1ª QUESTÃO: É um custo ou é um investimento?
→ Contabilmente é um investimento, apesar de ser uma prestação de serviços e se aplicar a CPC 04.
→ Empresarialmente também é um investimento, por trazer vantagens para a empresa, quer se destacando no mercado, quer por se prevenir de multas da ANPD.
→ O mesmo se aplica na elaboração da compliance, como explicitado no artigo de Charles M. Machado: https://jus.com.br/artigos/76408/o-compliance-digital-como-valor-intangivel-no-balanco-das-empresas
2ª QUESTÃO: Dependendo da empresa, pode variar por causa da quantidade de cadastros envolvidos, podendo ser:
→ PELO PORTE: Micro empresa, empresa de pequeno, médio ou grande porte, sendo a classificação definida, quer pela quantidade de empregados ou pelo faturamento, dependendo do órgão, como a ANVISA, IBGE ou outros.
→ PELO RAMO: Operadora de planos de saúde, instituição financeira, indústria, comércio, escritórios de advocacia entre outros.
Ou seja, implantar a LGPD na sua empresa depende de inúmeros fatores, pois se trata de um serviço personalizado.
Como sabemos a Lei Geral de Proteção de Dados se derivou de vazamentos de informes de empresas, por exporem a privacidade das pessoas físicas. Iniciou-se em 2018 na União Europeia através da GDPR (General Data Protection Regulation) e aqui temos a Lei 13.709/2018 alterada pela Lei 13.853/2019 quando foi criada a ANPD.
Neste artigo vamos dar um breve resumo sobre os pontos mais críticos a serem observados em sua implantação, observando inicialmente as 10 bases legais e seus conceitos:
Consentimento: é definido como uma declaração clara e inequívoca de uma pessoa que concorda com o uso dos seus dados para as finalidades propostas pela empresa.
Legítimo interesse: permite o uso dos dados, sem a necessidade de obtenção de consentimento. Porém, por ser uma hipótese de tratamento de dados tão ampla, é necessário cumprir requisitos específicos para a proteção dos dados.
Proteção de Crédito: Para a aprovação de crédito, reduzindo os riscos da transação, é possível que esses dados pessoais sejam consultados avaliando o perfil de pagador do cidadão.
Contratos: No caso da base legal de contratos, os dados de uma pessoa podem ser processados em dois momentos: o primeiro é para que seja cumprida uma obrigação prevista em contrato, e o segundo quando o tratamento de dados serve para a validação e início de vigência de um acordo.
Obrigação Legal: Nesse caso, o tratamento de dados pessoais é justificado por exigências de outras leis. São os cenários onde uma empresa precisa utilizar ou armazenar dados pessoais para cumprir obrigações legais.
Execução de Políticas Públicas: Quando o tratamento de dados pessoais é resguardado pelo interesse público ou por necessidade de uma autoridade oficial, exercendo o papel de controlador daquele dado.
Estudos por Órgãos de Pesquisa: Dados pessoais podem ser tratados para fins de estudos de órgãos que estejam oficialmente credenciados como de pesquisa. Nesse caso, sempre que possível o dado deve ser anonimizado garantindo ao máximo a privacidade dos titulares.
Processo Judicial: Dados pessoais ainda podem ser utilizados para exercício de direito em ações judiciais.
Proteção da Vida: É possível justificar o uso de dados pessoais quando o seu objetivo é de interesse vital, seja do titular do dado ou ainda de outra pessoa.
Tutela da Saúde: Quando profissionais de saúde, serviços de saúde ou autoridade sanitária precisam tratar dados pessoais.
Não é preciso o consentimento da pessoa física quando for indispensável para:
→ Cumprimento de obrigação legal ou regulatória pelo controlador;
→ Pela administração pública, de políticas públicas previstas em leis e regulamentos;
→ Estudos por órgão de pesquisa, garantido sempre pelo anonimato.
A anonimização são informes da pessoa física que não podem ser identificados, levando em consideração a utilização de ferramentas técnicas razoáveis e disponíveis na ocasião do tratamento.
Apesar da agenda regulatória para 2021/2022 a ANPD ter elencado entre os itens prioritários para tratar no 1º semestre de 2022 o DPO, ou encarregado da proteção de dados, explicitamos que ainda será necessário mapear todos os setores da empresa para conhecimento dos que tratam com dados pessoais de clientes, fornecedores, funcionários, sócios e/ou acionistas, podendo ser também por formulários de consultas aos respectivos chefes e/ou encarregados dos setores, e a devida revisão para atestar sua adequacidade, citando entre elas:
– Quais as áreas foram mapeadas, e quais não foram possíveis fazer a verificação e realização dos trabalhos, é necessário informar a justificativa.
– Se há áreas que foram mapeadas parcialmente ou que a consultoria tenha considerado frágil no levantamento das informações, é necessário informar a justificativa.
– Criação de POP (Procedimento Operacional Padrão) de tratamento das denúncias recebidas.
– Confecção de relatórios previstos na legislação, RIPD e LIA, para cada processo da empresa.
– Contratação do DPO.
Sobre forma de coleta, armazenamento e compartilhamento das informações em relação a(o):
– Dados pessoais de funcionários;
– Histórico de saúde de funcionários;
– Dados pessoais de representantes legais de clientes;
– Dados pessoais de fornecedores;
– Dados pessoais de consumidores ou clientes;
– Dados pessoais de acionistas.
– Se pela análise considera-se que a empresa possui equipe de TI preparada ou se há necessidade de ajustes.
– Se foram identificados todos os tipos de armazenamento de dados, ou se houve apenas a identificação parcial, ou ainda se a consultoria tenha considerado frágil algum armazenamento, é necessário informar a justificativa.
Bases legais para guardar cada tipo de dado:
– Sugestão de formato para implantação de uma ferramenta de gestão de consentimento e de cookies (forma interna ou contratação de terceiro).
– Avaliação da devida forma de segurança da informação, com relação a eliminação ou redução das ameaças digitais
– Ajuste de normas (código de ética, termo de confidencialidade política de segurança da informação…).
– Ajustes das minutas contratuais, com a inclusão de cláusula que regule a proteção de dados.
– Periodicidade de treinamento para sensibilização dos colaboradores assim como de toda a empresa. Nossa sugestão é incluir multas já aplicadas às empresas e processos administrativos, bem como, os judiciais que já estão surgindo.
– Sugestão de formato de canais de denúncia de forma interna ou na contratação de terceiros.
– Forma de divulgação de canais de denúncia
No nosso próximo artigo enviaremos um questionário detalhado para ser enviado aos encarregados dos setores da sua empresa.
Poderemos oferecer, sem quaisquer compromissos, normas específicas para avaliação de sua compliance aos 10 primeiros que nos contatarem, como também propostas para execução de serviços de auditoria, bastando nos enviar um seu balancete analítico, podendo ser através deste site em contatos, ou pelos e-mails: fiore@binahauditores.com.br e binah.rj@binahauditores.com.br.