RESUMO:A Lei Geral de Proteção de Dados (LGPD) estabelece normas e requisitos para o tratamento de dados pessoais por empresas e organizações no Brasil. Este artigo científico aborda os desafios e perspectivas enfrentados pelas empresas na adequação à LGPD. O estudo destaca que as empresas precisam investir em recursos e tecnologias para garantir a conformidade com a lei, o que pode ser um desafio para organizações menores ou com menor capacidade financeira. Além disso, a complexidade da lei e a necessidade de mudanças culturais e processuais podem dificultar a adequação. No entanto, a adequação à LGPD pode trazer benefícios para as empresas, como a melhoria da reputação e a conformidade com normas internacionais. O artigo conclui que a adequação à LGPD é um processo contínuo que requer investimento e comprometimento das empresas, mas que pode trazer benefícios a longo prazo.

PALAVRAS-CHAVE: Lei Geral de Proteção de Dados, LGPD, dados pessoais, empresas, conformidade, desafios, perspectivas, recursos, tecnologias, mudanças culturais, mudanças processuais, benefícios, reputação, normas internacionais.

ABSTRACT: The General Data Protection Law (LGPD) establishes norms and requirements for the treatment of personal data by companies and organizations in Brazil. This scientific article addresses the challenges and perspectives faced by companies in adapting to the LGPD. The study highlights that companies need to invest in resources and technologies to ensure compliance with the law, which can be a challenge for smaller organizations or those with less financial capacity. Additionally, the complexity of the law and the need for cultural and procedural changes can hinder adaptation. However, compliance with the LGPD can bring benefits to companies, such as improved reputation and compliance with international standards. The article concludes that compliance with the LGPD is an ongoing process that requires investment and commitment from companies but can bring long-term benefits.

KEY-WORDS: General Data Protection Law, LGPD, personal data, companies, compliance, challenges, perspectives, resources, technologies, cultural changes, procedural changes, benefits, reputation, international standards.

INTRODUÇÃO

A Lei Geral de Proteção de Dados (LGPD) foi promulgada pelo presidente Michael Temer no dia 14 de agosto de 2018, originária do PLC n. 53/2018, estabelecendo normas e requisitos para o tratamento de dados pessoais por empresas e organizações no Brasil, para assegurar o cumprimento das diretrizes que asseguram uma proteção à um direito que passou a ser reconhecido como direito fundamental, o direito a proteção de dados, sendo incluído no rol dos direito fundamentais pela proposta de Emenda à Constituição (PEC) 17/2019.

A proteção de dados pessoais se tornou um tema cada vez mais relevante dentro do cenário global, especialmente com o crescente uso da tecnologia e a coleta massiva de informações pessoais por empresas e governos. Dessa forma, a proteção de dados pessoais se tornou essencial para garantir a privacidade, a dignidade e a liberdade dos indivíduos.

A LGPD tem o objetivo de proteger esse direito fundamental, ao mesmo tempo em que incentiva a inovação e o desenvolvimento de tecnologias. No entanto, a adequação à LGPD pode ser um desafio para as empresas, que precisam investir em recursos e tecnologias para garantir a conformidade com a lei, além de se adaptar a mudanças culturais e processuais.

Estas diretrizes da LGPD são extremamente técnicas, estipulam os meios e métodos que as autoridades governamentais e jurídicas devem utilizar para uma análise concreta do tratamento correto dos dados dos usuários. Neste sentido, é possível identificar uma dificuldade inicial das partes que devem realizar o tratamento de dados conforme as diretrizes estabelecidas na LGPD, as organizações enfrentam uma grande dificuldade para se adequar à esta lei devido à demanda por uma solução que englobe não apenas os aspectos jurídicos da legislação, mas também os fatores relativos aos processos tecnológicos. Essa exigência se dá pelo fato de que a LGPD não se limita apenas à proteção de dados pessoais, mas também abrange questões relacionadas à segurança e à privacidade das informações armazenadas pelas empresas. Dessa forma, é fundamental que as organizações adotem uma abordagem multidisciplinar para garantir a conformidade com a lei e proteger os dados pessoais dos indivíduos.

Além destes fatores, os conceitos de Compliance e governança corporativa estão incluídos no processo de adequação destas empresas as normas jurídicas que estipulam a proteção de dados, sendo um fator crucial para todas as empresas que realizam algum tipo de tratamento de dado, inclusive aos órgãos públicos.

Levando em conta toda a complexidade de analisar os casos que demonstram algum tipo de violação das diretrizes contidas na LGPD, a criação da Autoridade Nacional de Proteção de Dados (ANPD), um órgão da administração pública federal brasileira responsável por zelar pela proteção dos dados pessoais e privacidade dos cidadãos, foi uma das soluções encontradas pelos parlamentares brasileiros para estabelecer uma fiscalização correta e a criação de normas reguladoras que facilitem também os processos de segurança de dados e o seu respectivo manuseio dentro das empresas e órgãos públicos.

A ANPD tem como principais atribuições a elaboração de normas e diretrizes para a proteção de dados pessoais, a fiscalização e aplicação de sanções em caso de violações à LGPD, a celebração de acordos internacionais em matéria de proteção de dados, a cooperação com órgãos públicos e privados e a promoção de estudos e pesquisas sobre privacidade e proteção de dados pessoais.

A criação da ANPD é uma importante medida para garantir a proteção dos dados pessoais dos cidadãos brasileiros e garantir a conformidade das empresas com a LGPD. Com a atuação da autoridade, espera-se que as empresas sejam mais cuidadosas com a coleta, armazenamento e compartilhamento de dados pessoais, garantindo assim a privacidade e segurança dessas informações.

Nesse contexto, a adequação à LGPD representa um desafio significativo para as empresas, que precisam não apenas se adaptar às novas normas legais, mas também implementar mudanças em seus processos e sistemas tecnológicos para garantir a proteção dos dados pessoais dos seus clientes e funcionários.

Este artigo tem como objetivo analisar os desafios e as perspectivas para a adequação das empresas à LGPD, considerando tanto os aspectos jurídicos quanto os fatores tecnológicos envolvidos nesse processo. Serão discutidos os principais desafios enfrentados pelas empresas na adaptação à nova lei, bem como as perspectivas para o futuro da proteção de dados no Brasil.

Ao final do artigo, espera-se que os leitores tenham uma compreensão mais ampla sobre os desafios e as oportunidades envolvidos na adequação das empresas à LGPD, bem como sobre a importância da proteção de dados pessoais para garantir a privacidade, a liberdade e a dignidade dos indivíduos em uma sociedade cada vez mais conectada e tecnológica.

Revisão dos principais conceitos e requisitos da LGPD

A LGPD tem como objetivo proteger a privacidade e a liberdade dos indivíduos, ao mesmo tempo em que incentiva a inovação e o desenvolvimento de tecnologias. Para alcançar esses objetivos, a lei estabelece uma série de requisitos que as empresas e organizações devem cumprir ao tratar dados pessoais, sendo que o tratamento de dados, ou seja, o manuseio dos dados dos usuários só seram admitidos nas hipóteses previstas em lei.

‘’Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.’’

Um dos principais requisitos da LGPD é a obtenção de consentimento explícito dos titulares dos dados para o tratamento de seus dados pessoais. Além disso, a lei estabelece que os titulares dos dados têm o direito de acessar seus dados pessoais, corrigi-los, excluir ou limitar o seu uso. As empresas também devem garantir a segurança e a confidencialidade dos dados pessoais, implementando medidas técnicas e organizacionais adequadas para proteger os dados de acesso não autorizado, perda ou destruição.

“Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

I - finalidade específica do tratamento;

II - forma e duração do tratamento, observados os segredos comercial e industrial;

III - identificação do controlador;

IV - informações de contato do controlador;

V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

VI - responsabilidades dos agentes que realizarão o tratamento; e

VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.”

Outro ponto importante da LGPD é a criação da figura do encarregado de dados (DPO), que é responsável por garantir o cumprimento da lei dentro da empresa e atuar como ponto de contato com os titulares dos dados e a autoridade nacional de proteção de dados (ANPD).

“Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

§ 2º As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.”

Desafios enfrentados pelas empresas na adequação à LGPD

A adequação à LGPD pode ser um grande desafio para as empresas, que precisam investir em recursos e tecnologias para garantir a conformidade com a lei, além de se adaptar a mudanças culturais e processuais. Uma das principais dificuldades enfrentadas pelas organizações é a complexidade da lei, que exige uma análise cuidadosa de como os dados pessoais são tratados dentro da empresa. Um dos aspectos dessa complexidade é a elaboração de um relatório de impacto à proteção de dados pessoais (RIPD). A análise de risco é uma etapa crucial para as empresas que buscam se adequar à LGPD, pois permite identificar quais tipos de dados pessoais estão sendo tratados e avaliar os riscos envolvidos nesse processo. Essa análise está intimamente relacionada à elaboração de uma documentação de análise de risco, que é imprescindível para tratar certos tipos de dados que possam afetar os direitos e liberdades dos titulares de dados. A documentação deve incluir informações como a natureza dos dados tratados, o propósito do tratamento, os meios utilizados para o tratamento, as medidas de segurança adotadas, entre outros aspectos relevantes para a proteção dos dados pessoais. Com base na análise de risco, as empresas podem definir as medidas de segurança necessárias para garantir a proteção dos dados pessoais e evitar possíveis violações à LGPD.

As empresas enfrentam o desafio de investir em recursos e tecnologias para assegurar a segurança e a confidencialidade dos dados pessoais, que são protegidos pela LGPD. Para atender a essas exigências, é necessário que as empresas implementem medidas técnicas e organizacionais adequadas para evitar a perda, destruição ou acesso não autorizado aos dados. Para isso, podem ser necessários investimentos em sistemas de criptografia, contratação de especialistas em proteção de dados e adoção de políticas de segurança da informação. Dessa forma, as empresas podem garantir a proteção dos dados pessoais e cumprir com as obrigações estabelecidas pela LGPD, minimizando os riscos de sanções e danos à sua reputação.

A mudança cultural e processual necessária para a conformidade com a LGPD também pode representar um desafio para as empresas. A cultura de privacidade e proteção de dados ainda não está totalmente consolidada no Brasil, o que pode exigir mudanças na forma como as empresas tratam dados pessoais. Além disso, as empresas precisam revisar seus processos internos para garantir a conformidade com a lei, o que pode envolver mudanças na forma como os dados são coletados, armazenados e compartilhados.

Outro ponto importante é a necessidade de investimento em tecnologia e infraestrutura adequadas para a proteção de dados. Isso envolve a adoção de medidas de segurança, como criptografia, controle de acesso e backups regulares, bem como a contratação de profissionais capacitados para lidar com a proteção de dados, o que representa um grande obstáculo as pequenas empresas, pois essas estruturas cibernéticas exigem um grande investimento, tanto relacionado a infraestrutura necessária para apoiar servidores e outros data centers, quanto para o investimento em funcionários qualificados, que podem identificar por meio de projetos, métodos para estabelecer uma cultura organizacional dentro da empresa de proteção de dados.

Não obstante, é importante destacar que a LGPD prevê sanções e multas que devem ser aplicadas pela ANPD, para as empresas que não cumprirem as normas estabelecidas. Essas multas podem chegar a 2% do faturamento da empresa, podendo chegar R$ 50 milhões por infração, conforme:

“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:    (Vigência)

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; 

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.”

A conformidade com a LGPD não é apenas uma questão ética e de proteção aos dados pessoais dos titulares, mas também uma questão financeira crucial para as empresas. As multas por violações à lei podem chegar a valores extremamente elevados, o que pode representar um impacto significativo no orçamento e na imagem da empresa. Portanto, é essencial que as organizações estejam atentas e se adequem à LGPD para evitar possíveis sanções e preservar a confiança dos seus clientes e parceiros comerciais.

Neste aspecto sancionatório, é importante ressaltar que a adequação à LGPD é crucial para evitar sanções administrativas que podem afetar severamente a saúde financeira das empresas. A ANPD, como órgão regulador responsável pela fiscalização e aplicação de sanções, tem desempenhado um papel fundamental na implementação da LGPD no país. Recentemente, em 27/02/2023, a ANPD publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, Resolução CD/ANPD N°4, de 24 de Fevereiro de 2023, que foi um marco na atividade reguladora por parte da autoridade governamental. Esse regulamento estabelece critérios e procedimentos para a aplicação das sanções previstas na LGPD, visando garantir a proteção dos dados pessoais e a conformidade das empresas com a lei. Além disso, traz mudanças importantes na Resolução CD/ANPD N°1, de 28 de outubro de 2021, que contém o processo de fiscalização e sanções do órgão governamental. Essas mudanças processuais estabelecem nuances entre a dosimetria estabelecida nas multas aplicadas pela ANPD, o que demonstra o comprometimento da autoridade governamental em garantir a proteção dos dados pessoais dos titulares e a conformidade das empresas com a LGPD.

Apesar dos desafios, a conformidade com a LGPD pode trazer benefícios para as empresas. Ao adotar boas práticas de privacidade e segurança de dados, as empresas podem melhorar a confiança e fidelidade dos clientes, bem como sua reputação no mercado. Além disso, a LGPD pode estimular a inovação e o desenvolvimento de novas tecnologias e soluções que garantam a proteção de dados pessoais.

Finalmente, é importante observar que a LGPD é uma legislação recente e ainda existem muitas incertezas e dúvidas sobre sua aplicação. Por isso, é fundamental que as empresas busquem orientação especializada e se mantenham atualizadas sobre as normas e mudanças na legislação para garantir a adequação contínua à LGPD.

Em resumo, a conformidade com a LGPD representa um grande desafio para as empresas, mas também uma oportunidade de aprimoramento e inovação. É necessário que as organizações adotem uma abordagem proativa na proteção dos dados pessoais dos titulares e invistam em tecnologia e cultura organizacional adequadas para garantir a conformidade com a legislação.

REFERÊNCIAS BIBLIOGRÁFICAS

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 20 mai. 2023

BRASIL. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República, 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/Constituicao/ Constituiçao.htm. Acesso em: 03 mai. 2021

PINHEIRO, Patrícia P. PROTEÇÃO DE DADOS PESSOAIS: COMENTÁRIOS À LEI N. 13.709/2018 (LGPD). [Digite o Local da Editora]: Editora Saraiva, 2021. E-book. ISBN 9786555595123. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786555595123/. Acesso em: 03 mai. 2023.

LIMA, Cíntia Rosa Pereira de. ANPD e LGPD: Desafios e perspectivas. [Digite o Local da Editora]: Grupo Almedina (Portugal), 2021. E-book. ISBN 9786556272764. Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9786556272764/. Acesso em: 03 mai. 2023.

O que é ANPD? [Autoridade Nacional de Proteção de Dados]. Disponível em: <https://tecnoblog.net/responde/o-que-e-anpd-autoridade-nacional-de-protecao-de-dados/>. Acesso em: 21 de abr. 2023

ANPD publica regulamento de aplicação de sanções administrativas. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria>. Acesso em: 28 de abr. 2023

Quais São as Maiores Dificuldades Que as Empresas Enfrentarão para Implementar a LGPD? Disponível em: <https://direitoparatecnologia.com.br/implementar-a-lgpd/>. Acesso em: 4 maio. 2023.

Maldonado, Viviane Nóbrega, Blum, Renato Opice, coordenadores – LGPD: Lei Geral de Proteção de Dados comentada – 1ª Edição – São Paulo: Thomson Reuters Brasil, 2019. Acesso em: 01 mar. 2023.

BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em: < http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm >. Acesso em: 04 mar. 2023.

COMITÊ CENTRAL DE GOVERNANÇA DE DADOS - CCGD. Guia de Boas Práticas LGPD. Abril 2020. Disponível em: < https://www.gov.br/governodigital/pt-br/governancadedados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-lgpd >. Acesso em: 24 mai. 2023.