Penalidades da LGPD: cinco práticas para reduzir riscos de sanção

Recentemente, a Fundação Dom Cabral realizou uma pesquisa com 207 organizações, sendo que 40% delas afirmou não estar plenamente adequada à Lei Geral de Proteção de Dados, conforme divulgação do site Exame.com. No dia a dia, vemos, inclusive, que muitas empresas sequer sabem por onde começar a se adequar à LGPD.

Nesta altura do campeonato, é imprescindível para as empresas correrem atrás da adequação e estruturarem um plano de prevenção e remediação das sanções, já que elas podem prejudicar o negócio de diferentes maneiras.

Após ocorrências serem devidamente apuradas e confirmadas, elas podem culminar em: multa simples de até 2% do faturamento, limitada a R$ 50 milhões, por infração; publicização da infração; bloqueio ou eliminação dos dados a que se refere a infração; suspensão do banco de dados; suspensão ou proibição do exercício de tratamento das informações. Todas essas situações podem se traduzir em:

• prejuízos financeiros;

• falta de fluidez na operação;

• interferência nas ações de marketing e vendas;

• queda na reputação do negócio diante de clientes, fornecedores, parceiros de negócios e opinião pública;

• impactos negativos no score de segurança da companhia.

Antes da aplicação de qualquer sanção por parte da Autoridade Nacional de Proteção de Dados (ANPD), haverá a comunicação da situação aos agentes de tratamento e a possibilidade de ampla defesa e apresentação de razões que visem justificar ou mesmo minimizar os eventuais danos causados, como explicou a advogada Adriana Garibe em entrevista ao Portal Migalhas. Na visão dela, penalidades da LGPD podem ser evitadas “com a implementação de uma governança de dados sólida, garantindo confidencialidade, integridade, disponibilidade e autenticidade do tratamento de dados sensíveis e pessoais”.

Como evitar uma penalidade da LGPD

As chances de receber uma notificação da ANPD podem ser reduzidas de maneira significativa quando a organização adota cinco boas práticas:

1. Investir adequadamente em infraestrutura de segurança da informação

Um importante passo para estar em Compliance com a LGPD é ter medidas básicas de segurança da informação, incluindo soluções, ferramentas, políticas, equipe e parceiros especializados.

2. Mapear as informações – incluindo os dados sensíveis – que estão em poder da empresa

É primordial que a organização saiba quais informações estão em seu poder, quais são os dados sensíveis, onde cada informação está armazenada, quais realmente precisam ser mantidos e com quais pessoas ou organizações esse banco é compartilhado. Se possível, faça esse mapeamento com a ajuda de um Data-Mapping.

3. Montar uma estrutura de governança da privacidade e proteção de dados

Com atenção para a adequada configuração, prefira centralizar todos os dados em uma ferramenta de Governança de Privacidade e Proteção de Dados. Essa é a forma mais eficiente de visualizar os processos relacionados ao tratamento das informações. O ideal é que essa solução seja capaz de mapear todo o fluxo dos dados que estão em poder da companhia, dentro e fora do perímetro da organização.

4. Gerir os riscos de terceiros

Toda organização precisa de outras empresas para operar. Para isso, constantemente, compartilhar com fornecedores ou parceiros informações pessoais, financeiras, operacionais, estratégicas e regulatórias, sejam próprias, de clientes ou de colaboradores. Para mitigar os riscos nesse fluxo dos dados, é útil aderir a uma solução de tecnologia que permita fazer uma checagem proativa da reputação do terceiro no ambiente digital e dos riscos cibernéticos que a organização em questão apresenta.

5. Conscientizar o time interno

A falha humana é uma das principais inimigas da privacidade e proteção de dados, com incidentes causados intencionalmente ou por falta de conhecimento das pessoas. Por isso, sempre recomendamos que as estratégias de SI incluam o treinamento e a conscientização do time, com ações de sondagem da aprendizagem e de reciclagem sempre que necessário.

Com a vigência da LGPD, é um dever das organizações estarem atentas aos direitos dos titulares das informações e blindar seu ambiente digital com processos, métodos e tecnologias que garantam a privacidade e a proteção dos dados. Isso deve incluir o aconselhamento com a área jurídica do negócio, bem como a conscientização dos profissionais de todos os níveis hierárquicos acerca da importância desse novo momento.

Por Simone Santinato, DPO da NovaRed.

Fonte: InforChannel