"Para estar em conformidade com a LGPD, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei e às demais normas regulamentares."
Na última quarta-feira (26/08), o Senado considerou prejudicado o art. 4º da Medida Provisória 959/2020 que adiava o início de vigência da Lei Geral de Proteção de Dados - LGPD. Com isso, após sanção Presidencial, voltará a valer o texto original da lei e a entrada em vigor imediatamente.
No entanto, muitas empresas ainda não sabem por onde começar para adequarem-se às novas exigências legais.
Uma das providências essenciais a serem implementadas encontra-se no artigo 46 da LGPD que determina que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
O ideal é que tais medidas sejam antecipadas e previstas pelas empresas por intermédio da criação de um Manual de Incidentes de Segurança da Informação. Esse documento é essencial para definição das regras, responsabilidades e estratégias relacionadas aos procedimentos e mecanismos de controles internos da empresa, com o objetivo de minimizar os impactos associados à ação de ameaças e riscos em todo o ciclo de vida dos dados pessoais.
O artigo 48 da LGPD determina que as empresas comuniquem à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares de dados pessoais a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, mencionando: a) a descrição da natureza dos dados pessoais afetados; b) as informações sobre os titulares envolvidos; c) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; d) os riscos relacionados ao incidente; e) os motivos da demora, no caso de a comunicação não ter sido imediata; e f) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Para estar em conformidade com a LGPD, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei e às demais normas regulamentares.
As empresas deverão, ainda, adotar um Programa de Governança com Ênfase na Proteção de Dados Pessoais, o que, nos termos do artigo 50 da LGPD, seria a adoção de “regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais”.
A LGPD prevê alguns requisitos mínimos para esse programa: a) demonstrar o comprometimento da empresa em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; g) conte com planos de resposta a incidentes e remediação; e h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
Antes de aplicar uma sanção, a ANPD avaliará se a empresa adotou mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, bem como se houve a adoção de política de boas práticas e governança. Assim, as empresas que possuírem um Manual de Incidentes de Segurança da Informação e um programa de Governança com Ênfase em Proteção de Dados Pessoais estarão precavidas, o que aumentará as chances de afastamento ou redução de uma multa que pode chegar a até 2% (dois por cento) do faturamento anual da empresa.
Artigo da advogada e sócia do escritório: Renata Ferreira de Freitas Alvarenga
OAB/SP nº 344.585
renata@fcsadvocacia.com.br