Justichechem Advogados Associados

Qual o preço para implantar a LGPD na minha empresa?

Implantar a LGPD na sua empresa depende de inúmeros fatores, pois se trata de um serviço personalizado. Como sabemos a Lei Geral de Proteção de Dados se derivou de vazamentos de informes de empresas, por exporem a privacidade das pessoas físicas.

15/10/2021

1ª QUESTÃO: É um custo ou é um investimento?

Contabilmente é um investimento, apesar de ser uma prestação de serviços e se aplicar a CPC 04. Empresarialmente também é um investimento, por trazer vantagens para a empresa, quer se destacando no mercado, quer por se prevenir de multas da ANPD.

O mesmo se aplica na elaboração da compliance, como explicitado no artigo de Charles M. Machado.

2ª QUESTÃO: Dependendo da empresa, pode variar por causa da quantidade de cadastros envolvidos, podendo ser:

PELO PORTE: Micro empresa, empresa de pequeno, médio ou grande porte, sendo a classificação definida, quer pela quantidade de empregados ou pelo faturamento, dependendo do órgão, como a ANVISA, IBGE ou outros.

PELO RAMO: Operadora de planos de saúde, instituição financeira, indústria, comércio, escritórios de advocacia entre outros.

Ou seja, implantar a LGPD na sua empresa depende de inúmeros fatores, pois se trata de um serviço personalizado.

Como sabemos a Lei Geral de Proteção de Dados se derivou de vazamentos de informes de empresas, por exporem a privacidade das pessoas físicas. Iniciou-se em 2018 na União Europeia através da GDPR (General Data Protection Regulation) e aqui temos a Lei 13.709/2018 alterada pela Lei 13.853/2019 quando foi criada a ANPD.

Neste artigo vamos dar um breve resumo sobre os pontos mais críticos a serem observados em sua implantação, observando inicialmente as 10 bases legais e seus conceitos:

Consentimento: é definido como uma declaração clara e inequívoca de uma pessoa que concorda com o uso dos seus dados para as finalidades propostas pela empresa.

Legítimo interesse: permite o uso dos dados, sem a necessidade de obtenção de consentimento. Porém, por ser uma hipótese de tratamento de dados tão ampla, é necessário cumprir requisitos específicos para a proteção dos dados.

Proteção de Crédito: Para a aprovação de crédito, reduzindo os riscos da transação, é possível que esses dados pessoais sejam consultados avaliando o perfil de pagador do cidadão.

Contratos: No caso da base legal de contratos, os dados de uma pessoa podem ser processados em dois momentos: o primeiro é para que seja cumprida uma obrigação prevista em contrato, e o segundo quando o tratamento de dados serve para a validação e início de vigência de um acordo.

Obrigação Legal: Nesse caso, o tratamento de dados pessoais é justificado por exigências de outras leis. São os cenários onde uma empresa precisa utilizar ou armazenar dados pessoais para cumprir obrigações legais.

Execução de Políticas Públicas: Quando o tratamento de dados pessoais é resguardado pelo interesse público ou por necessidade de uma autoridade oficial, exercendo o papel de controlador daquele dado.

Estudos por Órgãos de Pesquisa: Dados pessoais podem ser tratados para fins de estudos de órgãos que estejam oficialmente credenciados como de pesquisa. Nesse caso, sempre que possível o dado deve ser anonimizado garantindo ao máximo a privacidade dos titulares.

Processo Judicial: Dados pessoais ainda podem ser utilizados para exercício de direito em ações judiciais.

Proteção da Vida: É possível justificar o uso de dados pessoais quando o seu objetivo é de interesse vital, seja do titular do dado ou ainda de outra pessoa.

Tutela da Saúde: Quando profissionais de saúde, serviços de saúde ou autoridade sanitária precisam tratar dados pessoais.

Não é preciso o consentimento da pessoa física quando for indispensável para:

Cumprimento de obrigação legal ou regulatória pelo controlador;

Pela administração pública, de políticas públicas previstas em leis e regulamentos;

Estudos por órgão de pesquisa, garantido sempre pelo anonimato.

A anonimização são informes da pessoa física que não podem ser identificados, levando em consideração a utilização de ferramentas técnicas razoáveis e disponíveis na ocasião do tratamento.

Apesar da agenda regulatória para 2021/2022 a ANPD ter elencado entre os itens prioritários para tratar no 1º semestre de 2022 o DPO, ou encarregado da proteção de dados, explicitamos que ainda será necessário mapear todos os setores da empresa para conhecimento dos que tratam com dados pessoais de clientes, fornecedores, funcionários, sócios e/ou acionistas, podendo ser também por formulários de consultas aos respectivos chefes e/ou encarregados dos setores, e a devida revisão para atestar sua adequacidade, citando entre elas:

– Quais as áreas foram mapeadas, e quais não foram possíveis fazer a verificação e realização dos trabalhos, é necessário informar a justificativa.

– Se há áreas que foram mapeadas parcialmente ou que a consultoria tenha considerado frágil no levantamento das informações, é necessário informar a justificativa.

– Criação de POP (Procedimento Operacional Padrão) de tratamento das denúncias recebidas.

– Confecção de relatórios previstos na legislação, RIPD e LIA, para cada processo da empresa.

– Contratação do DPO.

Sobre forma de coleta, armazenamento e compartilhamento das informações em relação a(o):

– Dados pessoais de funcionários;

– Histórico de saúde de funcionários;

– Dados pessoais de representantes legais de clientes;

– Dados pessoais de fornecedores;

– Dados pessoais de consumidores ou clientes;

– Dados pessoais de acionistas.

– Se pela análise considera-se que a empresa possui equipe de TI preparada ou se há necessidade de ajustes.

– Se foram identificados todos os tipos de armazenamento de dados, ou se houve apenas a identificação parcial, ou ainda se a consultoria tenha considerado frágil algum armazenamento, é necessário informar a justificativa.

Bases legais para guardar cada tipo de dado:

– Sugestão de formato para implantação de uma ferramenta de gestão de consentimento e de cookies (forma interna ou contratação de terceiro).

– Avaliação da devida forma de segurança da informação, com relação a eliminação ou redução das ameaças digitais

– Ajuste de normas (código de ética, termo de confidencialidade política de segurança da informação…).

– Ajustes das minutas contratuais, com a inclusão de cláusula que regule a proteção de dados.

– Periodicidade de treinamento para sensibilização dos colaboradores assim como de toda a empresa. Nossa sugestão é incluir multas já aplicadas às empresas e processos administrativos, bem como, os judiciais que já estão surgindo.

– Sugestão de formato de canais de denúncia de forma interna ou na contratação de terceiros.

– Forma de divulgação de canais de denúncia