Notícias

  1. Home
  2. Notícias
Descritivo...
1jul
2021

Requisitos obrigatórios da LGPD

De acordo com a Lei 13709/18

A Lei Geral de Proteção de Dados está vigente desde agosto de 2020. E todas as empresas terão que se adequar à LGPD, protegendo os direitos dos titulares de dados, sejam eles clientes, funcionários, contratados ou fornecedores. O mercado terá seus olhos voltados para os vazamentos e multas aplicadas nas empresas que não se adequarem e permitirem vazamentos de dados.

Investidores estão sendo cada dia mais criteriosos no que tange a segurança da informação e LGPD. Eles estão exigindo que empresas tenham boas práticas relativas à segurança da informação ISO27001, referência à Norma 27701 e recomendação para seguir na implementação da LGPD para que o investimento possa ser liberado sob um risco controlado.

Quando coletamos os dados pessoais de alguém que visita o nosso Parque de Diversões, o nosso Resort, a nossa pousada ou o nosso espaço comercial, devemos nos atentar para alguns pormenores que são requisitos da Lei Geral de Proteção de Dados.

Os riscos existentes são bastante variados e extensos. A perda de dados pode surgir de várias formas diferentes, como uma falha no sistema que exclui arquivos que não possuem uma cópia segura, o roubo de uma senha ou até o próprio computador, um acesso não autorizado até um vazamento desses dados pessoais. Tudo isso pode resultar no roubo de informações confidenciais da empresa e de seus clientes ou visitantes.

E AGORA?
Qual o tamanho desse problema?

É necessário fazer uma avaliação de impacto na privacidade de dados. No local do armazenamento onde esses dados pessoais estão armazenados, se a documentação possui dados de categorias especiais sobre indivíduos vivos, ou seja, os chamados "dados sensíveis".

É necessário avaliar também qual é o risco para a privacidade dos dados se um arquivo for compartilhado (indevidamente) perdido, extraviado ou vazado.

Vejamos as etapas e alguns dos requisitos que precisam ser atendidos:

 • Elaboração de uma Política de Privacidade e Segurança de Dados Pessoais.

 • Elaboração de uma Política de Cookies e Privacidade.

•  Adequação do site da empresa conforme diretrizes e obrigações da Lei 13.709/18, informação e transparência para com os titulares de dados é fundamental e obrigatório.

• Criação e disponibilização de canal de comunicação exclusivo para os titulares de dados pessoais.

• Elaboração de uma Política de Segurança de Informação (PSI).

 • As capacitações são obrigatórias a todos os colaboradores da empresa, pois é necessário entenderem a LGPD dentro do seu contexto laboral e atividades de coleta de dados pessoais no seu dia a dia.

 • Mapeamento de dados, outro item extremamente importante e obrigatório na etapa de adequação de uma empresa.

 • Elaboração de um RIPD, Relatório de Impacto à Proteção de Dados.

 • Adequação de documentos, internos (RH e demais) e externos, fichas de inscrição, fichas de coleta de dados, etc.

 • Manual de Gestão de Consentimentos, controle e informações.

 • Gestão de Incidentes

 • Gestão de Terceiros, que são os riscos externos da empresa, aqueles com quem são compartilhados os dados pessoais.

 • Privacy by design

 • Privacy by Default

 • Análise da Infra de TI existente


Devo dizer que todas as etapas e necessidades acima explicitadas deverão ser feitas por um ENCARREGADO ou DPO (sigla inglesa para Data Protection Officer).
A função deste profissional está descrita no Artigo 41º da Lei 13.709/18, sendo inclusive responsável solidariamente com a empresa CONTROLADORA em danos causados a terceiros, por conta de uma Adequação inadequada ou mal elaborada.

Podemos dizer que temos aqui uma Lei (Lei 13.709/18) PUNITIVISTA não apenas para o CONTROLADOR (empresa que detém os dados pessoais), mas também para os OPERADORES e ENCARREGADO de dados pessoais.

PROBLEMAS DA NÃO ADEQUAÇÃO
Ou adequação de forma incorreta

ATENÇÃO, porque no tocante à responsabilidade criminal dos sócios da empresa controladora ou operadora dos dados, essa deverá ser analisada pelo risco criado por eles contra o bem jurídico tutelado. Além dos critérios da dogmática clássica - ação, nexo de causalidade e resultado - neste caso, é fundamental a utilização de critérios normativos, em especial os da imputação objetiva.

O âmbito de estudo da Teoria da Imputação Objetiva é o paradigma do risco, onde o Direito Penal deveria atuar como escudo protetor anteriormente da ocorrência da lesão. A Teoria da Imputação Objetiva proposta pelo jurista alemão Günther Jakobs orbita em torno do conceito de papel social dos membros de uma sociedade. Haverá, portanto, a criação ou implementação do risco quando se viola o dever de cuidado, de garantir, ou melhor, a obrigação de evitar que se crie o risco sobre a coisa em sua responsabilidade.

A LGPD não aceita apenas um Compliance meramente cosmético, mas exige uma análise pormenorizada dos elementos estruturais, os riscos e o entorno específico de cada empresa. A própria cultura organizacional da empresa precisará passar por mudanças significativas.

Dentro dos conceitos da Teoria da Imputação Objetiva mencionados anteriormente, podemos perceber que os riscos criados pela atividade de tratamento de dados do controlador ou do operador deverão ser efetivamente mitigados pela aplicação dos princípios e exigências legais da LGPD, sob pena de ser possível a imputação penal do sócio ou administrador negligente.

Soma-se a isso a ausência de responsabilidade penal da pessoa jurídica no Brasil, o que move a responsabilidade de vigilância dos dados diretamente para os sócios e administradores da empresa.

Como se não bastasse, temos visto na prática a aplicação banalizada da Teoria do Domínio do Fato de Claus Roxin para responsabilização de dirigentes de empresas, fato que, aliado à maior dificuldade de identificação de hackers do que dos sócios e administradores, poderá deslocar a atenção das autoridades para estes.

Neste cenário, não é difícil imaginar a situação em que um administrador é criminalmente responsabilizado por fraudes cometidas a partir de dados pessoais vazados de sua posse.

O CENÁRIO POSITIVO
Ou revertendo o Investimento em MKT

A PANDEMIA está chegando ao final (assim todos esperamos), e nós, titulares dos nossos dados e pessoas físicas, estamos ansiosos por “aglomerações”, visitas, diversão, passeios e momentos de lazer.

O cenário futuro nos parece promissor para o Turismo, Eventos, Lazer, Diversões e demais áreas de atividade tão reprimidas por conta deste momento. Tal investimento em adequação de LGPD neste momento, OBRIGATÓRIO por lei, nos leva a poder coletar dados pessoais e utilizar de forma correta essas informações pessoais para MULTIPLICAR LEDS e demais informações comerciais, que potencializam nossos negócios.

Utilize, logo após iniciar a sua adequação, um belíssimo plano de marketing, demonstre aos seus clientes que os dados pessoais coletados cumprem as etapas e demais regulamentos impostos pela LGPD. (MARKETING POSITIVO)

DESCOMPLICANDO, para todas estas necessidades e obrigações existe a figura do DPO ou ENCARREGADO, ele está definido no Artigo 41 da Lei 13.709/18, a Lei Geral de Proteção de Dados, e vai poder lhe ajudar. Procure uma Consultoria especializada que de forma prática e segura lhe mostre o caminho a percorrer e os custos corretos que implica na adequação.

Lembrando que uma forma “menos correta ou desadequada” no seu trabalho de adequação à LGPD, obriga que se refaça todos os procedimentos, uma vez que irá apresentar as mesmas vulnerabilidades iniciais.

Poderá obter de forma assertiva um diagnóstico gratuito por meio do link abaixo identificado.
https://forms.gle/5yha2nedX1FhzKnDA


Sobre o autor
Dr. Eduardo Oliveira
Professor Universitário, DPO, Auditor e Consultor em LGPD
Contato: Eduardo.diretoria@agenciadeinteligencia.org
LinkedIn: https://www.linkedin.com/in/eduardo-oliveira-85607152