Lei Geral de Proteção de Dados Pessoais

Vanessa Butalla, diretora jurídica da Serasa Experian, dialoga sobre a Lei 13.709 que entrará em vigor em 2020

  • 03/05/2019
  • IBGC
  • Bate-papo
backgroundImageAlt1

Vanessa Butalla, diretora jurídica da Serasa Experian

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709, sancionada em agosto de 2018, entrará em vigor em fevereiro de 2020. Até lá, as empresas precisam se estruturar para estabelecer uma governança de dados pessoais – com mapeamento do fluxo que a informação percorre dentro da companhia, sua utilização e controle do período em que pode ser usada. O plano de gerenciamento de dados deve estabelecer regras de boas práticas, normas de segurança e mitigação de riscos no uso e no tratamento das informações. No caso de utilização inadequada, violação da privacidade ou vazamentos, a lei estabelece multa que vai até 2% do faturamento anual da companhia, limitada a R$ 50 milhões por infração. "Devido às penalidades impostas pela LGPD, o gerenciamento de dados pessoais é um importante fator de risco para as companhias. Os conselhos de administração precisam cobrar da diretoria uma correta adequação à legislação e orientá-la para seu cumprimento", diz Vanessa Butalla, diretora jurídica da Serasa Experian. Ela participa, na próxima sexta-feira (10), do Fórum de Debates sobre a Lei Geral de Proteção de Dados e os desafios do CDO (chief data officer), que será realizado na sede do IBGC, em São Paulo. Vanessa explica os principais pontos da lei e os impactos nas empresas.

O que é a Lei Geral de Proteção de Dados (LGPD)?

A lei apresenta as bases para o tratamento responsável e cuidadoso de dados pessoais pelas empresas. A lei abrange todas as atividades que podem ser realizadas com dados pessoais, da geração ou coleta, até a sua eliminação, passando pelos processos de tratamento, classificação, processamento e armazenamento. A LGPD reflete as boas práticas de mercado e os princípios que regem o assunto em um único dispositivo legal.

O que prevê e quais as penalidades estabelecidas na LGPD?

A lei tem três pilares. O primeiro estabelece as dez hipóteses pelas quais o tratamento de dados pode ser realizado. O segundo pilar estabelece as regras para autorização do tratamento de dados, com um capítulo específico sobre a permissão do tratamento de dados pessoais sensíveis [origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou vida sexual, genético ou biométrico]. O terceiro pilar trata dos direitos dos titulares dos dados. A lei assegura que toda pessoa natural é titular de seus dados pessoais e garante os direitos de liberdade, intimidade e de privacidade. A LGPD estabelece que as empresas são responsáveis pela proteção dos dados pessoais, garantindo a segurança da informação contra acessos não autorizados e tratamento inadequado. No caso de descumprimento das normas previstas na lei, as penalidades vão desde advertência até a eliminação de dados que foram objeto de infração. A lei também estabelece multas, que é um dos principais pontos discutidos pelo mercado. Ela vai até 2% do faturamento anual da companhia, limitada a R$ 50 milhões por infração. Ainda não há parâmetros para aplicação das multas e penalidades administrativas. A lei permite que a Autoridade Nacional de Proteção de Dados (ANPD) estabeleça as regras de punição de acordo com da complexidade do tratamento de dados pessoais. Somente após a criação do órgão fiscalizador e a promoção de consultas públicas serão definidos os critérios para aplicação das penalidades previstas na lei. Ainda é preciso entender diferenças nas operações para se estabelecer regras específicas para cada caso.

A utilização de dados pessoais precisa da autorização dos seus titulares?

A necessidade de autorização para qualquer tratamento de dado é o principal mito em torno desta lei. Esta percepção surgiu porque as primeiras versões do projeto de lei eram centradas na autorização do titular da informação. Porém, o texto evoluiu muito. A lei admite outras nove hipóteses para o tratamento do dado, além do consentimento do titular. O dado pode ser utilizado, por exemplo, para cumprimento de obrigação legal, realização de estudos por órgão de pesquisa e para proteção do crédito, entre outras. Não há nenhuma hierarquia entre essas dez hipóteses. Cada empresa vai avaliar em quais hipóteses pode se enquadrar para utilização da sua base de dados pessoais. Caso não se enquadre em nenhuma das outras nove, será necessário buscar o consentimento e a autorização dos titulares.

Quais empresas serão mais impactadas pela lei?

A lei se aplica a qualquer tipo de empresa, independentemente da sua natureza jurídica, porte ou segmento. Não existe uma resposta única sobre o impacto para as empresas, pois depende da maturidade de cada uma delas.

O que seria um bom plano de gerenciamento de dados?

A política de dados requer que se crie fluxos internos para mapear o caminho que a informação segue dentro da organização, desde sua geração até a sua eliminação. É preciso entender quais áreas podem acessar essas informações, quem pode alterá-las, quais os usos permitidos dos dados e por quanto tempo eles podem permanecer na companhia. Recomendo fortemente que, além da política de governança de dados, seja definido um responsável dentro da companhia pela governança e gestão dos dados pessoais. Mais do que uma recomendação, a criação dessa figura é uma previsão legal.

Qual é o papel do conselho de administração no gerenciamento de dados pessoais?

O primeiro ponto é que o conselho precisa conhecer e entender a lei. Devido às multas impostas pela LGPD, que podem chegar a R$ 50 milhões por infração, o gerenciamento de dados pessoais é um importante fator de risco para as companhias. O conselho precisa cobrar da direção uma correta adequação à legislação e orientá-la para seu cumprimento.

O quanto a cultura organizacional pode ajudar as empresas no processo de adequação à nova lei?

É fundamental o comprometimento da alta gestão para que os demais empregados entendam a importância da proteção dos dados para a organização. Apesar de o Brasil ter mais de 30 normas que já cobriam o tema, a LGPD é a primeira lei federal específica sobre proteção de dados pessoais. Na Europa, uma lei semelhante entrou em vigor no ano passado, mas a diretiva de proteção de dados é de 1995. Existia uma cultura de mais de 20 anos na proteção de dados pessoais. No Brasil, esse tema não fazia parte do ambiente empresarial e os seus titulares não estavam acostumados a trabalhar com esse tema. Temos que formar uma cultura e disseminar as práticas para que a lei seja efetiva. Toda a companhia precisa ser treinada.

Confira as últimas notícias do Blog do IBGC

Conselho aberto e amistoso: conheça a jornada de governança da Hapvida

Conselho aberto e amistoso: conheça a jornada de governança da Hapvida

26/05/2020

Webinar analisa o recente caso da abertura de capital da operadora de planos de saúde cearense

Saiba mais
Na crise, brasileiros acreditam que o pior ainda está por vir

Na crise, brasileiros acreditam que o pior ainda está por vir

19/05/2020

Webinar traz pesquisa sobre os impactos da Covid-19 nos hábitos de consumo; compras online avançam no país

Saiba mais
Feriados em SP | Programação do IBGC será mantida

Feriados em SP | Programação do IBGC será mantida

19/05/2020

Cursos, eventos, reuniões de comissões e atividades nos capítulos acontecerão normalmente nos dias 20, 21 e 22 de maio

Saiba mais
Dinâmica da governança deve fluir com a cultura da organização

Dinâmica da governança deve fluir com a cultura da organização

18/05/2020

Especialistas detalham responsabilidades da secretaria de governança e traçam perspectivas para a função

Saiba mais
Remuneração de conselheiros cresce 27% em 2019

Remuneração de conselheiros cresce 27% em 2019

15/05/2020

Destaque no Portal do Conhecimento em maio, nova edição do Spencer Stuart Board Index Brasil mostra práticas de governança de 186 empresas

Saiba mais
A governança como conhecemos e um novo chamado para a inovação

A governança como conhecemos e um novo chamado para a inovação

15/05/2020

Artigo detalha aspectos históricos da governança e novas abordagens de desenvolvimento

Saiba mais