Gestão de Crise
Você escolhe se vai sair mais forte — ou não — da crise
10/03/2021
Governança
Governança empresarial é primordial para operações de Fusão e Aquisição
05/04/2021
Exibir tudo

LGPD e o impacto para as organizações: sanções começam em agosto

LGPD e impactos para organizações

A sua empresa está adequada para a Lei Geral de Proteção de Dados (LGPD)? Se a resposta para essa pergunta for sim, parabéns, saiba que você faz parte de um seleto grupo; se não, é hora de acelerar o processo.

 

Isso porque as multas e sanções começam a valer em agosto de 2021, ou seja, em menos de cinco meses. A boa notícia é que ainda dá tempo de se adequar.

 

A LGPD foi criada recentemente para estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais pelas empresas — seja de colaboradores, de clientes, fornecedores, etc.

Ela tem como objetivo gerar segurança e é obrigatória para todas as empresas que usam dados de usuários brasileiros. Depois de adiamentos, entrou em vigor em 2020, mas as penalidades — que são bastante significativas — começam a valer em agosto de 2021.

 

Como grande parte das empresas ainda não está totalmente adaptada, convidamos o especialista Marco Aurelio Orosz, da Finocchio & Ustra Sociedade de Advogados (FIUS), para tirar as principais dúvidas quanto à gestão empresarial e em como a LGPD afeta as empresas.

LGPD

Especialista fala sobre a LGPD

Orosz, que é head da área de Compliance e responsável pela estruturação de processos envolvendo a implementação das diretrizes estabelecidas pela LGPD no FIUS, fala dos desafios, de como criar uma cultura organizacional de segurança de dados e ainda dá um passo a passo sobre como as empresas brasileiras podem se preparar agora mesmo para a LGPD. Confira a entrevista!

 

PKT – Qual a importância da LGDP para as empresas?

Marco Aurelio Orosz – A LGPD institui uma nova forma de se pensar no ambiente privado. Antes, a iniciativa privada poderia fazer tudo que a lei não proibia, ao contrário da esfera pública, que só está autorizada a fazer o que a lei permite. Agora, com a LGPD, quando falarmos em proteção de dados, empresas terão que fazer apenas o que a lei autoriza, alinhando as hipóteses de tratamento de dados com os princípios que devem ser observados. Logo, é de sua importância a observância da LGPD, pois diariamente as empresas tratam dados pessoais — seja de seus colaboradores, seja de terceiros como clientes, prestadores de serviço, fornecedores, dentre outros.

 

PKT – Na sua percepção, como tem sido a preparação das empresas brasileiras no sentido de atender a LGPD?

Marco Aurelio Orosz – Vejo que as empresas têm se adequado à medida das suas possibilidades. A adequação à LGPD é um processo razoavelmente complexo, um projeto que demanda tempo, pessoas, algum investimento e, sobretudo, uma mudança de cultura organizacional. Assim, algumas empresas estão mais avançadas, outras menos, e algumas sequer se iniciaram no tema. A maioria, a meu ver, está em fase de adequação ainda.

 

PKT – Você acredita que há impactos diferentes para maiores ou menores negócios? Para empresas familiares ou não?

Marco Aurelio Orosz – Noto que os impactos acompanham o nível de governança da empresa, e não propriamente o tamanho do negócio ou o fato de ser uma empresa familiar ou não. Tenho tido a oportunidade de trabalhar e notar exemplos nos mais variados formatos, e quem já cultivava uma cultura de controles e de compliance tem mais facilidade em implementar a adequação à LGPD.

 

PKT – Empresas internacionais também precisam se adequar no nosso país/nossa região?

Marco Aurelio Orosz – Existem algumas condições e excludentes na lei, mas se a operação de tratamento for realizada no território nacional, se tiver por objetivo a oferta ou o fornecimento de bens ou serviços, se o tratamento de dados de indivíduos for localizado no território nacional ou, ainda, se os dados pessoais objeto do tratamento forem coletados no território nacional, a lei será aplicável. Assim, internacional ou nacional, a empresa terá que se adequar. Aliás, consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.

 

PKT – Quais são os principais desafios para as organizações se adequarem?

Marco Aurelio Orosz – Depois de obter o apoio da alta liderança sobre o tema (providência indispensável para que qualquer projeto tenha sucesso na empresa), a adequação de processos e procedimentos internos tem se demonstrado desafiador. Daí a recomendação de se criar uma política específica para o tratamento de dados pessoais e de se aplicar treinamentos à equipe interna, para que os cuidados com os dados pessoais sejam incorporados no dia a dia de maneira natural e fluida.

 

PKT – Qual a importância de criar uma cultura de segurança com os times que manuseiam dados nas empresas?

Marco Aurelio Orosz – Costumo apontar que a mudança de cultura e criação/revisão de processos internos auxiliam sobremaneira na adequação à LGPD. E quando falamos em cultura, não basta ensinar a fazer, mas é importante esclarecer a razão da mudança e convencer a equipe de que o assunto merece tratamento diferenciado. E o fato de a proteção de dados não ser um tema restrito ao ambiente corporativo, mas também aplicável às nossas vidas de forma geral, ajuda neste ponto. Nós mesmos devemos mudar nossa postura de não questionar quando nos pedem uma série de dados pessoais no mercado, na farmácia, na internet… São informações relevantes que podem ser utilizadas de maneira a nos prejudicar.

 

Assim, se a equipe trouxer para o dia a dia de suas atividades no escritório o zelo e o senso questionador que aplica em relação aos seus dados pessoais, já teremos um bom caminho em relação à criação ou evolução de uma cultura de proteção de dados na organização.

 

PKT – E de terceiros e parceiros de negócios?

Marco Aurelio Orosz – Muito importante. De nada adianta toda a dedicação de sua empresa em relação ao tema se o terceiro ou parceiro de negócio não seguir a mesma trilha. Imagine para quantas outras empresas você compartilha dados de seus colaboradores e clientes. E se eles falharem na proteção desses dados? Daí a importância de se incluir no projeto de adequação à lei uma etapa para se medir o nível de maturidade de prestadores de serviços e parceiros de negócio em relação à proteção de dados. Se não acompanharem a evolução e o nível de comprometimento de sua empresa, melhor avaliar uma mudança.

 

PKT – Qual é o passo a passo para que a empresa esteja em conformidade com a LGPD? Qual a importância de contar com uma consultoria nesse processo?

Marco Aurelio Orosz – O primeiro passo é entender bem os princípios, conceitos e aplicabilidade da lei ao seu negócio. Nesse momento, uma consultoria pode ser um investimento a se considerar, pois é importante avaliar também eventuais decisões judiciais sobre o tema e o que doutrinadores e mercado vêm considerando. Há alguns questionamentos iniciais que podem ajudar:

1) na operação de sua empresa, o tratamento de dados pessoais faz parte do objeto de atuação ou é uma atividade secundária?

2) como o cliente trata com pessoas físicas e jurídicas (B2C ou B2B)?

3) com quem compartilha dados pessoais?

4) transfere dados para outros países?

 

Se o tratamento de dados for o core de seu negócio, tem que ter atenção redobrada. Se for residual e se sua empresa atende em sua maioria pessoas jurídicas, a preocupação será mais para o público interno de colaboradores. De toda forma, muito já se escreveu e foi publicado sobre a LGPD, de modo que a consulta a sites de órgãos públicos — como o Procon e a Autoridade Nacional de Proteção de Dados (ANPD) — pode ajudar nessa etapa.

 

O segundo passo é criar um comitê interno de proteção de dados que vai pensar sobre o tema e pautar as atividades visando a adequação de rotinas e processos internos. Recomenda-se que neste comitê participem representantes do RH/DP, Comercial, Marketing, Qualidade, Facilities, TI e Jurídico. E a figura de um líder, que seja responsável por capitanear o projeto, é indispensável.

 

Terceira providência: mapeie os fluxos de dados pessoais na sua operação. Saiba em que momento o dado é coletado, a razão da coleta, com quem é compartilhado interna e externamente, e avalie se sua operação atual está em conformidade com a lei, sobretudo com os princípios da finalidade, necessidade, transparência, adequação e não discriminação. Faça os ajustes necessários para atender a lei. Aliás, esse é um bom momento para rever processos e trazer uma visão mais questionadora ao tema: por que coleto esse dado? Quem tem acesso a ele? Deixo claro ao titular o que faço com o dado que ele me fornece?

 

Ciente da lei, com um grupo dedicado e mapeados os gaps, o líder do comitê (ou do projeto) poderá estabelecer um plano de ação, pontuando as recomendações para adequação, prazos e responsáveis.

 

Em paralelo, avalie se os contratos firmados com quem compartilha dados estão adequados às previsões da lei. Se necessário, faça a adequação. E, caso não tenha um, providencie. Nesse momento, a atuação de uma consultoria pode ser indispensável, inclusive para rever documentos internos, como o contrato de trabalho.

O quarto passo é desenvolver uma política de proteção de dados. Tenha uma norma interna clara, objetiva e exemplificada, para que seus colaboradores não tenham dúvidas sobre como agir em relação a dados pessoais. Novamente, neste ponto, a consultoria pode ser útil.

 

Por fim, treine sua equipe. Privilegie inicialmente aqueles que tratam diretamente dados pessoais, mas leve o conhecimento a todos, esclarecendo qual a conduta correta e o que se espera deles.

 

PKT – Como funciona a consultoria?

Marco Aurelio Orosz – Podemos dizer que existem duas formas de consultoria mais comuns no mercado atualmente: aquela que vai conduzir ponta a ponta o processo de adequação das rotinas da empresa à LGPD, puxando o assunto, estabelecendo cronogramas e entregáveis; e a assessoria em proteção dados, que de forma mais passiva vai recomendar e orientar a partir de dúvidas que a equipe interna da empresa tenha no decorrer do processo de adequação.

 

No caminhar dessas providências, viabilize uma forma fácil para que o titular de dados – público externo ou interno – entre em contato com a empresa para que possa exercer seus direitos. Com todas as ações que citei, certamente a empresa estará no caminho da adequação à LGPD.

 

Como podem ver, todas as empresas precisam se adequar à LGPD e começar a colocar as novas regras em prática. Ter uma gestão profissional e transparente é um diferencial.

 

Descubra como a PKT Desenvolvimento Empresarial pode auxiliar sua empresa a estar mais preparada para essa e outras mudanças legislativas e, assim, conseguir traçar novas culturas organizacionais e um novo perfil de gestão empresarial.