Dados

A importância da fiscalização da Lei de Proteção de Dados Pessoais

Entenda a importância de ter um órgão ou pessoa que fiscalize se as empresas estão em conformidade com a lei

A nova Lei Geral de Proteção de Dados (LGPD) entra em vigor, oficialmente, em fevereiro de 2020 no Brasil. Durante esse tempo que foi estipulado para que as empresas e órgãos se adaptem, estaremos produzindo diversos conteúdos para auxiliar as organizações durante esse processo. Para não perder as novas atualizações e dicas sobre o tema, confira a página específica que criamos para a LGPD e cadastre-se para receber todos os conteúdos diretamente no seu e-mail!

Como vimos anteriormente, a nova lei de dados tem como principal objetivo garantir a segurança dos dados pessoais dos usuários online, e causará grandes impactos  nas empresas que trabalham com dados de consumidores, dos mais diversos segmentos. Para que as empresas comecem a se adaptar à nova regulamentação, portanto, é possível seguir alguns passos, como verificar os direitos dos usuários, quais dados já estão sendo utilizados e de que maneira, educar a sua equipe para que estejam cientes sobre as novas regras e criar ferramentas que garantam a privacidade dos usuários.

No entanto, além de todas essas mudanças, também é essencial que exista uma pessoa ou um órgão regulador responsável pela organização e que controle da nova lei nas empresas. Uma auditoria legal e técnica rigorosa é importante para garantir que todos irão seguir as leis sob pena de multas significativas, chegando a atingir até 2% da sua receita anual global.

Mas como funciona essa auditoria e quais responsabilidades serão atribuídas ao órgão, afinal? Como esse trabalho é realizado nas empresas que estão em conformidade com o GDPR, na União Europeia, que já está em vigor e já possui um cargo responsável por esse controle? Esse é o tema no nosso especial de hoje sobre a LGPD!

 

A lei na União Europeia e a importância da auditoria

O Regulamento Geral de Proteção de Dados da União Europeia, conhecido como GDPR, é o regulamento que garante a segurança dos dados de usuários da Europa, e inspirou a criação da Lei Geral de Proteção de Dados Pessoais no Brasil. Em vigor desde maio deste ano, o GDPR ressalta a importância do Data Protection Officer, ou Diretor de Proteção de Dados, pessoa responsável por garantir que as empresas estejam em conformidade com a lei.

No caso da lei europeia, a nomeação de um DPO é obrigatória caso: 1) o processamento for efetuado por uma autoridade pública, 2) as “atividades essenciais” de um controlador/processador de dados requererem o “monitoramento regular e sistemático de dados em grande escala”, ou 3) quando as atividades centrais da organização consistirem no processamento em grande escala de categorias especiais de dados, como dados sensíveis (que incluem informações pessoais sobre saúde, religião, raça ou orientação sexual) e/ou dados pessoais relacionados à condenações e delitos penais.

O DPO, de maneira resumida, reporta-se diretamente ao “nível mais alto de gerenciamento” da organização, e possui as seguintes tarefas:

  • Informar e aconselhar a organização e seus funcionários sobre suas obrigações de proteção de dados no âmbito da lei;
  • Monitorar a conformidade da organização com as políticas e procedimentos da lei e da proteção de dado interna. Isso incluirá o monitoramento da atribuição de responsabilidades, treinamento de conscientização e treinamento da equipe envolvida nas operações de processamento e auditorias relacionadas;
  • Aconselhar sobre a necessidade de uma avaliação do impacto da proteção de dados, como conduzir uma e os resultados esperados;
  • Servir como ponto de contato para a autoridade de supervisão em todos os problemas de proteção de dados, incluindo relatórios de violação dos mesmos;
  • Servir como ponto de contato dos titulares de dados em questões de privacidade, incluindo os pedidos de acesso dos titulares aos seus dados.

As pequenas e médias empresas não estão isentas do requisito de DPOs, caso alguma ou todas as situações obrigatórias se apliquem a elas. No entanto, a lei permite que as organizações escolham nomear um DPO internamente ou externamente. Ou seja, a pessoa escolhida pode ser um membro permanente da empresa ou agir sob um contrato de serviço. De qualquer maneira, ele deve receber os recursos necessários para cumprir suas tarefas e a empresa deve considerar o nível de suporte que o profissional pode precisar para desempenhá-las adequadamente.

Em linhas gerais, a presença de um DPO é essencial para que ele trabalhe exclusivamente para o cumprimento de todas as leis de proteção de dados relevantes, monitore processos específicos como avaliações, aumente a conscientização dos funcionários, treine-os adequadamente e colabore com as autoridades de supervisão, ajudando a empresa a estar de acordo com as leis. No entanto, apesar da sua função ser de monitoramento, a própria empresa continua responsável por cumprir as leis corretamente, envolvendo o responsável em todas as questões relacionadas à proteção de dados pessoais de forma adequada.

Além do DPO ajudar a empresa a cumprir com a legislação, ele ajuda a organizar todos os processos, todas as áreas, e tecnologias dentro da empresa. Ele vira o maior responsável por esse trabalho e faz com que essa nova cultura de dados comece a existir e a proliferar dentro da empresa. Por isso, mesmo que já exista a necessidade desse agente no mercado, é importante que a empresa considere tê-lo também internamente – já que ele vai ajudar a empresa a se adaptar mais rápido, garantir que os processos estejam sempre funcionando corretamente e evitando que exista a possibilidade de multas.

O cargo, apesar de ser parte obrigatória nas exigências do GDPR, não é obrigatório na nova lei brasileira. No entanto, ter uma pessoa responsável por todo esse trabalho e que garanta que a organização está dentro das exigências da lei pode ajudar a agilizar os processos e facilita o controle. Ou seja, em outras palavras, sua presença não é obrigatória, mas pode ser uma peça fundamental para que todos os processos da empresa estejam organizados corretamente.

 

Como está sendo tratado o tema na lei brasileira?

A LGPD foi sancionada no Brasil pelo presidente Michel Temer no dia 14 de agosto, durante cerimônia no Palácio do Planalto. Apesar de aprovada, foram vetados alguns pontos da lei, como o da criação da Autoridade Nacional de Proteção de Dados (ANPD), agência reguladora que teria como função verificar os cumprimentos da lei pelas empresas e seria vinculada ao Ministério da Justiça, elaborando diretrizes para uma Política Nacional de Proteção de Dados Pessoais e Privacidade, fiscalizando e aplicando sanções em caso de uso de dados fora da legislação.

A agência, que teria a mesma importância e um papel semelhante ao de um DPO na lei da União Europeia, foi vetada pelo presidente com a justificativa de haver um “vício de iniciativa”. De acordo com Michel Temer, é necessário que órgãos reguladores sejam implantados por iniciativa do Poder Executivo, não do Congresso Nacional. Além disso, a criação da agência não veio acompanhada da previsão de impacto no orçamento.

No entanto, o presidente afirmou que pretende criar uma nova estrutura por meio de outro projeto ou por medida provisória, mas não há detalhes definidos. Para David Reck, CEO da Reamp, o impacto da nova lei no mercado será enorme, já que a legislação forçará as empresas a se organizarem melhor e aperfeiçoarem o relacionamento com o consumidor. Porém, destacou também que o veto à agência fiscalizadora pode prejudicar as mudanças. “É essencial que existe uma regulação. Se o veto for apenas por uma adequação legal, tudo bem, mas se o presidente resolver deixar isso para o próximo governo, por exemplo, pode inviabilizar os avanços”, afirmou.

Segundo a Agência Brasil, Gilberto Kassab, ministro da Ciência, Tecnologia, Inovações e Comunicações, garante que não exista vaidade de nenhum ministério nessa questão. “Existem alguns que entendem que o Ministério da Justiça é o mais adequado, outros que entendem que talvez o mais adequado seria a área da pesquisa, inovação e ciência, para que haja um permanente acompanhamento e também porque as transformações das tecnologias estão mais afeitas a esse ministério. O nosso objetivo maior é que essa lei e a agência sejam um legado que contribuam para o desenvolvimento do país, e no caso específico dessa lei, para a segurança dos dados, no mundo digital”, explicou, em entrevista ao portal.

Ter um órgão controlador de todo esse processo é ideal e essencial para que ele seja sempre gerenciado conforme a lei. No entanto, enquanto uma nova agência é criada pelo Executivo e enquanto as empresas estão em período de preparação e adaptação às novas mudanças, é possível ir tomando medidas de auditorias dentro das próprias empresas sobre seus dados atuais, além da possibilidade da contratação de um DPO – já que, assim, o oficial de dados atribui a responsabilidade de processadores e controladores de informações à uma pessoa.

Embora esse trabalho seja difícil e, muitas vezes, complexo, o desafio das empresas de estar em conformidade com a lei é importante e pode se tornar uma vantagem competitiva mais pra frente. Por isso, é importante olharmos para os passos que devem ser feitos até que ela se concretize, pensando sempre na importância da análise e de uma auditoria que controle a empresa, evitando que esteja fora da regulamentação.

Lembrando que durante os próximos meses de adaptação das empresas à nova lei de proteção de dados brasileira, estaremos produzindo diversos conteúdos e mostrando como ela irá impactar os mais variados setores. Por isso, fiquem ligados no nosso blog, que em breve teremos novos conteúdos sobre a LGPD!

 

Clique para comentar

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Início