- Não preciso me adequar à LGPD, porque essa lei não pegou e não são aplicadas sanções.
Mito. Infelizmente, muitas empresas ainda acreditam nesse mito. Em contrapartida, as ações judiciais envolvendo proteção de dados vem crescendo cada dia mais, inclusive, segundo pesquisa comparativa do ano de 2022 para 2023, o número de decisões sobre o tema passou de 665 para 1.206. Além disso, temos as sanções estabelecidas pela LGPD, que são rigorosas e podem trazer impacto reputacional e financeiro.
- Minha empresa é B2B e a legislação de dados não se aplica ao meu modelo de negócio.
Mito. Ainda que se trate de um modelo de negócio B2B, isto é, de empresa para empresa, a proteção de dados abrange todas as pessoas físicas que terão dados utilizados pela sua empresa, sejam elas colaboradores, parceiros comerciais, fornecedores e prestadores de serviços. Portanto, seu modelo de negócio não está excluído do dever de transparência com os titulares e proteção de dados.
- A minha empresa já está adequada à LGPD, porque já possuo Política de Privacidade no website.
Mito. Muitas empresas acreditam que estar em compliance com proteção de dados é sinônimo de somente ter uma Política de Privacidade disposta no website da empresa. Entretanto, isso não basta, a governança em dados é muito além de um único documento na plataforma da empresa, trata-se de mapeamento de processos, implementação de diversos documentos e aculturamento interno.
- Minha empresa não precisa de um Encarregado de Dados e qualquer um desempenha essa função.
Mito. O Encarregado de Proteção de Dados é uma figura obrigatória, responsável por manter a conformidade da empresa com a LGPD, o que envolve o atendimento de comunicações com titulares e ANPD, orientar colaboradores e prestadores sobre as práticas de proteção de dados adotadas pela empresa e outras atividades cabíveis. Percebe-se que, não será qualquer profissional que possuirá todas essas qualificações para desempenhar a função. Ainda, caso a empresa opte por não nomear um Encarregado, a empresa sujeita-se às multas de até 50 milhões da LGPD, sem contar as condenações judiciais, que já ocorrem por este assunto.
- Incidentes de segurança envolvendo dados pessoais podem ocorrer tanto em empresa de grande porte quanto de pequeno porte.
Verdade. Os incidentes de segurança não ocorrem somente em empresas de grande porte, as empresas de pequeno porte inclusive estão mais suscetíveis. O Incidente é uma violação de segurança que pode levar à destruição, perda, alteração, divulgação ou ao uso ou acesso não autorizado de dados pessoais tratados pela empresa. A título exemplificado, caso dados de saúde de um colaborador sejam vazados internamente na empresa, ou ainda, externamente para terceiro não autorizado, dizemos que houve ocorrência de um incidente envolvendo dados pessoais sensíveis. Por isso a importância de aculturamento interno e Política própria quanto à gestão de incidente.
- Na ocorrência de incidentes de segurança da informação cabe ao Encarregado comunicar à ANPD e ao próprio titular.
Verdade. Caso ocorra um incidente de segurança na empresa, com eventual violação de dados de titulares, cabe ao Encarregado comunicar à ANPD e ao titular de dados dentro dos prazos indicados pela Autoridade. Inclusive, este ano a ANPD aprovou o Regulamento de Comunicação de Incidente de Segurança (RCIS), que tem com um dos principais objetivos assegurar a responsabilização e prestação de conta, garantindo transparência ao tratamento de dados pessoais.
- Empresas que já possuem um programa de governança em LGPD estruturado, ao firmarem contratos com outros prestadores, devem exigir que estes assumam obrigações relacionadas à proteção de dados.
Verdade. Isso é muito comum. Entretanto, ao assinarem contratos, muitas empresas assumem obrigações relativas à proteção de dados que não são capazes de cumprir sem estar em compliance com as normas de privacidade. Isso pode trazer sérias implicações no futuro, que inclusive podem ensejar eventual rescisão contratual ou outras responsabilidades judiciais. Para além disso, muitas empresas no mercado estabelecem como critério de contratação a outra parte estar devidamente adequada.
Conclusão
A conscientização é algo essencial para cada vez mais estarmos todos na mesma página ao falarmos sobre governa em LGPD. Por isso a necessidade de desmitificar conceitos que são tidos como verdade por muitas empresas.
Assim, é necessário compreender que, a conformidade com a legislação de dados é algo contínuo e a longo prazo. As empresas necessitam dar continuidade aos treinamentos, atendimentos de titulares e ANDP, manter o registro de operações atualizado, verificar os contratos com ampla ciência das obrigações assumidas envolvendo dados pessoais, em outras palavras, ter nomeado um Encarregado que tenha com as devidas competências que envolvem a função, evitando, assim, ações judiciais, riscos reputacionais e penalidades.
Laura Nanini Batista
Advogada Direito Digital