6 formas de amenizar as sanções da Lgpd

A Lei Geral de Proteção de Dados (Lei nº. 13.709/2018) está em vigor desde setembro de 2020 e a partir deste mês – agosto de 2021 – as punições previstas no artigo 52 poderão  ser aplicadas. Essas sanções vão desde uma simples advertência até à necessidade de tornar públicos os eventos de violação da legislação. Estas infrações  causam danos reputacionais muitas vezes irreversíveis, e, inclusive, a aplicação de multas que podem atingir 2% do faturamento do último exercício financeiro a PJ, do grupo econômico ou conglomerado no Brasil.

Essas sanções ficaram suspensas por quase um ano para que as empresas tivessem tempo de se adequarem às necessidades da legislação. Acontece que muitas empresas ainda não realizaram medidas mínimas para garantir a conformidade com essa – não tão nova – legislação e as sanções previstas na lei já começam a bater na porta.

Incidentes de segurança ou de violação de dados pessoais podem acontecer com qualquer empresa, desde as mais preparadas até as menos preparadas. O que diferencia os incidentes acontecidos entre cada uma delas e, especialmente, as consequências decorrentes, é o nível de preparo para lidar com as consequências diretas e, também, a intensidade da punição que poderá ser aplicada pela Autoridade Nacional de Proteção de Dados. 

A legislação é clara ao estabelecer que toda punição, antes de ser aplicada, deve seguir alguns procedimentos específicos. Os agentes de tratamento devem passar por processos administrativos ou judiciais que garantam a oportunidade de defesa e as punições devem ser aplicadas, analisando uma série de critérios específicos. Alguns desses critérios não podem ser controlados pelos empreendedores, mas outros sim e, inclusive, podem ajudar a amenizar eventuais punições. 

Este artigo serve, portanto, para que você saiba o que está ao seu alcance para fazer antes e/ou depois de incidentes envolvendo dados pessoais, com o objetivo de amenizar as sanções aplicadas pela Autoridade à sua organização, minimizando, também, os riscos aos titulares de dados pessoais.

O QUE PODE SER FEITO ANTES DE EVENTUAIS INCIDENTES

  • 1. Estabelecer mecanismos para garantir os direitos dos titulares: evitar atividades que, de alguma forma, tenham o potencial de causar algum tipo de prejuízo aos direitos e liberdades das pessoas com as quais a sua empresa interage. Isso envolve, por exemplo, não coletar dados de saúde, de opinião política ou até mesmo de religiosa para criação de perfis comportamentais para direcionamento de marketing.

Além disso, é importante estabelecer mecanismos que permitam que as pessoas que têm suas informações coletadas e utilizadas para finalidades específicas possam acessar esses dados e exercer os demais direitos previstos na LGPD.

  • 2. Adotar mecanismos e procedimentos de minimização de danos: adotar medidas técnicas, tecnológicas e, também organizacionais, para garantir que o tratamento de dados aconteça da forma mais segura e adequada possível – estabelecer mecanismos de segurança da informação, adotar perfis com permissão de acesso a informações de acordo com a necessidade, guardar documentos importantes em locais seguros, com chaves e outras formas de garantia de segurança.
  • 3. Política de boas práticas e governança: implementar Programas de Governança em Privacidade e Proteção de Dados Pessoais (PGPD), com a criação de estruturas vivas, desenvolvimento de políticas de privacidade, treinamento de colaboradores, definição de fluxos de recebimento de demandas de titulares e de agentes fiscalizadores e, de modo geral, criar uma cultura forte voltada à garantia da privacidade e proteção de dados pessoais.

O QUE PODE SER FEITO DEPOIS DE UM INCIDENTE ENVOLVENDO DADOS PESSOAIS 

  • 1. Cooperação e boa fé do infrator: tanto com a autoridade nacional de proteção de dados no momento das investigações e procedimentos de análise do incidente ocorrido, quanto com os próprios titulares de dados pessoais, em quesitos relacionados à transparência e auxílio à mitigação de danos aos direitos e liberdades civis. É importante se colocar à disposição e demonstrar verdadeira preocupação na resolução dos problemas.
  • 2. Pronta adoção de medidas: medidas técnicas e organizacionais para evitar que o incidente cause maiores danos do que os já mapeados e, inclusive, sempre que possível, medidas que visem reverter os danos decorrentes do problema ocorrido.
  • 3. Evitar reincidência: após ocorrido algum incidente, adotar estratégias para tentar entender onde houve o erro ou a vulnerabilidade que causou o incidente e desenvolver planos de ação para que novos erros, similares ao ocorrido, não voltem a acontecer na organização.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Veja mais insights do slap.LAW