LGPD: quando começa a valer?

Por 16 de setembro de 2020Governança de TI

Depois de uma longa novela, é oficial: a LGPD entrou em vigor no último dia 27 de agosto e as empresas que ainda não se adequaram precisam correr contra o tempo para evitar as multas e penalidades previstas na lei.

A LGPD, ou Lei Geral de Proteção dos Dados, é a lei brasileira que busca proteger os dados pessoais do cidadão e garantir a ele mais autonomia sobre como as empresas coletam, armazenam e usam suas informações.

Com a pandemia, havia uma proposta de que a entrada em vigor da nova lei fosse adiada para 2021, no entanto, como a proposta não foi votada em tempo hábil, a data inicial prevista para validade da LGPD foi mantida.

Caso sua empresa ainda tenha dúvidas, abaixo respondemos às principais perguntas para entender qual seu nível de adequação à LGPD!

1. A gerência e o time entendem a importância da LGPD?

Ainda que o órgão responsável pela regulação da nova lei não tenha sido criado (as diretrizes para o estabelecimento da Autoridade Nacional de Proteção de Dados já foram aprovadas, mas a entidade ainda não está em operação), é preciso garantir o buy-in de todos na empresa quanto às responsabilidades no uso de dados.

A LGPD pode custar até 2% do volume de negócios global em multas (ou R$ 50.000.000, o que for maior), juntamente com ações publicitárias e de ação coletiva. Ela afeta todos na organização, motivo pelo qual a gestão precisa levá-la a sério.

2. Você sabe onde estão seus dados hoje?

É essencial saber onde estão seus dados e quais são seus pontos de coleta. A LGPD exige que os usuários sejam avisados sempre que uma informação pessoal for coletada e que esse aviso os informe qual é a finalidade da coleta. Além disso, eles devem ter o direito de ser “esquecidos”, ou seja, terem seus dados apagados dos data centers da empresa caso peçam.

Isso significa que, se você não souber onde estão as informações, provavelmente terá trabalho para localizá-las caso seja solicitado. Adicionalmente, é preciso garantir que esses dados estejam seguros — como fazer isso se você nem sabe onde estão guardados?

3. Você se quais terceiros têm acesso aos dados?

A LGPD diferencia o papel de controladores, responsáveis pela coleta dos dados, e operadores de dados, quem realmente faz a coleta. Por exemplo, sua empresa pode ser controlador dos dados dos seus clientes, mas armazená-los em um serviço de data center na nuvem (o provedor desse serviço seria o operador).

Independentemente de onde seus dados estejam armazenados, você é responsável pela manutenção segura deles. Dessa forma, é preciso identificar possíveis terceiros que tenham acesso às informações e contratar provedores que respeitem as políticas da LGPD e tenham medidas de segurança robustas no local.

4. Você consegue identificar violações rapidamente?

Você não quer ser informado de um incidente de perda de dados pelos próprios usuários ou pela ANPD. Caso uma violação ocorra, é preciso ter no local sistemas que detectem o problema rapidamente para que os titulares dos dados sejam prontamente informados — essa é mais uma das exigências da LGPD.

Se ocorrer uma violação ou o regulador investigar a organização, é preciso ter documentos para explicar os fluxos de dados completos. A decisão sobre possíveis penalidades levará em consideração os processos, a tecnologia e a documentação que descrevem os sistemas e o fluxo de dados. 

Com a entrada em vigor da LGPD, pensar na segurança e nos seus processos de armazenamento de dados não é mais um opcional, mas se faz estritamente necessário para manter o compliance com a regulação.

E você, já se adequou à LGPD? Entre em contato conosco e saiba como podemos te ajudar!