A Lei Geral de Proteção de Dados visa criar uma segurança jurídica, com a padronização de normas e práticas, para promover a proteção aos dados pessoais e a privacidade de todo cidadão que esteja no Brasil. Embora esteja vigente no país desde agosto de 2020, as empresas ainda possuem um prazo de mais um mês e meio para se adequarem, ou seja, até agosto de 2021. Um dado preocupante apresentado pela ICTS Protiviti, e divulgado pela Folha de Pernambuco, mostrou que 84% das companhias brasileiras, em maio deste ano, ainda “não estão preparadas para as novas regras de privacidade de dados”, conforme divulgação.

Jeany Nunes dos Santos, advogada especialista em Lei Geral de Proteção de Dados, explica que é preciso que todos compreendam que a responsabilidade de se adequar à lei serve justamente para a proteção de todos os brasileiros, tanto físico como jurídico, por isso grandes e pequenas empresas devem estar atentas. “É de suma importância procurar um advogado especialista para que possa prestar uma consultoria jurídica realizando o mapeamento de todos os riscos e aponte quais as melhores medidas administrativas e técnicas necessárias para se fazer os ajustes às novas regras da LGPD, pois somente o advogado poderá fazer um diagnóstico e identificar as ações necessárias para essa adequação. Todo o investimento feito para se adequar à nova Lei será revertido, no mínimo, em organização, segurança, faturamento e reputação e no final todo o esforço valerá a pena.”

A advogada segue explicando que somente “apagar” os dados não é a saída para solucionar as questões com a LGPD. “Antes de apagar os dados dos clientes é necessário verificar os três princípios básicos da legislação que é a finalidade de ainda se obter tal dado, se tal dado é legítimo, específico, explícito e informado ao titular, é necessário se adequar com o contexto e se limitar à necessidade de se ter tais dados para realização de suas finalidades”, diz.

Ela segue dizendo que de maneira geral a Lei Geral de Proteção de Dados visa limitar o armazenamento prolongado e desnecessário de dados e informações pessoais, bem como dar livre acesso ao titular para que saiba de maneira transparente sobre a integridade de seus dados pessoais. Um exemplo é se determinada empresa deseja enviar anúncios de promoções a alguns clientes, guardando os dados de alguns deles, é importante que seja calculado um prazo de armazenamento e envio de propagandas e deve ser apresentado ao cliente no momento da coleta do dado pessoal, ou seja, do cadastro do cliente. Após esse prazo os dados devem ser apagados, sob pena desse armazenamento ser considerado ilegal.

Como garantir essa segurança aos seus clientes?
“Várias atitudes podem ser tomadas para garantir a segurança de seus clientes. A primeira delas é contratando um advogado especializado para fazer a mitigação de todos os riscos. Algumas atitudes básicas e ideais para as empresas é: i) estipular um prazo de armazenamento para os dados coletados, levando sempre em consideração a finalidade e o motivo desse armazenamento; ii) informar o titular do dado e requerer seu consentimento acerca desse prazo de armazenamento; iii) revisar esses dados e o cumprimento do prazo em relação ao momento da coleta; iv) revisar se a finalidade do armazenamento foi cumprida; v) após o prazo de armazenamento, descartar os dados”, ressalta.

Ainda assim, durante todo este processo de armazenamento de dados, a advogada atenta para a crucial importância de garantir a proteção dos dados pessoais, como a anonimização, a criptografia dos dados e ainda prever protocolos de segurança caso esses dados sejam vazados por algum motivo, até que este descarte aconteça. Por meio dos processos de anonimização e de criptografia, por exemplo, permitem com que o dado não identifique a pessoa do seu titular.

Dra. Jeany atenta ainda que existem várias formas de ataque, até mesmo a pessoa que trabalha na empresa, responsável por guardar os dados, pode fazer o vazamento, além de, a cada dia, criminosos encontrarem uma nova forma de invadir suas aplicações e redes, ataques por mensagens, ataques de insiders, roubos de equipamentos que contém dados pessoais, por isso é necessário sempre estar atento.

“A LGPD considera que as organizações são responsáveis por manter a Segurança e Sigilo de Dados de seus clientes, isso significa que em caso de vazamento de dados, a empresa poderá ser punida pela lei. Além das consequências diretas dos ataques sobre a base de dados, ainda terá de prestar esclarecimentos à Autoridade Nacional de Proteção de Dados (ANPD)”, alerta.

As sanções
A partir do momento que são constatadas irregularidades ou vazamentos de dados, as sanções poderão ser aplicadas. Mas, vale ressaltar que ainda há tempo para que as empresas, de todos os portes, se adequem, visto que essas sanções serão aplicadas somente a partir do mês de agosto. Mas vale ressaltar que não é apenas a aplicação de sanções como advertências, multas e suspensão, mas sim a reputação da empresa que está em jogo.

“Uma empresa que não obedece às leis, tem questionada a sua ética e integridade perante os colaboradores, consumidores ou terceiros, o que não é uma postura adequada a uma empresa. É claro que chama mais a atenção das corporações, sejam elas grandes ou pequenas, a multa aplicada caso a LGPD não seja respeitada. Há outras questões que devem ser levadas em consideração, que podem influenciar nos negócios e prejudicar a empresa como um todo, tais como: problemas comerciais entre parceiros e clientes, processos judiciais com riscos financeiros gerando problemas de governança. Muitas empresas acabam por focar no que vão gastar, quando deveriam entender como um investimento. Toda mudança é desafiadora, mas no fim vale a pena”, aconselha.

Porém, as questões que englobam o vazamento de dados e as suas sanções levantam um alerta bem grande aos empresários. “Em caso de vazamento, o texto da lei apresenta seis punições. Primeiramente receber advertência, estipulando um prazo para ajustes de processos necessários para que esteja dentro da ética prevista. Em segundo, multa de até 2% do faturamento, excluindo os tributos do último ano inteiro, sendo que o teto pode chegar a R$ 50 Milhões por infração. Em terceiro a aplicação de multas diárias até o teto de R$ 50 Milhões. Em quarto a obrigatoriedade de tornar público o vazamento de sua empresa para todos os seus clientes e futuros clientes. Em quinto o bloqueio de operações empresariais referente aos dados que estiverem fora das premissas da lei até que seja regularizado e, por fim, em sexto, exclusão total dos dados irregulares encontrados em sua empresa”, finaliza.