Penalidades da LGPD: cinco práticas para reduzir riscos de sanção

Recentemente, a Fundação Dom Cabral realizou uma pesquisa com 207 organizações, sendo que 40% delas afirmaram não estar plenamente adequadas à Lei Geral de Proteção de Dados, conforme divulgação do site Exame.com. No dia a dia, vemos, inclusive, que muitas empresas sequer sabem por onde começar a se adequar à LGPD.

Após ocorrências serem devidamente apuradas e confirmadas, elas podem culminar em: multa simples de até 2% do faturamento, limitada a R$ 50 milhões, por infração; publicização da infração; bloqueio ou eliminação dos dados a que se refere a infração; suspensão do banco de dados; suspensão ou proibição do exercício de tratamento das informações. Todas essas situações podem se traduzir em:

— Prejuízos financeiros;

— Falta de fluidez na operação;

— Interferência nas ações de marketing e vendas;

— Queda na reputação do negócio diante de clientes, fornecedores, parceiros de negócios e opinião pública;

— Impactos negativos no score de segurança da companhia.

Antes da aplicação de qualquer sanção por parte da Autoridade Nacional de Proteção de Dados (ANPD), haverá a comunicação da situação aos agentes de tratamento e a possibilidade de ampla defesa e apresentação de razões que visem a justificar ou mesmo minimizar os eventuais danos causados, como explicou a advogada Adriana Garibe em entrevista ao portal Migalhas. Na visão dela, penalidades da LGPD podem ser evitadas "com a implementação de uma governança de dados sólida, garantindo confidencialidade, integridade, disponibilidade e autenticidade do tratamento de dados sensíveis e pessoais".

Como evitar uma penalidade da LGPD
As chances de receber uma notificação da ANPD podem ser reduzidas de maneira significativa quando a organização adota cinco boas práticas:

1) Investir adequadamente em infraestrutura de segurança da informação: Um importante passo para estar em compliance com a LGPD é ter medidas básicas de segurança da informação, incluindo soluções, ferramentas, políticas, equipe e parceiros especializados.

2) Mapear as informações — incluindo os dados sensíveis — que estão em poder da empresa: É primordial que a organização saiba quais informações estão em seu poder, quais são os dados sensíveis, onde cada informação está armazenada, quais realmente precisam ser mantidos e com quais pessoas ou organizações esse banco é compartilhado. Se possível, faça esse mapeamento com a ajuda de um datamapping.

3) Montar uma estrutura de governança da privacidade e proteção de dados: Com atenção para a adequada configuração, prefira centralizar todos os dados em uma ferramenta de governança de privacidade e proteção de dados. Essa é a forma mais eficiente de visualizar os processos relacionados ao tratamento das informações. O ideal é que essa solução seja capaz de mapear todo o fluxo dos dados que estão em poder da companhia, dentro e fora do perímetro da organização.

4) Gerir os riscos de terceiros: Toda organização precisa de outras empresas para operar. Para isso, constantemente, precisam compartilhar com fornecedores ou parceiros informações pessoais, financeiras, operacionais, estratégicas e regulatórias, sejam próprias, de clientes ou de colaboradores. Para mitigar os riscos nesse fluxo dos dados, é útil aderir a uma solução de tecnologia que permita fazer uma checagem proativa da reputação do terceiro no ambiente digital e dos riscos cibernéticos que a organização em questão apresenta.

5) Conscientizar o time interno: A falha humana é uma das principais inimigas da privacidade e proteção de dados, com incidentes causados intencionalmente ou por falta de conhecimento das pessoas. Por isso, sempre recomendamos que as estratégias de SI incluam o treinamento e a conscientização do time, com ações de sondagem da aprendizagem e de reciclagem sempre que necessário.

Com a vigência da LGPD, é um dever das organizações estarem atentas aos direitos dos titulares das informações e blindar seu ambiente digital com processos, métodos e tecnologias que garantam a privacidade e a proteção dos dados. Isso deve incluir o aconselhamento com a área jurídica do negócio, bem como a conscientização dos profissionais de todos os níveis hierárquicos acerca da importância desse novo momento.