Entre janeiro e setembro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) recebeu 264 comunicados de incidente de segurança e um total de 563 denúncias sobre violações à Lei Geral de Proteção de Dados (LGPD). As sanções incluem multa de até R$ 50 milhões por infração e suspensão parcial do funcionamento do banco de dados, dentre outras medidas que podem paralisar as operações das empresas. Esse cenário levou as empresas a buscarem uma adequação que, muitas vezes, não resiste à análise de um especialista.
A advogada Maria Heloísa Chiaverini de Melo, mestre em Ciências Sociais, especialista em Compliance, Governança e Direito Digital, detalha os sete maiores erros que as empresas cometem ao implementar a LGPD e aponta o que deve ser feito para evitar esses deslizes.
O mais comum é fazer uma política de privacidade generalista sem mapeamento dos dados pessoais. “A lei exige que seja explicado em detalhes quais dados são tratados, qual a finalidade de tratamento, qual a base legal, se compartilha, como compartilha e medidas de segurança, dentre outras informações”, detalha a especialista.
Cada caso é um caso
Colocar cláusula geral de não compartilhamento de dados pessoais nos contratos e achar que isso é o suficiente é outra falha. “Cada contrato é específico; portanto, os acordos de processamento de dados pessoais devem ter detalhes de como esses dados são tratados, além da descrição de como os direitos dos titulares são garantidos”, explica Marcelo Pereira, diretor comercial e marketing da BrevenLaw, startup de compliance jurídico que auxilia as empresas na construção e gestão de governança.
Reação em cadeia
Não exigir que seus principais parceiros e fornecedores estejam adequados à LGPD é um erro frequente. “Isso aumenta o risco da empresa na cadeia de responsabilização. Não ter a devida diligência, gestão de riscos e acordos de processamento de dados pessoais estruturados aumenta a chance de não conformidade da empresa. Essa tarefa não é algo difícil de ser implementada, o mercado tem ferramentas tecnológicas de gestão automática de riscos que podem nortear essas decisões”, observa a especialista.
Envolvimento geral
Marcelo Pereira explica que um engano recorrente é pensar que contratar um consultor de governança já é suficiente. “Se a alta direção não estiver engajada em mudar a cultura da empresa, se não houver treinamentos constantes e incentivo à cultura de proteção de dados pessoais, não adianta”, comenta.
Comunicação é tudo
Deixar de instalar um canal de comunicação eficaz com o titular de dados pessoais é uma das três maiores falhas das empresas. “Sem um canal eficaz e um contato ágil e transparente, o titular de dados pessoais fica inapto a entender como solicitar os dados dele”, explica a especialista, acrescentando que há ferramentas de automação disponíveis para fazer o controle, gestão e segurança das respostas.
Segundo a advogada, outras situações corriqueiras são achar que deve coletar consentimento em todos os casos e confundir Política de Privacidade com Relatório de Impacto, dois documentos diferentes e que se somam. “A Lei Geral de Proteção de Dados trouxe desafios significativos para as empresas, mas elas precisam estar em conformidade de fato, não apenas na superfície. É indispensável estabelecer uma cultura de proteção de dados pessoais porque só assim é possível garantir proteção para colaboradores, clientes, fornecedores e parceiros”, completa Maria Heloísa.