Tribuna Ribeirão
Artigos

Como a minha empresa pode se adequar à LGPD?

Na última quarta-feira (26/08), o Senado considerou prejudicado o art. 4º da Medida Provisória 959/2020 que adiava o início de vigência da Lei Geral de Proteção de Dados – LGPD. Com isso, após sanção Presidencial, voltará a valer o texto original da lei e a entrada em vigor imediatamente.

No entanto, muitas empresas ainda não sabem por onde começar para adequarem-se às novas exigências legais.

Uma das providências essenciais a serem implementadas encontra-se no artigo 46 da LGPD que determina que “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

O ideal é que tais medidas sejam antecipadas e previstas pelas empresas por intermédio da criação de um Manual de Incidentes de Segurança da Informa­ção. Esse documento é essencial para definição das regras, responsabilidades e estratégias relacionadas aos procedimentos e mecanismos de controles internos da empresa, com o objetivo de minimizar os impactos associados à ação de ameaças e riscos em todo o ciclo de vida dos dados pessoais.

O artigo 48 da LGPD determina que as empresas comuniquem à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares de dados pessoais a ocor­rência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, mencionando: a) a descrição da natureza dos dados pessoais afetados; b) as informações sobre os titulares envolvidos; c) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comer­cial e industrial; d) os riscos relacionados ao incidente; e) os motivos da demora, no caso de a comunicação não ter sido imediata; e f) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Para estar em conformidade com a LGPD, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei e às demais normas regulamentares.

As empresas deverão, ainda, adotar um Programa de Governança com Ênfase na Proteção de Dados Pessoais, o que, nos termos do artigo 50 da LGPD, seria a adoção de “regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, in­cluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais”.

A LGPD prevê alguns requisitos mínimos para esse programa: a) demonstrar o comprometimento da empresa em adotar processos e políticas internas que as­segurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais; b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta; c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade; e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular; f) esteja integrado a sua estrutura geral de governança e estabeleça e apli­que mecanismos de supervisão internos e externos; g) conte com planos de res­posta a incidentes e remediação; e h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Antes de aplicar uma sanção, a ANPD avaliará se a empresa adotou meca­nismos e procedimentos internos capazes de minimizar o dano, voltados ao tra­tamento seguro e adequado de dados, bem como se houve a adoção de política de boas práticas e governança. Assim, as empresas que possuírem um Manual de Incidentes de Segurança da Informação e um programa de Governança com Ênfase em Proteção de Dados Pessoais estarão precavidas, o que aumentará as chances de afastamento ou redução de uma multa que pode chegar a até 2% (dois por cento) do faturamento anual da empresa.

Postagens relacionadas

Qualidade do ar: menos falácias, mais esclarecimento 

Redação 2

Recorramos à juventude 

Redação 2

Ruas da memória

William Teodoro

Utilizamos cookies para melhorar a sua experiência no site. Ao continuar navegando, você concorda com a nossa Política de Privacidade. Aceitar Política de Privacidade

Social Media Auto Publish Powered By : XYZScripts.com