Connect@ADP

Partnering with a more human resource

LGPD: Sua empresa está preparada?

Publicado Por: ADP LATAM on 27 junho 2019 in Webinar

No último dia 26 de junho, a ADP realizou webinar gratuito com o tema “”LGPD: Sua empresa está preparada?”.

O objetivo foi trazer conhecimento sobre a Lei Geral de Proteção de Dados, que entra em vigor no Brasil em 16 de agosto do ano que vem, após mais de oito anos de debates.

Embora falte mais de um ano para a adequação obrigatória, a legislação vai requerer uma mudança na forma como as companhias armazenam dados e interagem com o consumidor. Por isso, o quanto antes se prepararem, melhor para todos.

Confira abaixo os principais detalhes do webinar, trazidos por Marcel Leonardi, especialista em Proteção de Dados e consultor na Pinheiro Neto Advogados, e pelos especialistas da ADP: Adelita Campos, advogada da companhia, e Ricardo Tonetto, Information Security Officer da empresa. O debate foi mediado pela diretora jurídica da ADP, Amanda Lee.

O webinar completo está disponível no YouTube da ADP Brasil: https://www.youtube.com/watch?v=JWZhgf4GNgY.

 

Amanda Lee – O que é a LGPD?

Marcel Leonardi – A Lei Geral de Proteção de Dados é uma legislação nova no direito brasileiro e representa uma mudança bem forte para o setor privado, pois regula o tratamento de dados pessoais, ou seja, toda atividade que as empresas podem (ou não) fazer com relação aos dados. Não é à toa que a Lei entra em vigor em agosto de 2020, pois é um prazo para todos se adequarem.

 

AL – O que levou o governo brasileiro a aprovar a LGDP?

Adelita Campos – Existe um grande debate, desde 2010, mas eu penso que o ponto crucial para a aprovação da LGPD foi a aprovação da GDPR, em maio de 2018. A GDPR é a regulamentação de privacidade de dados da União Europeia e abrange também o Brasil, quando o País faz o tratamento de dados de residentes da UE – pessoas jurídicas ou físicas – quanto às atividades econômicas deles. Então, muitas empresas já tiveram de se adequar a essa realidade.

 

AL – Quais os principais pontos da Lei Geral de Proteção de Dados?

Marcel Leonardi – O primeiro grande ponto é entender que o conceito de dado pessoal é tanto a informação de identificação – como RG, CPF, endereço – quanto os dados que, potencialmente, podem identificar uma pessoa, como localização geográfica, hábitos de consumo, perfil. Tratamento é outro termo igualmente amplo, pois é toda a atividade que a empresa– ou terceiros – pode fazer com dados pessoais, da coleta ao descarte, incluindo o armazenamento. A grande mudança é que a LGPD cria bases legais de tratamento. Em outras palavras, significa que a Lei estabelece hipóteses específicas sobre como a empresa pode (ou não) tratar os dados pessoais. Então, os principais desafios, são:

  1. Entender a abrangência da Lei;
  2. Compreender que a LGPD se aplica a todo tipo de atividade econômica, sem exceção;
  3. Enquadrar as bases legais conforme a finalidade do tratamento.

 

AL – O que você recomenda como plano de ação para adequação à Lei?

Marcel Leonardi – Tem vários caminhos. O primeiro é entender o que é feito dentro da empresa quanto aos dados pessoais. A ideia é que se faça um mapeamento para compreender os dados coletados, onde são armazenados, quem são os prestadores de serviços, qual é o ciclo de vida dos dados. Em seguida é preciso definir as bases legais: consentimento, legítimo interesse, obrigação regulatória, etc. E, por fim, entender como ficam os contratos com terceiros.

 

AL – Quais cuidados tomar na contratação de terceiros?

Marcel Leonardi – Talvez esse seja um dos pontos cruciais da nova Lei. Mesmo que uma empresa faça todos os esforços para estar adequada à Lei Geral de Proteção de Dados, eles não servirão de nada se a companhia tiver parceiros comerciais que não estejam em conformidade com a LGDP. É como importar o problema alheio para dentro de casa. Então, os contratos vão ter de ter essas garantias mútuas e exigências de conformidade com a legislação.

 

AL – Quais serão as penalidades da LGPD?

Adelita Campos – Podem variar de advertências a multas de R$ 50 milhões por infração ou paralisação total ou parcial do tratamento de dados, o que pode inviabilizar o negócio.

 

 

LGPD e o RH

 

AL – Como fica o consentimento em um processo de recrutamento e seleção, por exemplo?

Marcel Leonardi – Esse é um ponto bastante delicado, porque as empresas recebem currículos para vagas e a Lei fala muito de tratar dados pessoais atrelados a uma finalidade. Eu, por exemplo, conheço o caso de uma empresa que criou um segundo banco de currículos com os candidatos não escolhidos nas seleções para enviar ofertas publicitárias. Esse é um exemplo de distorção que a Lei quer evitar.

 

AL – Como as empresas devem se preparar para eventuais pedidos dos colaboradores para exclusão e retificação de dados, considerando que essas empresas terceirizam a Folha com uma marca como a ADP, por exemplo?

Marcel Leonardi – A lei traz uma série de novos direitos para os titulares dos dados, que são as pessoas físicas. O que a Lei fala em relação a isso abrange acesso à informação, retificações dos dados, pedidos de exclusão de dados que não têm mais finalidade ou propósito legítimo que justifique a retenção. Por isso, é necessária a criação de políticas próprias pelo empregador. O que eu vejo é a ADP ajudando os clientes a conhecerem as nuances para a tomada de decisão.

 

AL- Por quanto tempo armazenar os dados dos funcionários?

Adelita Campos – Acredito que a ANPD vai informar sobre isso mas, até então, as empresas devem guardar os dados pelo prazo prescricional. Pelo FGTS, por exemplo, são 30 anos.

 

 

 

Incidentes de segurança

 

AL – O que fazer em caso de incidente de segurança?

Ricardo Tonetto – É fundamental que as empresas tenham um processo de resposta a incidentes bem maduro, documentado e aprovado pela direção da companhia, além de papeis e responsabilidades bem definidos, uma matriz de escalação de comunicação executiva e o treinamento de todas as áreas envolvidas. O ciclo de vida da gestão do incidente continua mantido em detecção, prévia (análise), contenção (remediação) e plano de ação (medidas para evitar reincidências). A novidade é a notificação do incidente à autoridade reguladora.

 

AL – Se a empresa é pequena, como adotar as melhores práticas de segurança para adequação à LGPD?

Ricardo Tonetto – No universo da segurança da informação, a Lei fala sobre o que é preciso fazer, mas não como fazer. As boas práticas de segurança continuam sendo aquelas que sempre foram necessárias, tais como: criptografia de dados, controle de acesso, autenticação, camadas de segurança física e lógica, resiliência de negócio, gestão de fraudes e incidentes. O que eu recomento é que seja feita uma análise de risco quanto a processos de negócios, tecnologias, ciclo de vida dos dados, para que possa ser definido qual será o modelo de governança, com a nomeação de um responsável. Ou seja, há várias formas de se adequar. Só existe uma que eu não recomendo, que é não fazer nada ou deixar tudo para a última hora.

 

TAGS: adp LGPD Webinar

Publique uma resposta

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *