Nas últimas semanas, muito se tem falado sobre o início da aplicação de multas pela Autoridade Nacional de Proteção de Dados (ANPD), quanto ao não cumprimento da LGPD. Isso decorre da divulgação, nos últimos dias de fevereiro/23, da Resolução CD/ANPD 4 relativa a dosimetria das sanções LGPD.
Além disso a ANPD realizou uma live onde detalha os entendimentos sobre o tema.
É correto afirmar que a dosimetria – que nada mais é do que definir os parâmetros para aplicação de sanções, disponibilizando padrões objetivos e, portanto, favorece a aplicação de sanções por parte da Autoridade Nacional.
Entretanto, acreditar que a partir dessas definições as empresas passarão a ser multadas em milhões de reais pela não adequação a LGPD nos parece muito mais um argumento de vendas incorreto.
A adequação a LGPD é um processo, e como tal deverá estar em constante evolução, logo, considerar que sua Organização finalizou o processo de adequação, ainda que sejam fornecidos “Certificados de Adequação” e outros documentos semelhantes não faz sentido.
As Organizações que já iniciaram esse processo devem ter observado que o maior desafio é documentar e consolidar as evoluções necessárias, em conjunto com a conscientização sobre o tema tanto para funcionários como gestores.
E agora, quais ações você deve realizar?
O essencial é que as Organizações iniciem o processo de adequação, formalizem e divulguem interna e externamente quando cabível, o(s) responsável(is), o planejamento de atividades – preferencialmente de curto prazo (6-12 meses), além de outras atividades relativamente simples como, por exemplo: descartar dados pessoais desnecessários – tanto online como físicos, eliminar coletas de dados pessoais desnecessários, implementar Políticas e Normas descrevendo o que Organização permite ou não em sua infraestrutura e facilidades (internet, e-mail, dispositivos móveis, etc.
O fundamental é criar condições de demonstrar ações com o objetivo de adequação.
Quanto maior o risco em relação a utilização indevidas de dados pessoais em sua Organização, seja pelo volume ou pela sensibilidade dos mesmos, como por exemplo, empresas do segmento de saúde, educacional, etc., maior deverá ser a velocidade de adequação, mas sempre considerando que tanto quanto atingir objetivos, a consolidação e manutenção dos níveis atingidos é fundamental.
No nosso entendimento, o principal ponto dessa Resolução é a confirmação de que a ANPD está muito mais focada em evitar problemas para os titulares de dados do que aplicar multas.
Na ocorrência de violações a privacidade dos titulares, a ANPD irá verificar quais as medidas que a Organização está tomando ou já tomou para minimizar ou eliminar essas violações e a partir disso definir ações, medidas e prazos a serem cumpridos.
Nos parece que a aplicação de multas financeiras somente será realizada quando constatada a má-fé e/ou completa ausência de medidas de adequação.
Pela experiência adquirida na realização de atividades de adequação em empresas de diversos portes e segmentos, a ZEMUS dispõe de alternativas de adequação que levam em conta o nível de maturidade e risco, que levam em conta também as demais características e disponibilidades de sua Organização.
:: Veja também:
– Segurança da Informação na prática
– LGPD, Segurança da Informação e Compliance
– Começando a adequação para a LGPD