Muita gente enxerga a Lei Geral de Proteção de Dados (LGPD) como preocupação exclusiva do setor de TI e compliance como tecnicalidade do departamento jurídico, mas a verdade é que compliance e LGPD vão além desses departamentos.
Na prática, os termos se relacionam para a definição mecanismos, ações, processos e demais partes do planejamento necessário para se manter em conformidade com a Agência Nacional de Proteção de Dados (ANPD), entidade fiscalizadora do respeito às diretrizes da LGPD.
Na continuação, conceituaremos brevemente o compliance e a lei citada, mostrando como elas se unem e se materializa um programa de conformidade produzido na observação de ambos.
O que é compliance
Podemos descrever compliance como estar em conformidade com normas e leis ao mesmo tempo que se mantém a boa gestão, com eficiência e transparência, nos processos inseridos em determinado programa.
Justamente por isso, as empresas, conforme suas necessidades e peculiaridades, podem precisar de programas de compliance específicos, um para cada setor ou conjunto de processos. De outra maneira, o programa global de compliance pode ser dividido em subprogramas direcionados a cenários menores e mais específicos dentro do todo do negócio. E um desses cenários, que não deixa de reunir um grupo de processos e princípios próprios, diz respeito à LGPD.
O que é LGPD
A Lei 13.709 é recente, aprovada em 2018, mas veio até com certo atraso para suprir uma demanda importante da era digital: a necessidade de dar privacidade e segurança a dados pessoais e seus titulares, além da regulação das atividades de tratamento dessas informações.
Então, para atingir seus objetivos, a LGPD elenca os termos envolvidos em coleta, armazenamento e tratamento de dados, nomeando as partes interessadas, os tipos de informações e recursos utilizados nesse meio. O texto também define direitos e deveres dos titulares das informações e das empresas que fazem a coleta, junto a práticas necessárias diante de casos distintos e incidentes.
Conforme o Artigo 2°, os fundamentos da lei são:
- respeito à privacidade;
- autodeterminação informativa;
- liberdade de informação, expressão, opinião e comunicação;
- inviolabilidade da intimidade, da honra e da imagem;
- desenvolvimento econômico e tecnológico;
- livre iniciativa, concorrência e defesa do consumidor;
- direitos humanos e exercício da cidadania.
Por fim, a LGPD prevê as sanções que as empresas podem sofrer ao desrespeitar fundamentos dessa legislação ou ao não aderir a qualquer prática normatizada, como a coleta de informações sem consentimento, fora das hipóteses legais, e a não adoção de mecanismos de segurança dos dados armazenados.
De acordo com o artigo 52 da LGPD, a empresa que cometer infrações pode ser multada em até 2% do faturamento por infração, ter informações coletadas bloqueadas para uso e até ser obrigada a excluir de seu banco os dados envolvidos nas infrações identificadas.
Como compliance e LGPD se relacionam
A relação entre os termos entra em prática na criação de um programa que tem como objetivo adequar a empresa à LGPD primeiramente e, posteriormente, manter essa adequação, evitar incidentes e agir da forma correta em caso de contingência.
Então, são colocados em prática os pilares do qualquer programa de conformidade legal e direcionamento de processos, como:
- preparação da infraestrutura de tecnologia: implementação dos recursos de segurança e tecnologia para tratamento de dados e segurança da informação;
- padronização de tarefas: fluxo de trabalho do tratamento dos dados;
- criação de modelo de comportamento necessário, que pode ser um código de conduta ou manifesto;
- criação de canais de comunicação: e-mail ou telefone pelo qual os titulares podem solicitar exclusão de informações;
- delegação de profissionais responsáveis pela área: quem será o Data Protection Officer (DPO), encarregado de dados;
- definição de ações para lidar com incidentes: por exemplo, restaurar backups e usuários e notificar a ANPD;
- preparação de documentação adicional, como política de privacidade e de uso de cookies para o site da empresa.
Como mostramos em forma de lista acima, essa relação traduz os recursos previstos naturalmente em um planejamento de conformidade em ações necessárias para a adequação à LGPD.
Se no compliance fiscal a padronização de tarefas demanda, por exemplo, não aceitar a recepção de documentos fiscais em determinadas situações, no programa voltado à LGPD esse pilar se traduz em somente coletar dados específicos e fazê-los passar pelo caminho e pelas tecnologias que farão o tratamento desejado em vista dos objetivos da coleta.
Em termos simplificados, a adequação à LGPD e sua manutenção simplesmente configuram um dos programas de conformidade do negócio, ou a parte do programa global dedicada a dados e cumprimento de normas de ANPD.
Agora, se você ainda ficou com alguma dúvida sobre LGPD ou acerca do compliance em geral, deixe nos comentários para respondermos ou tratar do tema em conteúdo futuro do blog.
