Lote é formado por 221 mil restituições, distribuídas entre contribuintes prioritários e não prioritários; o valor total do crédito é de R$ 558,8 milhões
Área do Cliente
Notícia
LGPD: sua empresa já tem um DPO?
O Diário do Comércio procurou o recém-criado Conselho Nacional de Proteção de Dados Pessoais e da Privacidade para esclarecer pontos nebulosos dessa nova lei que prevê multas milionárias
01/01/1970 00:00:00
A entrada em vigor da Lei Geral de Proteção de Dados (LGPD), que estabelece regras para o tratamento de dados pessoais, exige das empresas uma nova cultura organizacional. No futuro, a boa gestão das informações pessoais, da coleta ao descarte, será um diferencial muito importante para as organizações.
Essa é a opinião de Bruno Ricardo Bioni, um dos membros do recém-criado Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão consultivo da Autoridade Nacional de Proteção de Dados (ANPD).
Em entrevista exclusiva do Diário do Comércio, o especialista adiantou que está em discussão na agência reguladora um tratamento diferenciado voltado aos pequenos negócios em relação às penalidades e exigências previstas na legislação.
“O porte econômico é um dos critérios avaliados, mas não é o único e nem o mais importante”, ressaltou Bruno Bioni, também diretor do Data Privacy Ensino, que oferece cursos focados na LGPD e treinamento de DPO (Data Protection Officer), o novo cargo que surge na esteira da norma, uma espécie de guardião dos dados pessoais. Acompanhe a entrevista abaixo:
A LGPD está em pleno vigor desde agosto. Como será feita a fiscalização e a aplicação das multas pela ANPD?
É preciso concluir a redação de uma Instrução Normativa que trará a metodologia da dosimetria da pena, com detalhes sobre quais condutas transgressoras podem ser sancionadas com algum tipo de penalidade, mais ou menos intensa. Provavelmente será a primeira regulamentação da agência.
É importante esclarecer que, muito embora somente agora a LGPD esteja totalmente operante, os demais órgãos reguladores, como a Secretaria de Defesa do Consumidor e Procons, estão fiscalizando e aplicando multas. É uma agenda de fiscalização ampla, que envolve a atuação das agências reguladoras de respectivos setores econômicos produtivos, como a Agência Nacional de Telecomunicações, Agência Nacional de Saúde etc. São vários órgãos que estão legitimados por outras legislações (Lei Geral de Telecomunicações, Código de Defesa do Consumidor, Marco Civil da Internet, Lei do Cadastro Positivo) a atuar na questão da privacidade de dados pessoais.
As pequenas empresas terão tratamento diferenciado no nível de exigências e sanções ao descumprimento?
Há uma discussão interna sobre o assunto, em estágio menos avançado do que a questão da dosagem das multas. O porte econômico do negócio é um critério a ser avaliado, mas não o único ou principal para um regime mais diferenciado ou relaxado. Tão ou mais importante do que o porte econômico é entender se a atividade de tratamento de dados é considerada de alto, médio ou baixo risco.
Uma startup, por exemplo, pode não ter faturamento, mas exerce uma atividade de alto risco se atuar na área de automatização de diagnósticos na área da saúde. Nesse caso, a lei tende a ser aplicada de maneira integral. O empresário deve estar atento a isso. Não basta apenas olhar para dentro de casa e achar que o porte econômico será fator exclusivo para um tratamento diferenciado.
Quais serão as principais documentações exigidas pela LGPD?
Quanto maior o risco, maior o peso da regulação. A documentação mais básica é o Registro das Atividades de Tratamento de Dados Pessoais, uma espécie de livro contábil dos dados, em que a organização vai informar as finalidades para o uso de dados pessoais, definir se tem ou não consentimento do consumidor. A mais complexa é o Relatório de Impacto da Produção de Dados Pessoais, que será exigido das organizações que lidam com atividades de tratamento de dados de alto risco. Um setor produtivo, por exemplo, que lide com um alto volume de dados sensíveis, como o da saúde ou de crédito, provavelmente será obrigado a elaborar esse relatório.
Na sua opinião, as empresas brasileiras estão adequadas para cumprir a norma?
Infelizmente, muitas organizações entenderam a LGPD como mais uma lei ou algo para o compliance. É muito mais do que isso. Vejo boa parte das empresas terceirizando, contratando consultorias, e lidando com o assunto como se fosse uma jornada com início, meio e fim para a elaboração de relatórios posteriormente guardados numa gaveta. É um equívoco pensar dessa forma.
As organizações quase sempre irão criar novos produtos, o que exige o tratamento de novos dados e novas práticas para a proteção dessas informações. Não é algo estanque, mas sempre um exercício contínuo.
Qual o principal obstáculo para o cumprimento adequado da legislação?
O principal gargalo, na minha opinião, é o elemento humano, ou seja, quem faz a organização dos dados. Essa tarefa cada vez mais importante a partir de agora exige capacitação, educação, treinamento. Sem a capacitação de profissionais, o que inclui até quem trabalha no departamento pessoal, o time de marketing, de segurança de informação, é impossível criar uma cultura organizacional da proteção de dados. Afinal, a LGPD exige uma nova cultura.
Na esteira da norma surgiu um novo personagem, o DPO (Data Protection Officer). Todas as empresas serão obrigadas a ter um DPO ou encarregado de dados pessoais?
Não. Uma das possibilidades para essa regulação mais flexível e diferenciada voltada às empresas de pequeno porte e que não tenham um risco significativo na atividade de tratamento de dados é a dispensa de um DPO ou de um encarregado. Mas isso não significa que ela não tenha que estar adequada à legislação, que é muito mais ampla e complexa.
Quantas pessoas já foram capacitadas pela escola da Data Privacy Brasil para atuarem como DPO ou encarregado dos dados?
Ao todo, entre 5 mil e 7 mil pessoas já realizaram cursos profissionalizantes ao longo de 3 anos. Alguns cursos já chegaram na 30ª edição. Esse profissional precisa ter um conhecimento interdisciplinar e técnico, envolvendo proteção de dados e privacidade e segurança da informação, entender o que a lei diz. Um diferencial importante se tiver uma formação jurídica ou de compliance.
É um cargo que exige paciência e boas habilidades de comunicação, pois, na prática, o profissional vai lidar com todas as áreas da organização. É raro encontrar profissionais com esse perfil porque não é simples combinar todas as habilidades.
Quantos países possuem legislação específica para a proteção de dados?
Certamente são mais de 100 países. A China acabou de aprovar uma lei sobre proteção de dados pessoais. Com exceção dos Estados Unidos, as principais economias, como Japão, União Europeia, além de vários países latino-americanos, possuem uma legislação específica. A Índia, por exemplo, está discutindo a possibilidade de aprovar lei específica.
Quais as curiosidades da norma brasileira?
A legislação brasileira é interessante, bem balanceada e não é tão detalhista como o regulamento europeu de proteção de dados pessoais. Outro aspecto interessante que, salvo engano, não existe em nenhum país do mundo, é que a norma brasileira prevê a existência não apenas de um órgão regulador de controle, mas também de um conselho multisetorial, formado por representantes de vários segmentos da sociedade. É um órgão consultivo para pensar em políticas públicas nessa área.
E o consumidor? Ele está ciente de seus direitos? Haverá um canal de comunicação para o dono da informação?
Esse canal de comunicação é uma obrigação legal, independente da empresa ter um ou não um DPO. Caso não encontre respostas, o consumidor também pode exercer seus direitos na esfera administrativa, com reclamação na própria ANPD, em outras agências reguladoras, nos Procons e, em último caso, recorrendo ao Poder Judiciário.
Mas ainda vai demandar tempo para que o consumidor esteja plenamente conscientizado. Essa cultura está sendo construída tanto por parte das empresas como por parte dos consumidores. Precisamos articular políticas públicas para essa plena conscientização.
Notícias Técnicas
Para os beneficiários que se aposentaram a partir de junho deste ano, o 13º salário será creditado em parcela única junto com o benefício
Até o dia 20 de novembro, 87.289 pessoas compareceram ao INSS com a mesma finalidade. O prazo para inscrição ou atualização no CadÚnico é de 30 dias após o pedido de desbloqueio. Se não houver atualização dos dados o benefício será suspenso automaticamente
O recolhimento nos dez primeiros meses de 2024 chegou a R$ 2,182 trilhões, informou a equipe do Fisco em coletiva realizada nesta quinta-feira (21/11)
Para a SDI-2, a situação já estava consolidada, e a alteração não se justificava
Notícias Empresariais
Equipamentos sem o Certificado de Aprovação (CA) emitido pelo MTE não podem ser classificados como EPIs, mesmo que sejam comercializados ou utilizados com essa finalidade
Relatório divulgado nesta quinta-feira (21) sinaliza que o financiamento à economia real voltou a acelerar
MTE lidera discussões com instituições financeiras, órgãos de governo e entidades do terceiro setor para fortalecer o PNMPO
Para a 7ª Turma, o problema afeta toda a comunidade
Linhas de crédito com juros baixo é um dos pontos positivos para o Microempreendedor, entender quais são esses créditos e como eles funcionam é fundamental para o empreendedor
Notícias Melhores
Exame de Suficiência 2/2024 está marcado para o dia 24 de novembro, próximo domingo.
Com automação de processos e aumento da eficiência, empresas contábeis ganham agilidade e reduzem custos, apontando para um futuro digitalizado no setor.
Veja as atribuições da profissão e a média salarial para este profissional
O Brasil se tornou pioneiro a partir da publicação desses normativos, colaborando para as ações voltadas para o combate ao aquecimento global e o desenvolvimento sustentável
Este artigo analisa os procedimentos contábeis nas operadoras de saúde brasileiras, destacando os desafios da conformidade com a regulação nacional e os esforços de adequação às normas internacionais de contabilidade (IFRS)