma área exclusiva de uma formação única e devemos, assim como na Europa, ter DPOs com as seguintes profissões/formações:

  1. advocacia
  2. tecnologia da informação
  3. auditoria
  4. contabilidade
  5. engenharias
  6. controladoria
  7. adminstração

Obviamente, outros profissionais podem buscar qualificação em Compliance e LGPD e ingressarem na carreira de DPO ou de Compliance Officer.

A criação dessa agência estava prevista na lei como um órgão da administração pública responsável por zelar, implementar a fiscalizar o cumprimento da lei por parte das empresas.

A ANPD deve orientar as organizações quanto às novas situações trazidas pela lei e aplicar sanções em caso de descumprimento.

O DPO deverá disseminar a cultura de proteção de dados na empresa e criar normas e procedimentos adequados à lei. Sua atuação está detalhada no artigo 41 da LGPD, que explica que ele deverá:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Como superar os desafios impostos pela nova lei?

As consequências da LGPD abrangem diversas áreas do direito, como a empresarial, a trabalhista e a fiscal. Assim, o DPO, que tem uma atuação de compliance officer, precisará trabalhar de maneira integrada com as áreas de tecnologia e de negócios para superar os desafios impostos pela lei.

Além disso, esse profissional precisará conduzir uma mudança de cultura na empresa, ajudando a conscientizar todos sobre as determinações da lei e o ônus que seu descumprimento pode trazer para a organização. Lembre-se de que, mais importante do que ter as ferramentas de controle, é criar a cultura de proteção de dados e fazer bom uso da tecnologia disponível para isso.

Agora você já sabe qual a relação entre LGPD e compliance e como lidar com os desafios que ela coloca. Vale destacar que a lei especifica penalidades em caso de descumprimento, que vão de publicizar a infração, o que traz danos à imagem da companhia, a multas que podem chegar a R$ 50 milhões por infração, além de ter as atividades relativas ao tratamento de dados temporariamente suspensas ou proibidas.

Conheça mais sobre Compliance.

Ainda tem dúvidas sobre a nova lei? Participe da palestra sobre a Lei Geral da Proteção de Dados para Empresas.