Curso de LGPD GRÁTIS - Semana de LGPD na Prática (5, 6 e 7 de março)
Geral

Não basta estar em conformidade, a empresa precisa demonstrar a sua conformidade!

Olá, pessoal, tudo bem por aí?

Hoje pela manhã postamos aqui a publicação de uma empresa comunicando aos seus clientes as mudanças que já está realizando em seus processos internos a fim de atender às disposições da LGPD e externando sua preocupação em relação à conformidade à lei.

O fato é que, de acordo com a LGPD não basta estar em conformidade, é preciso demonstrar a sua conformidade!

E é isso que as empresas vêm fazendo nos últimos dias!

E também é exatamente isso que a Lei Geral de Proteção de Dados quer nos dizer: que não é suficiente estar conformidade, a empresa precisa demonstrar que está adequada ou buscando a adequação sempre que apropriado ou quando requisitado pela ANPD (Autoridade Nacional de Proteção de Dados). 

Por isso é que nos últimos dias diversas empresas anunciaram que estão se adequando à LGPD.

E você sabe por qual razão?

Temos duas razões que se conectam: a primeira delas é que dependendo do resultado da votação da MP 959/2020 na Câmara dos Deputados, teremos uma LGPD vigente ainda neste mês de Agosto/2020, o que faz com que as empresas corram contra o tempo para adequar seus processos e atender às disposições da lei o mais breve possível.

A segunda, é que, seguindo a linha de atendimento às disposições da LGPD, as empresas além estarem em conformidade ou adotando as medidas técnicas, de segurança e demais obrigações específicas para alcançar a conformidade, devem demonstrar que estão aderentes à LGPD ou buscando a sua adequação, e é por essa razão que elas estão comunicando tais ações em seus meios de comunicação para atender às disposições do Art. 50, I “a”, II e § 3º.

“Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

I – implementar programa de governança em privacidade que, no mínimo:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

II – demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.

No caso de solicitação da demonstração da efetividade do programa de governança pela a ANPD, é recomendável que a empresa tenha, além de seu manual de políticas internas, o seu Relatório de Impacto à Proteção de Dados Pessoais, que será tema para outra post/publicação

Seguindo esse raciocínio, dispõe o § 3º que  as regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional”.

Ao divulgar as suas ações em relação à adequação à LGPD, a empresa está demonstrando a sua preocupação e o seu compromisso com a privacidade e proteção de dados dos titulares e, dessa forma, além de deixar registrada a sua boa-fé, no sentido de estar buscando a conformidade e implementando novas culturas e novos processos em suas atividades, esta conduta pode ser vista pela Autoridade Nacional de Proteção de Dados como uma boa prática que a empresa está adotando, podendo, inclusive, em caso de incidente de segurança envolvendo esta empresa, ser levada em consideração no momento da aplicação das sanções, conforme dispõe o Art. 52, § 1º, II, VIII, e IX.

“Art. 52, § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

II – a boa-fé do infrator;

VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX – a adoção de política de boas práticas e governança”.

Além do mais, adotar essa postura transparente e comprometida com privacidade e proteção de dados dos titulares, faz com que a empresa tenha um diferencial competitivo em relação às empresas que ainda não adotaram essa conduta positiva e, por isso, muitas empresas já estão se movimentando nesse sentido e essa é a razão de termos visto tantas publicações como a do post anterior, onde as empresas informam os procedimentos que já estão adotando em relação ao atendimento às disposições da LGPD.

Mas lembre-se, só publicar essas ações nos canais de comunicação também não é suficiente.

Você precisa ter uma Manual de Políticas Internas que reflita o que de fato a sua empresa está fazendo em relação ao tratamento de dados pessoais e ao cumprimento da lei.

Mas não é só isso!

Você precisará ter um Código de Conduta bem elaborado, cujas disposições sejam cumpridas pelos colaboradores que manipulam dados pessoais.

E mais..

Você também precisa deixar pronto o seu Relatório de Impacto à Proteção de Dados para uma eventual requisição da Autoridade Nacional de Proteção de Dados.

Quer aprender tudo isso?

Então te inscreve aqui: https://www.implementandoalgpd.com.br/cadastro/

Write A Comment