Este ano, em 27 de janeiro de 2022, a ANPD – Autoridade Nacional de Proteção de Dados, órgão responsável por editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, publicou a resolução nº 2 de 2022, que busca flexibilizar a implantação da LGPD em pequenas e médias empresas.
As regras valem para agentes de tratamento de pequeno porte, como pequenas empresas, startups, associações sem fins lucrativos e organizações religiosas, flexibilizando, mas não excluindo a implantação da governança em privacidade, ou como alguns denominam, o compliance em LGPD.
Como exceção, a resolução exclui dos beneficiários do tratamento especial, às empresas que tratam dados pessoais em larga escala, ou cujo tratamento possa afetar os interesses dos titulares.
Leia também: Como a ANPD pode mudar depois de virar autarquia especial
Os principais itens de flexibilização foram: (i) o registro das atividades de tratamento, que passará a ter um modelo a ser criado pela própria ANPD; (ii) a comunicação dos incidentes de segurança, de forma simplificada; (iii) o afastamento da obrigação das empresas terem um DPO (encarregado de dados); e (iv) prazos diferenciados para responder à reclamações de titulares e também nas relações com a ANPD.
A lei ressalta item já destacado na LGPD, afirmando que o programa de governança deve levar em consideração a estrutura, a escala e o volume das operações das empresas, mas mantendo a necessidade da criação de um sistema que protega a privacidade e os dados pessoais dos indivíduos.
De olho nesse cenário e pensando em 2022, a sugestão é que as empresas acelerem a implantação do sistema de governança em privacidade, a fim de possam afastar qualquer possibilidade de aplicação de penalidades legais, que vão desde advertência, até multas de 2% de faturamento, isso porque não se sabe ao certo como a ANPD vai aplicar tais penalidades e o Judiciário ainda não tem uma jurisprudência uniformizada sobre o tema.
As empresas têm aproveitado essa oportunidade para otimizar processos internos e gozar dos benefícios de um programa de conformidade, culminando numa mudança de cultura e um foco claro em resultados, marcado por esse sistema de gestão de processos.
É importante entender que a conformidade com a LGPD traz uma competitividade muito grande para as empresas, além de trazer o conceito da própria exigência legal a necessidade de um sistema de Governança, que nada mais é que um conjunto de regras e procedimentos que visam criar um sistema de proteção para a lei. Além disso, outra expectativa para 2022 é a análise de como as pessoas físicas irão amadurecer em relação a esses direitos. Será um ano de adaptação de todas as partes, mas principalmente das empresas que correm os riscos de sofrer penalidades.
Veja também: Proteção de dados: os cuidados da due diligence em operações de M&A
A LGPD para pessoas físicas
As pessoas físicas titulares dos dados devem ficar atentas às empresas que têm acesso aos seus dados e o que elas fazem com eles, já que a lei exige que isso seja explícito de forma bem clara. Os titulares também podem indagar as empresas acerca do uso, destinação e finalidade de todos os dados que constam em poder da empresa. A pessoa física titular desses dados, seja funcionário da empresa, cliente, fornecedor, tem o direito de saber como eles serão usados e a empresa precisa ter um canal de comunicação para sanar esses questionamentos.
É importante entender que os direitos dos consumidores são a apresentação de forma clara, expressa e inequívoca de quais são as finalidades de uso daquele dado, qual será o fluxo de dados dentro da empresa. Ou seja, o consumidor tem o direito de receber a informação do que a empresa irá fazer com as informações dele. Então, este é um dos principais direitos do consumidor em relação à LGPD, que é o direito de dar ou não consentimento para uso desses dados, revogar o consentimento, atualizar as suas informações e o direito de ter acesso a esse fluxo de dados. Além disso, o consumidor que tiver algum dano decorrente de um incidente com os dados pessoais, pode recorrer aos órgãos competentes para que possa requerer a devida compensação.
A LGPD para as empresas
Em relação às empresas, é necessário ressaltar a latente responsabilidade pelo uso dos dados. Todo o fluxo de dados dentro da empresa deve ser mapeado, ou seja, deve-se entender qual o caminho que os dados pessoais que a empresa recebe percorre dentro da empresa. É necessário que haja essa rastreabilidade e mapeamento, mecanismos de controle e toda uma política de gestão de segurança dessas informações. O conjunto de proteção e regras chamamos de Compliance de Proteção de Dados, ou Governança em Privacidade como a lei se refere.
O primeiro semestre de 2022 é o momento para que as empresas revisem a implementação de um projeto de proteção de dados. Afinal, a implantação vai sempre olhar o tamanho da empresa, os dados que ela utiliza e, cada sistema de compliance, terá a cara da determinada empresa - ou seja, pode haver sistemas de LGPD desde o mais simples, em empresas menores que tem uma quantidade menor de procedimentos internos, até procedimentos mais complexos que utilizam uma série de ferramentas de controles para empresas maiores. O essencial é que as empresas tenham um sistema de proteção.
*Rubens Leite é advogado e sócio-gestor da RGL Advogados e especialista em LGPD.
Add new comment