LGPD: passo-a-passo para implementar o compliance

LGPD (Lei Geral de Proteção de Dados) é a legislação brasileira que implementa um sistema de proteção de dados pessoais, virtuais ou não, e oferece, assim, bases legais para a legitimação do tratamento desses dados, em observância aos direitos dos seus titulares.

  • Instituto de Estudos Avançados em Direito
  • 03 de fevereiro de 2020
  • ATUALIZADO EM: 03 de fevereiro de 2020
  • TEMPO DE LEITURA: 9 minuto(s)
  • 0 Comentários. COMENTE!

10 passos para fazer o compliance e seguir as diretrizes da LGPD

A Lei Geral de Proteção de Dados – LGPD se aplica a todos aqueles que realizam operações de tratamento de dados pessoais, sejam organizações públicas ou privadas, pessoas físicas ou jurídicas. E visa, desse modo, a proteção da privacidade do titular dos dados, a liberdade de expressão, de informação, de opinião e de comunicação, a inviolabilidade da intimidade, da honra e da imagem e o desenvolvimento econômico e tecnológico.

Para que haja a devida aplicação da LGPD, contudo, os seguintes elementos são indispensáveis: que a coleta ou o tratamento dos dados tenham ocorrido em território nacional, que oferte ou forneça bens, serviços, tratamento de dados de indivíduos localizados no território nacional e que os dados tenham sido coletados em território nacional.

O texto da Lei 13.709/18 estabelece, enfim, bases legais para legitimação do tratamento de dados pessoais. E garante, dessa maneira, direitos aos titulares dos dados como: acesso, correção, eliminação, portabilidade, revogação do consentimento e, até mesmo, indenização no caso de danos ao consumidor.

1. Conceitos da LGPD

Alguns conceitos trazidos pela lei são fundamentais para que possamos compreender a sua aplicabilidade. Vejamos, portanto:

1. 2. Sujeitos

  • Titular – pessoa a quem se referem, então, os dados que são objeto de tratamento.
  • Agentes de tratamento – são dois os agentes: o responsável, também denominado controlador, que recepciona e decide sobre o tratamento dos dados dos titulares, e o operador que realiza o tratamento dos dados.
  • Agente de Proteção de Dados – pessoa natural, indicada pelo controlador, que atuará, dessa forma, como um canal entre agentes (controlador e operador), titulares e os órgãos competentes (autoridade nacional).

1. 3. Dados

  • Dados Pessoais – A informação relacionada a uma pessoa identificada ou identificável, não se limitando, portanto, ao nome, sobrenome, apelido, idade, endereço, podendo incluir dados de localização, placas de veículos, perfis de compras, dados acadêmicos, históricos de compras, entre outros.
  • Dados Pessoais Sensíveis – Aqueles relacionados a características da personalidade do indivíduo e suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes a saúde ou a vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
  • Dados anonimizados – Dados relativos a um titular que não possa ser identificado, considerando, contudo, a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu tratamento.

1. 4. Ações

  • Tratamento dos dados – Operações realizadas com algum tipo de manuseio de dados pessoais: coleta, edição, classificação, utilização e etc.
  • Anonimização – A utilização de meios técnicos e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
  • Consentimento – A manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Esse não é o único motivo que autoriza o tratamento de dados, mas apenas uma das hipóteses.
  • Transferência internacional de dados – Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.  
LGPD

2. Quando a lei é aplicada?

É importante, portanto, que tenhamos ciência dos conceitos provenientes da LGPD, haja vista a ampla mudança no cenário nacional que pode acarretar numerosos prejuízos.

Por outro lado, a lei não se aplica quando o tratamento dos dados é realizado por uma pessoa física, seja para fins exclusivamente particulares e não econômicos, bem como para fins exclusivamente jornalísticos e, ainda, com finalidade artística, além dos tratamentos realizados para fins de segurança pública e defesa nacional.



3. Princípios norteadores da LGPD

A Lei 13.709/18 estabelece que o tratamento dos dados pessoais deve observar a boa-fé e os seguintes princípios, dessa maneira:

  • Finalidade do tratamento;
  • Compatibilidade do tratamento com as finalidades informadas ao titular;
  • Limitação do tratamento ao mínimo necessário para a realização de suas finalidades;
  • Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma de tratamento;
  • Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e par ao cumprimento da finalidade de seu tratamento;
  • Transparência aos titulares;
  • Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais;
  • Prestação de contas, pelo agente, da adoção de medidas capazes de comprovar a proteção de dados pessoais.

Além disso, há alguns pontos de atenção fundamentais que devem ser observados para a aplicação dos princípios da LGPD. A linha mestra para o tratamento de dados pessoais, por exemplo, é o consentimento pelo titular e a informação de que tal tratamento está vinculado às finalidades apresentadas, conforme o caso.

4. Exceções ao consentimento expresso

Pode haver, entretanto, situações de exceção em que o tratamento de dados pessoais ocorre sem necessidade de consentimento expresso, com finalidade específica declarada pelo titular, quais sejam:

  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Quando necessário à execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • Para a proteção da vida do titular ou de terceiro;
  • Quando necessário para atender aos interesses legítimos do controlador ou terceiros;
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

5. Impactos da LGPD no ordenamento jurídico

Os impactos da LGPD são novos em nosso ordenamento jurídico, sendo assim, em resumo, passaram a ser direitos dos titulares e as instituições, por sua vez, devem estar preparadas para atender, dentro de um prazo razoável, as exigências da nova lei brasileira. Vejamos, por exemplo, alguns pontos que merecem atenção especial das organizações:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
  • Portabilidade dos dados pessoais tratados com o consentimento do titular;
  • Informação sobre a possibilidade de não fornecer consentimento e consequência da negativa;
  • Revogação do consentimento.

6. Compliance como responsável pela adequação das organizações à LGPD

Praticamente todas as áreas de uma empresa têm contato com informações pessoais alheias. Dessa forma, não parece ser tarefa fácil reorganizar a instituição para o tratamento dos dados que já possui e, também, para receber novos dados pessoais e tratá-los da maneira que a LGPD exige.

Responsável por assegurar a conformidade legal dentro das organizações, o setor de Compliance (funcionário, equipe interna ou, mesmo, consultoria externa), então, carrega a desafiadora missão de adequar a empresa à LGPD e, após a entrada em vigor da nova lei, acompanhar o desempenho da organização efetuando os ajustes necessários.

Vale ressaltar, portanto, que a LGPD exigirá das empresas um aumento significativo no nível de maturidade dos Programas de Compliance no que diz respeito à privacidade e segurança de dados. Assim, o setor de conformidade passará a contar com profissionais encarregados de desempenhar a função de “agente de proteção de dados”, conforme estabelece a nova lei.

A LGPD trouxe consigo o dever de segurança, ética e responsabilidade quando se trata de dados pessoais. O intuito é que as regras e princípios de proteção de dados sejam incorporados pela instituição, passando a integrar sua missão e seus valores, assim como ocorreu com as políticas anticorrupção após a edição da Lei 12.846/13.

A recomendação é a de que, a partir da publicação da LGPD, ainda que em vacatio legis, todo projeto a ser iniciado deve partir das novas premissas de segurança de dados e aqueles em andamento devem ser adaptados para atender aos mesmos princípios, vale dizer, todos os projetos devem atender à nova realidade regulatória.

7. Passos do compliance

Diante de tudo o que foi abordado, enfim, elencamos passos importantes a serem providenciados pelo setor de Compliance na aplicação das diretrizes que regem a LGPD:

7. 1. Definição de um Agente de Proteção de Dados

A nomeação de um encarregado interno, que atuará como Agente de Proteção de Dados, é essencial para que se promova, assim, a comunicação entre os titulares dos dados pessoais, a própria organização e a futura autoridade nacional responsável pela regulação e fiscalização das novas regras trazidas pela LGPD. Portanto, este é o primeiro passo para a implementação do compliance e adequação à LGPD.

7. 2. Diagnóstico da empresa

O segundo passo é um diagnóstico sobre a realidade da empresa no tocante aos indicadores de conformidade com a LGPD, porque isto revelará o que resta ser trabalhado para atender aos controles exigidos.

7. 3. Matriz de risco

Em seguida, é o momento de elaboração da matriz de risco (com base no diagnóstico feito) e do plano de ação. Neste plano, então, devem ser inseridos os controles técnicos, documentais e procedimentais, além da previsão de treinamentos e campanhas de conscientização das equipes, dos parceiros, fornecedores e clientes.

7. 4. Mapeamento do fluxo de dados

Depois de elaborar a matriz risco, o ideal é fazer, portanto, um mapeamento do fluxo de dados para definição da nova governança junto à área de tecnologia da informação, especialmente no que se refere aos controles de consentimento. Trata-se do caminho a ser percorrido internamente: coleta do dado, seu uso, compartilhamento, enriquecimento, armazenamento nacional ou internacional, com ou sem uso de nuvem, eliminação e, também, portabilidade dos dados.

7. 5. Código de Conduta

Posteriormente, vem a elaboração ou atualização do Código de Conduta da empresa com vistas a disseminar a cultura de respeito à proteção de dados pessoais.

7. 6. Política de Privacidade e Gestão de Dados Pessoais

Feito o Código de Conduta, prossegue-se, enfim, com a elaboração ou atualização da Política de Privacidade e de Gestão de Dados Pessoais, considerando os vários procedimentos trazidos pela nova lei sobre fluxo, padrão de criptografia, guarda de logs e etc. Tais documentos, contudo, devem ser assinados por todas as empresas do mesmo grupo econômico.

7. 7. Check list de verificação

O passo seguinte, desse modo, é a elaboração de um check list capaz de verificar, previamente a qualquer contratação, se a outra parte também está em conformidade com as novas regras de proteção de dados pessoais.

7. 8. Atualização de cláusulas em contratos com parceiros

Posteriormente, é aconselhado fazer a atualização das cláusulas de contratos com parceiros e fornecedores que realizam qualquer tipo de tratamento de dados. Atenção especial deverá ser voltada, dessa forma, àqueles parceiros que fornecem soluções de gestão de informação, nuvem, e-mail, marketing, big data, mídias sociais, dentre outros – todos os atos em parceria que envolvam coleta de dados, produção, recepção, classificação, acesso, utilização, transmissão, armazenamento, enriquecimento ou, mesmo, eliminação de dados.

7. 9. Revisão e atualização de cláusulas em contratos com consumidores finais

A atualização das cláusulas, então, deve ser sucedida de uma revisão e atualização das cláusulas de contratos firmados com seus funcionários e consumidores finais, incluindo-se, aqui, os termos de confidencialidade, também denominados NDA (non disclosure agreement).

7. 10. Termos de Uso e Política de Privacidade

Por fim, é o momento da elaboração ou revisão dos Termos de Uso e da Política de Privacidade disponibilizada ao consumidor final, expondo com clareza sobre o tratamento dos dados, a finalidade do seu uso, a justificativa jurídica para tanto, além de novos direitos dos usuários como portabilidade, exclusão, minimização de uso, limitação e outros.

8. Por que implementar o compliance e se adequar à LGPD?

A LGPD estabeleceu penalidades importantes para o descumprimento de suas determinações, que vão, então, desde a advertência até a imposição de multa no valor máximo de R$50.000.000,00 (cinquenta milhões de reais) por infração, observando-se especialmente o requisito da proporcionalidade.

Um programa de Compliance que traga consigo mecanismos de gestão de dados, em consonância com o que estabelece a LGPD, além de evitar a ocorrência de eventos danosos, portanto, está entre os elementos atenuantes na dosimetria da punição a ser aplicada pela autoridade fiscalizadora em caso de infração.

Além da gravidade da infração, do grau do dano causado, dentre outros pontos, também será verificado se houve a adoção de mecanismos e procedimentos internos para mitigar os danos, a existência de políticas de boas práticas e governança e, ainda, se medidas corretivas foram prontamente adotadas. Trata-se de ferramentas instituídas pelos Programas de Compliance e condutas disseminadas no mesmo contexto.

Assim como o Compliance é adotado em outras esferas da cultura organizacional, notadamente no tocante à Lei Anticorrupção, legislação trabalhista e tributária, também é altamente recomendado como meio efetivo para implementação das diretrizes que regem a LGPD.

Referências bibliográficas:

  1. Pinheiro, Patrícia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD) / Patrícia Peck Pinheiro. – São Paulo: Saraiva Educação, 2018.
  2. Neves, Edmo Colnaghi. Compliance empresarial: o tom da liderança: estrutura e benefícios do programa / Edmo Colnaghi Neves. – São Paulo: Trevisan Editora, 2018.
  3. Veríssimo, Carla. Compliance: incentivo à adoção de medidas anticorrupção / Carla Veríssimo. – São Paulo: Saraiva, 2017.

Escrito por:

BRUNA TOLEDO PIZA MAGACHO, Advogada e consultora em Compliance. Especialista em Direito e Processo do Trabalho. Legal Law Masters, LLM em Direito Empresarial pela Fundação Getúlio Vargas (cursando). Profissional certificada em Compliance Anticorrupção pela LEC Board – Legal, Ethics and Compliance Certification Board. Especialista em Gestão de Pessoas e Compliance Trabalhista pela FGV-Law, São Paulo. Membro do Núcleo de Compliance do Instituto de Direitos Avançados em Direito – IEAD.

E-mail: bruna@almeidapiza.com.br

LinkedIn: Bruna Piza

LARISSA MENDES, Advogada e consultora em Compliance. Especialista em Gestão de Pessoas e Compliance Trabalhista pela FGV-Law, São Paulo. Especialista em Prática Trabalhista pela FUMEC – MG. Membro do Núcleo de Compliance do Instituto de Direitos Avançados em Direito – IEAD, Membro da Comissão de Direito do Trabalho da OAB/GO, Vice-Diretora da Comissão Advogada Mulher da AGATRA (Associação Goiana dos Advogados Trabalhistas), Membro do Instituto Goiano do Direito do Trabalho.

E-mail: larissa@almeidapiza.com.br

Instagram: @lari.mmendes

LinkedIn: Larissa Mendes

FLÁVIA FERNANDES DE ALMEIDA, Advogada Especialista em Direito Processual Civil pelo Instituto Brasiliense de Direito Público (IDP), Direito Empresarial e Consumidor pelo LFG, Pós-graduanda em Direito de Civil pelo EPD (Escola Paulista de Direito). Profissional certificada em Holding Familiar e Planejamento Sucessório pela Escola de Auditoria e Governança Corporativa Ltda. Membro do IBDFAM (Instituto Brasileiro de Direito de Família). Membro do Instituto de Direitos Avançados em Direito – IEAD, das comissões de Direito de Família e Empresarial da OAB/GO e do Instituto Goiano do Direito do Trabalho.

E-mail: flavia@almeidapiza.com.br

LinkedIn: Flávia Almeida

Página no Facebook: https://www.facebook.com/flaviaalmeida.adv/

Quer saber tudo sobre LGPD? Faça abaixo seu cadastro e receba os materiais exclusivos do SAJ ADV – Software Jurídico em seu e-mail.

Instituto de Estudos Avançados em Direito IEAD

O Instituto de Estudos Avançados em Direito – IEAD nasceu da necessidade de fomentar o estudo jurídico do país. Somos uma organização sem fins lucrativos que promove e incentiva a realização e desenvolvimento de estudos, cursos, palestras e congressos, debates, simpósios, produção científica, realização de pesquisas, revista especializada, publicação com selo editorial próprio, prestação de consultoria, constituição de um centro de documentação e atuação como amicus curiae. O IEAD é uma entidade técnico-científica, estruturado como associação privada, sem fins lucrativos nem filiação partidária, com ampla atuação nacional, com inclusões estaduais por meio de suas diretorias.

ARTIGOS RELACIONADOS

0 Comentários

Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site. Se achar algo que viole os termos de uso, denuncie.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *