O trabalho fiscalizatório da ANPD começou: o que as recentes decisões da Autarquia nos demonstram?
A conformidade com a Lei Geral de Proteção de Dados (LGPD) torna-se cada dia mais um desafio crucial para as organizações, exigindo adaptação constante. Não se pode mais dizer que a Lei 13.709/18 é uma novidade em nosso ordenamento, visto que quase 4 anos já se passaram desde o início de seu efetivo vigor. Neste período, a agenda regulatória da Autoridade Nacional de Proteção de Dados (ANPD), avançou consideravelmente para detalhar alguns aspectos da Lei; igualmente, seu trabalho fiscalizatório, hoje se apresenta de forma mais concreta. Assim, é imprescindível avaliarmos de que forma as recentes decisões desta Entidade podem nortear a adequação das empresas.
Ao analisarmos a aplicação das possíveis sanções administrativas previstas na LGPD e as diretrizes nela dispostas, observamos certa recorrência das questões apontadas nas recentes decisões sancionatórias da ANPD que possuem como foco a privacidade e proteção de dados enquanto prioridade de governança e analisa o cumprimento de algumas das obrigações legais expressas na Lei.
Um projeto para conformidade à LGPD deve ser adequadamente conduzido, buscando a maior efetividade na evolução da maturidade empresarial. Para tanto, deve ser identificado quais soluções devem ser adotadas e implementadas prioritariamente. Aqui, é fundamental a participação ativa de todas as áreas de negócio, vez que estas deverão, ao mesmo tempo, compreender as disposições da lei e incorporar uma cultura positiva, com foco em uma rotina de prevenção, pautada por processos e operações de tratamento de dados bem estruturados e aplicados às suas atividades diárias.
As empresas devem, portanto, incorporar à sua rotina o denominado ‘tratamento sustentável de dados’, através da adoção de algumas ações como: i) proceder à elaboração de mapeamento das operações internas que utilizam dados pessoais, mantendo registro destas; ii) emitir relatórios de impacto à proteção de dados – RIPDs/DPIA para seus processos de maior risco que agreguem potencial de dano aos titulares de dados; iii) atentar-se ao princípio da transparência com a publicização de suas atividades de tratamento, como a inserção de políticas de privacidade e cookies em seus portais online; iv) nomear um Encarregado pelo tratamento de dados (DPO), dentre outras.
As ações acima elencadas levam em consideração as primeiras decisões emitidas pela ANPD, sobretudo acerca das exigências legais previstas na LGPD, que segundo entendimento da Autarquia, não foram devidamente atendidas pelas entidades fiscalizadas e sancionadas, cujos descumprimentos foram: a) não elaboração e manutenção de um ROPA atualizado(Art. 37, LGPD); b) não elaboração de RIPD após solicitação da ANPD (Art.38, LGPD); c) violação grave de não apresentar o plano de gestão de incidentes, no prazo estabelecido pela ANPD; d) não implementação de controles de segurança para proteger a confidencialidade dos dados pessoais; e) não apresentar a devida nomeação do DPO Encarregado de dados.
Em suma, observa-se que a atuação da ANPD em face das sanções aplicadas reforça a necessidade premente das empresas avaliarem a contratação de especialistas da área jurídica, capacitados tanto para proceder à adequação dos processos acimas descritos, atuarem na elaboração das Políticas internas e externas de Privacidade e Proteção de Dados, e promover treinamentos e workshops adequados junto aos seus colaboradores, detalhando e exemplificando qual a melhor forma de fazer cumprir a LGPD. Tratando-se de trabalho multidisciplinar, a atuação de assessoria que contemple a área de tecnologia e segurança da informação se faz essencial para que seja possível a revisão técnica de todos os processos de TI e estruturas de rede.
Autora: Adriana Milla
Baixe a cartilha gratuita sobre LGPD
Nossos especialistas prepararam um material completo e gratuito com os fundamentos da lei. Clique e confira!
Fale conosco para saber mais
CONFIRA
OUTROS POSTS