Em 1º de agosto de 2021, o artigo 52 da LGPD, referente às sanções administrativas previstas para aplicação pela Autoridade Nacional de Proteção de Dados (ANPD), entrou em vigor. Desde então, organizações que tratam dados pessoais podem ser acionadas pelo regulador para:
- prestar esclarecimentos sobre suas práticas de privacidade e;
- responder a procedimento administrativo pela violação dos artigos da LGPD.
As sanções previstas pela LGPD incluem desde advertências até multas de R$ 50 milhões, que somente podem ser aplicadas pela ANPD. A aplicação destas sanções não substitui a aplicação de sanções administrativas, civis ou penais definidas no Código de Defesa do Consumidor e em outras regulações setoriais existentes (dos setores de saúde e bancário, por exemplo).
Fizemos o necessário para o atendimento à Lei?
Um avanço importante para o país, a LGPD traz disciplina no tratamento de dados pessoais em um mundo cada vez mais digital e estabelece novas fronteiras para que empresas, governo e sociedade avancem na inovação digital com transparência, confiança e respeito ao titular dos dados.
A adequação à LGPD é fruto de uma jornada multidisciplinar. Para as organizações que já estabeleceram a jornada de adequação, é hora de se diferenciar no mercado, avançando com inovações digitais com segurança, criando transparência e resiliência empresarial no tratamento de dados pessoais e construindo confiança na relação com clientes, fornecedores e a sociedade.
É hora de criar o escritório de privacidade (DPO - Data Protection Office) e aprimorar processos e tecnologia em busca da eficiência operacional - no âmbito da arquitetura de dados, nos processos e tecnologia para atendimento às petições dos titulares, na gestão de fornecedores e terceiros, na prevenção a perda de dados, na criptografia, na anonimização e na política de resposta a incidentes de privacidade.
Como serão a fiscalização e a aplicação de sanções?
A ANPD iniciou uma consulta pública sobre o processo de fiscalização que contempla metodologias que orientarão o cálculo do valor-base das sanções por multas. A minuta de Regulamento de Fiscalização e Aplicação de Sanções Administrativas está em análise e deve ser submetida ao Conselho Diretor da ANPD para deliberação final. Uma vez aprovado o Regulamento, a ANPD dará início à sua função sancionadora.
Minha organização sofreu um incidente. O que devemos fazer?
Pela LGDP, as organizações têm a obrigação de comunicar à ANPD incidentes de segurança que causem risco ou danos relevantes aos titulares de dados pessoais. O prazo estipulado para esta comunicação é de 2 dias úteis, contados da data do conhecimento do incidente, e ela deve ser feita por meio de formulário específico disponibilizado pela ANPD. A ausência ou o atraso desta comunicação podem ser interpretadas pela ANPD como não atendimento à legislação vigente. O comunicado do incidente deve conter, no mínimo:
- a descrição da natureza dos dados pessoais afetados;
- as informações sobre os titulares envolvidos;
- a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- os riscos relacionados ao incidente;
- os motivos da demora, no caso de a comunicação não ter sido imediata, e;
- as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Além da comunicação, organizações têm sido chamadas a prestar esclarecimentos à ANPD, direta ou indiretamente, em casos de vazamentos de dados pessoais ou de violações de segurança da informação. Isso significa que as organizações precisam estar preparadas para prestar esclarecimentos a respeito da composição (processos, pessoas e tecnologia) da estrutura de privacidade, das medidas de controle e segurança de proteção de dados e dos fundamentos jurídicos
das bases legais.
O que vem pela frente?
- Os programas de regulamentação de privacidade devem gravitar em torno dos modelos europeu, americano ou chinês
- Não se trata de cookies: o marketing e a privacidade
- Privacidade e as novas tecnologias
- Alianças e parcerias para controlar rede de dados
- Sofisticação dos reguladores para garantir o enforcement da legislação
Os programas de regulamentação de privacidade devem gravitar em torno dos modelos europeu, americano ou chinês
As legislações de privacidade pelo mundo se baseiam em torno de um de três modelos, dependendo da cultura nacional predominante. O modelo europeu reforça os direitos dos indivíduos; a abordagem americana é construída em torno da proteção dos consumidores contra danos específicos; e o modelo da China concentra-se em controles bem definidos. Nos próximos anos, os países continuarão a aprovar novas regulamentações de privacidade baseadas em um desses modelos.
As organizações multinacionais devem definir programas de privacidade que atendam aos requisitos de uso e tratamento de dados pessoais desses três polos, o que influenciará suas estratégias para a adoção de arquiteturas de nuvem, a consolidação de data centers e a otimização da cadeia de suprimentos entre países.
Não se trata de cookies: o marketing e a privacidade
Novos tempos, novos desafios. Durante anos, ações de marketing se apoiavam em dados de consumidores coletados por terceiros (na Internet ou com anúncios). Agora, as principais ferramentas para obtenção de dados estão prestes a desaparecer ou mudar significativamente em virtude das legislações de privacidade.
É possível adquirir dados respeitando a privacidade? O sucesso do novo modelo de marketing será dependente de três elementos: uma nova estratégia de dados, uma nova abordagem para gerar confiança e um novo olhar para o valor e o uso de tecnologias digitais inovadoras.
Privacidade e as novas tecnologias
O paradoxo da privacidade é a lacuna entre o valor que os consumidores dizem dar à privacidade e o seu comportamento. As pessoas dizem que temem riscos à sua privacidade e, ainda assim, continuam fornecendo dados pessoais ilimitados em plataformas de mídia social ou durante a navegação online.
A lacuna existe pois os consumidores não sabem quais dados estão sendo coletados e como são usados pelas empresas. Com o aumento do uso de Inteligência Artificial e de sistemas de vigilância, isso deve mudar, pois novas técnicas e alertas sobre o uso de dados pessoais estarão presentes nas operações, aumentando tanto a visibilidade dos casos em que houver não conformidades com a LGPD quanto as oportunidades de uso mais eficiente dos dados com a devida transparência perante os titulares destes. A tendência é que alguns consumidores fiquem mais atentos à proteção da privacidade, enquanto outros abracem as oportunidades e compartilhem ainda mais dados pessoais.
A adoção e investimentos antecipados em novas tecnologias e modelos de negócio pelas organizações alinhados aos novos conceitos e requerimentos de privacidade são prementes para a aceleração das estratégias digitais que viabilizam diferenciais competitivos no uso e tratamento de dados pessoais.
Alianças e parcerias para controlar rede de dados
Assumir o controle do ciclo de vida dos dados de maneira mais eficaz será fundamental na geração de confiança na sociedade, o que se refletirá em novas oportunidades. O aumento da sofisticação dos modelos de governança e gestão de dados ajudará executivos a entender melhor quanto de sua receita e produtividade depende dos dados obtidos de fontes externas e parceiros de negócio. Este cenário estimulará as empresas a adquirir ou se associar a empresas e parceiros estratégicos que detenham os melhores "ativos de informação".
Sofisticação dos reguladores para garantir o enforcement da legislação
Os reguladores têm buscado modelos, tecnologias digitais e sistemas avançados para aprimorar os processos de fiscalização, bem como a revisão de políticas e requerimentos de privacidade. A pressão sobre as empresas tende a aumentar. O escrutínio digital contínuo significa que as abordagens tradicionais de conformidade de privacidade com foco na documentação em papel e planilhas eletrônicas não atenderão aos avanços da fiscalização digital das autoridades de proteção de dados.
Reflexões
- Incidentes de privacidade poderão ser ofensores para a perenidade das empresas, dado que parceiros de negócio, clientes e sociedade estão cada vez mais sensíveis ao tema e declaram que não farão negócios ou não manterão relacionamento com empresas que não apresentarem diligência e cuidado com dados pessoais.
- Haverá o aumento da consciência dos titulares de dados em função da maior transparência promovida pelas empresas e reguladores.
- Os programas de privacidade devem ser modernizados em razão do amadurecimento das regulamentações.
- Os programas de privacidade também devem prever a robustez necessária para o atendimento das legislações de privacidade em ascensão no Brasil e em outros países.
- Estratégias, arquiteturas de dados, arquitetura de nuvem e data center devem considerar os requisitos de legislações aplicáveis.
- A adoção em ritmo acelerado de novas tecnologias será caminho crítico para o sucesso das estratégias digitais e uso transparente de dados.
- Alianças, aquisições e parcerias estratégicas devem ser construídas para obter o maior valor e benefícios do ciclo de vida de gestão e tratamento de dados - e este novo ecossistema deverá observar e garantir o alinhamento com a LGPD.
- A estratégia de dados deve se amparar em tecnologias inovadoras, oferecer valor e gerar confiança.
Contatos
.jpg.pwcimage.105.105.jpg)
Sócio e líder de Auditoria, Governança, Riscos e Compliance, PwC Brasil
Tel: 4004 8000
