Práticas de compliance e a LGPD

O ano de 2018 foi marcado pela promulgação da Lei 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados – LGPD, que visa proteger a privacidade dos dados pessoais de toda a população e que entrará em vigor em Agosto de 2020.

A promulgação desta lei é um marco importantíssimo para o nosso país, pois hoje temos uma das leis mais completas e rígidas sobre tratamento de dados pessoais.

A necessidade desta lei surgiu devidos aos inúmeros escândalos de vazamentos de dados que atingiram milhares de usuários que se cadastram diariamente em sites e programas, fornecendo dados pessoais sem saber qual uso será feito com as suas informações.

Sendo assim, não restam dúvidas de que a LGPD irá impactar diretamente a forma como as empresas captam e utilizam os dados de seus usuários, restringindo a coleta de dados pessoais apenas aos fins necessários à que se propõe, inclusive, especialistas dizem que LGPD terá o mesmo impacto do Código de Defesa do Consumidor – CDC.

Com mudanças tão drásticas, o mundo jurídico se prepara para atuar na implantação e adequação da lei em empresas dos mais diversos setores, criando novos segmentos de atuação para Advogados especialistas em proteção de dados e aumentando drasticamente a importância de práticas de compliance.

Práticas de Compliance.

Compliance é um conjunto de normas e regulamentos adaptados às especificidades do negócio.

Essas regras são estabelecidas para a prevenção de crimes e desvios de condutas dentro das empresas e possui um papel fundamental nesta trajetória, pois para adequar corretamente todos os setores da empresa a LGPD será necessário construir um bom plano de Governança Corporativa e de Governança de TI, realinhando completamente o método de trabalho e realizando treinamentos de toda a equipe para garantir a segurança e o correto tratamento de todas as informações.

Pilares do Compliance.

Para que possamos entender melhor sobre as práticas de compliance, precisamos saber quais são os pilares que norteiam a sua construção, abaixo listamos os 5 mais essenciais, vejamos:

1 – Tone from the top:

Significa “o exemplo vem de cima”. Portanto, a alta hierarquia da empresa deve ser o primeiro grupo a ter conhecimento das novas práticas para inspirar os demais.

2 – Due Diligence:

A empresa deve conhecer os seus colaboradores, monitorando para garantir que a sua atuação está em conformidade com as regras e objetivos da empresa.

3 – Risk Access ou Avaliação dos Riscos:

A fim de evitar problemas futuros, periodicamente a empresa deve realizar uma avaliação de riscos, no caso da LGPD, essa avaliação poderá garantir que os dados com que estão trabalhando são realmente necessários e que estão sendo corretamente tratados para evitar vazamentos ou uma utilização inadequada.

4 – Controles internos:

Assim que forem identificados os riscos, serão necessários controles internos para monitorar e evitar os incidentes.

5 – Treinamento:

De nada adianta um ótimo plano de compliance e governança se não houver um adequado treinamento de todos os colaboradores da empresa para garantir a efetividade do projeto.

Privacy by design – PbD

Privacy by design é uma metodologia onde deve-se considerar a proteção de dados e a privacidade em primeiro lugar na hora de estruturar um programa de compliance com foco em proteção de dados, devendo toda a arquitetura da empresa sem pensada de forma que garanta a inviolabilidade de qualquer informação que esteja sob a sua responsabilidade.

Os sete princípios básico do Privacy by design – PBD são:

1 – Ser proativo e não reativo:

A empresa deve ser capaz de antecipar-se aos riscos, buscando soluções de prevenção antes que eles ocorram.

2 – Privacidade como configuração padrão:

Também conhecido como Privacy by Default, significa que as configurações devem vir por padrão garantindo a máxima privacidade.

3 – Privacidade incorporada ao projeto:

A proteção de dados deve estar incorporada ao projeto de TI desde o momento do desenvolvimento.

4 – Funcionalidade total: 

Garantia de que a proteção de dados pessoais esteja alinhada com os interesses e objetivos legítimos de quem é responsável pelo tratamento dessas informações, sem abrir mão da segurança para obter mais dados.

5 – Visibilidade e transparência: 

Este é um princípio abrangente e bastante desafiador, pois visa conceder visibilidade ao titular do dado quanto à finalidade da coleta e deixar claro com quem estão sendo compartilhados esses dados e o porquê.

Além disso, deve estar disponível para realização de auditorias com o objetivo de assegurar que as informações pessoais estejam sendo protegidas de forma adequada.

6 – Segurança de ponta a ponta:

A proteção aos dados pessoais deve ser contemplada ao longo de todo o ciclo de vida, ou seja, da coleta até o descarte das informações, passando pelo transporte, processamento e armazenamento.

7 – Respeito pela privacidade do usuário: 

O Privacy by Design exige que as empresas prezem ao máximo pelos interesses do usuário, implantando medidas apropriadas para fácil compreensão, autorização e revogação das suas informações.

União Europeia e a sua GDPR.

Apesar de ser recente e de ainda estarem se adequando a nova legislação, a União Europeia tem muito a nos ensinar, afinal, a nossa LGPD nasceu da GDPR, sendo a nossa lei praticamente uma cópia da europeia, só que mais adequada a nossa realidade nacional (ou não).

E desde a sua promulgação, de tempos em tempos podemos ver notícias de grandes empresas de tecnologia sendo multadas por descumprirem a legislação. Um exemplo é o Google, que em 2019 recebeu uma multa no valor de 50 milhões de Euros por violar a GDPR por não dar transparência e consentimento explícito para uso de dados de seus usuários.

Assim, o Advogado brasileiro que desejar atuar nesta seara, poderá estudar os casos concretos que estão ocorrendo na Europa, para que possam ter maior conhecimento da LGPD/GDPR nas empresas.

Inclusive, a GDPR é tão rígida que determina que Empresas Europeias somente poderão compartilhar dados com empresas de outros países que possuam uma legislação de dados tão rígida quanto a deles, e o Brasil, após a criação no final de 2018 da AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS cumpre esse requisito.

Portanto, a LGPD é antes de mais nada é uma lei de abrangência internacional e o empresário que desejar ter negócios de âmbito internacional deverá buscar por uma assessoria jurídica especializada para total adequação a lei.

Alan Vital

Alan Vital é Advogado e Programador Front End, Pós graduando em Direito Digital e Compliance, especialista em Marketing Jurídico e Gestão de Escritórios Digitais, além de membro da Comissão de Direito Digital do Estado de Santa Catarina - OAB/SC, Membro da Comissão da Jovem Advocacia do Estado do Rio Grande do Norte - OAB/RN, Diretor da ADVBOX e proprietário e criador do Aplicativo AvaliaJus.

Este post tem 8 comentários

Deixe um comentário