A Lei Geral de Proteção de Dados ou LGPD é algo novo, por isso afeta todas as empresas do Brasil, gerando uma série de dúvidas e confusões.
Se a sua empresa coleta qualquer tipo de informação a respeito do seu público, você deve prestar bastante atenção neste artigo para compreender quais são as novas regras que deverá cumprir.
Dizemos isso porque as multas para empresas que estejam coletando e usando os dados de forma inapropriada pode chegar a R$ 50 milhões.
Do ponto de vista do empresário isso pode parecer um absurdo, afinal, são os dados que permitem a tomada de decisão. Contudo, essa é uma modernização necessária para garantir o respeito à privacidade dos dados.
Sabemos que a frase “dados são o novo petróleo” não surgiu por acaso. Diversas empresas como Google e Facebook são exímias em explorar os dados que deixamos online. Contudo, é necessário entender onde está o limite.
Quer entender como a LGPD funciona e como adequar o seu negócio para estar de acordo com a legislação? Basta continuar lendo este texto.
Para aproveitar a leitura, navegue pelos seguintes tópicos:
- O que é a Lei Geral de Proteção de Dados?
- Afinal, o que diz a LGPD?
- Como a lei de proteção de dados afeta as empresas?
- Quando as empresas podem realizar o tratamento de dados segundo a LGPD?
- Quais são os direitos dos titulares frente às empresas, segundo a LGPD?
- Por que é necessário uma lei para proteger os dados pessoais?
- Como preparar a sua empresa para a LGPD
- Próximos passos sobre LGPD…
O que é a Lei Geral de Proteção de Dados?
Depois de 8 anos de estudos, debates e redação, o então presidente Michel Temer sancionou a Lei Geral de Proteção de Dados brasileira, a Lei 13.709/2018.
Essa lei é um enorme marco para garantir que os dados virtuais estejam seguros e não sejam explorados por empresas com agendas controversas.
Isso também é importante, pois unifica e complementa a legislação que já está em vigor no Brasil, mas de forma precária.
Um exemplo dessa legislação prévia é o Marco Civil da Internet de 2014, quando a regulamentação começou a dar os primeiros passos para regrar o mundo online.
A LGPD brasileira segue uma linha muito similar à legislação europeia, a General Data Protection Regulation (GDPR) e estabelece regras claras sobre:
- coleta de dados;
- armazenamento;
- tratamento;
- compartilhamento.
A grande razão da existência dessa legislação é garantir maior segurança, privacidade e transparência na forma que essas informações são utilizadas por qualquer empresa, seja ela pública ou privada.
Foi a forma encontrada pelos governos ao redor do mundo de colocar limites em uma terra virtualmente sem lei.
Talvez os seguintes conteúdos despertem o seu interesse:
- Compliance e RH: as responsabilidades do setor
- Monitoramento de funcionários: como fazer da melhor forma?
- Missão, visão e valores: definindo os conceitos da sua empresa
- Gestão de crise: veja como contornar os problemas na sua empresa
Mas o que são esses dados de que a LGPD fala?
Nós falaremos muito sobre dados em geral neste artigo. Sendo assim, é importante que deixemos estabelecido o que queremos dizer.
Para a lei de proteção de dados, as seguintes definições se aplicam:
“I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
[…]
X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;”
Dá para notar que praticamente qualquer informação emitida na internet pode ser considerada como dado: orientação sexual, nome completo, CPF, número de telefone, e-mail, enfim.
Quando entra em vigor a Lei Geral de Proteção de Dados?
A LGPD estava prevista para entrar em vigor em integridade em agosto de 2020, mas devido à crise gerada pela Covid-19 esse cenário mudou.
O que embasou essa decisão foi a incapacidade tanto das empresas quanto do governo de se adaptar à nova realidade em meio à situação de caos social na qual estávamos inseridos.
Essa é a segunda vez que a lei é adiada. Primeiramente, entraria em vigor em fevereiro de 2020. Contudo, a publicação da lei que determina a criação da Autoridade Nacional de Proteção de Dados (ANPD) serviu como desculpa para postergar pela primeira vez.
Ademais, a LGPD também é um importante instrumento para o combate às fake news, por isso, diversos deputados tentavam adiantar a vigência da lei.
Em meio a toda essa confusão, o que ficou decidido foi o seguinte: a redação da lei começa a valer em 2020. Porém, as sanções somente entrarão em vigor em agosto de 2021.
Quem tem seus dados pessoais protegidos pela LGPD?
Todo e qualquer indivíduo residente no Brasil é coberto pela LGPD, que tem o “objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, segundo texto da própria lei.
Lembrando que esses dados podem ser coletados de diversas maneiras e não somente através do meio online, seja por telefone, ficha cadastral em papel, fichas eletrônicas etc.
Afinal, o que diz a LGPD?
Uma das principais mudanças é em relação aos titulares (proprietários dos dados). Agora, eles devem permitir que as empresas coletem as informações.
Você certamente já entrou em um site no qual você precisava permitir que o site coletasse os seus dados para poder navegar.
Normalmente isso aparece na forma de um banner em algum lugar da tela na primeira vez que você entra no site.
Ademais, a empresa também deve informar aos usuários a finalidade para a qual aqueles dados estão sendo coletados.
Um exemplo muito prático são as farmácias que pedem o CPF dos seus clientes a fim de conceder descontos.
Se o estabelecimento afirma que essa é a única finalidade para a qual aquele dado é obtido, este não poderá ser usado para nenhum outro fim.
Ainda existem algumas outras questões que precisam ser regulamentadas pela ANPD, como a portabilidade.
Esse termo ficou bastante conhecido quando o governo permitiu mudar de operadora telefônica sem perder o número.
O mesmo princípio se aplica aqui. Imagine que um motorista de Uber quer dirigir somente no 99Taxi. Agora, ele pode levar todos os dados gerados por ele para a outra plataforma.
Outra questão muito sensível é a do vazamento de dados. Agora, as empresas devem informar tanto à ANDP quanto aos clientes caso os dados registrados tenham sido vazados.
Isto é, caso indivíduos não autorizados pela empresa tenham acesso àquelas informações, todos precisam estar cientes.
Ainda existem os direitos particulares dos titulares desses dados. Falaremos mais a fundo sobre isso à frente.
Como a lei de proteção de dados afeta as empresas?
Hoje em dia, não tem para onde correr. Grande parte das empresas brasileiras trabalha com dados de clientes, especialmente — mas não apenas — aquelas que têm uma forte presença online.
Várias dessas companhias precisam dos dados de seus clientes para funcionar, afinal de contas, o banco precisa confirmar a identidade do cliente, o e-commerce precisa saber o endereço de entrega e assim por diante.
Vale ressaltar que empresas que oferecem serviços para o mercado brasileiro e aquelas que coletam e processam dados de pessoas localizadas no Brasil também estão sujeitas à LGPD.
Mas como isso tudo afeta o dia a dia dessas empresas?
1. Na atualização de seus sites e termos de serviço
A primeira coisa que as empresas devem fazer é pedir a permissão dos seus clientes para coletar e tratar os dados.
Não esquecendo que, ao pedir essa permissão, a organização deve ser categórica sobre o uso dos dados, uma vez que, se utilizar para finalidades não anteriormente expressas, pode sofrer sanções.
Aqui, diversas empresas serão obrigadas a criar uma política de privacidade, deixando claro para os seus clientes como os dados serão processados.
2. Na garantia da segurança dos dados
Outro ponto bastante relevante para os negócios é a garantia da segurança dos dados, uma vez que as empresas serão responsabilizadas em casos de vazamentos de informações.
Esse tipo de responsabilização faz com que muitas organizações precisem passar por uma verdadeira auditoria para guiar o replanejamento e adequar a segurança de dados à nova realidade.
Nesse cenário, será necessário implementar procedimentos e normas internas a fim de assegurar o sigilo dessas informações. Confira o nosso Talks sobre os impactos da LGPD para as empresas e veja como proceder a partir de agora:
Aproveite para se inscrever em nosso canal e ficar sempre por dentro das novidades.
Ressaltamos que também é necessário pensar em formas seguras para realizar o descarte dos dados.
Quando as empresas podem realizar o tratamento de dados segundo a LGPD?
A LGPD é bastante direta sobre os cenários nos quais as empresas podem utilizar os dados de seu público:
- quando o indivíduo permite explicitamente que os seus dados sejam utilizados;
- quando a empresa precisa cumprir alguma obrigação legal ou regulatória;
- quando são necessários para o planejamento de políticas públicas;
- para realização de estudos, desde que de forma anônima;
- para proteção do crédito;
- para execução de contratos;
- em processos judiciais e administrativos;
- para proteger a vida ou integridade física de um indivíduo;
- para tutela de saúde realizada por profissionais de saúde.
O que é o consentimento?
O consentimento é uma manifestação livre de influências e informada por qualquer indivíduo para que as empresas, então, possam tratar os seus dados.
Para que essa decisão seja comunicada, a empresa deve fornecer as seguintes informações:
- quais serão os dados coletados;
- os meios utilizados para esse fim;
- o período em que os dados ficarão armazenados;
- a identidade de quem manipula esses dados;
- se estes serão compartilhados com terceiros etc.
Quais são os direitos dos titulares frente às empresas, segundo a LGPD?
Além das restrições que as empresas precisam respeitar, os indivíduos também têm direitos quanto à gestão dos seus dados pelas empresas. Esses direitos são:
- ter acesso aos seus dados;
- confirmar a existência do tratamento;
- corrigir dados incompletos, inexatos ou desatualizados;
- solicitar a eliminação dos dados excessivos ou tratados;
- realizar a portabilidade para outra empresa;
- pedir a revogação do consentimento;
- informar todas as instituições com as quais os dados foram compartilhados;
- informar as consequências de não conceder a permissão.
Aqui a máxima é “meus dados, minhas regras”!
Por que é necessário uma lei para proteger os dados pessoais?
Ter os seus dados resguardados é um direito de todo cidadão brasileiro assegurado pela Constituição Federal de 1988. Contudo, o texto da constituição é genérico e, devido à época, não poderia prever os desafios que o mundo digital traria.
Como dissemos, o Marco Civil foi um dos primeiros marcos significativos no caminho da privacidade de dados. Porém, ainda não foi o suficiente para garantir a segurança dos dados dos brasileiros. Então, entra a LGPD.
Como a proteção de dados poderia ter impedido o caso da Cambridge Analytica
Traremos um dos casos mais icônicos da atualidade sobre o uso de dados para fins controversos. A Cambridge Analytica foi contratada pelo atual presidente dos Estados Unidos, Donald Trump, para coletar e analisar os dados dos norte-americanos.
Por meio dessas informações — que levavam em consideração até mesmo os traços de personalidade dos eleitores americanos — foi possível traçar uma campanha eleitoral personalizada com o objetivo de influenciar o comportamento dessas pessoas.
No centro dessa história encontra-se o Facebook, a maior rede social do mundo, que coleta dados de mais de 2 bilhões de usuários.
Tudo começou com um quiz desenvolvido pelo professor universitário David Carroll na rede social — que, a princípio, tinha finalidade unicamente acadêmica. Os dados coletados foram vazados e utilizados indevidamente pela Cambridge Analytica.
Cerca de 270 mil usuários tiveram os seus dados diretamente colhidos através da pesquisa. Porém, o próprio Facebook admitiu que até 87 milhões de pessoas foram afetadas pelas atividades dessa empresa.
Aqui, fica claro que os dados são, realmente, o petróleo do século XXI. O estudo minucioso dessas informações foi um fator decisivo na eleição de um dos presidentes mais importantes para a política mundial.
Certamente, as utilidades “nefastas” dos dados pessoais nas mãos de empresas mal-intencionadas não param por aqui. Sendo assim, a regulamentação do uso desses dados é primordial para garantir a democracia como a conhecemos.
Estes materiais vão complementar a sua leitura, confira:
- Aprenda a vencer os desafios de gestão com tecnologia
- Automação de processos e uso da tecnologia na gestão de pessoas
Explicando: o que é violação de dados?
O exemplo acima é um caso muito claro de violação de dados. Contudo, ele por si só não conceitua essa prática. A GDPR, regulamentação da União Europeia, traz esse conceito de forma bem clara:
Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento”.
Caso ocorra o vazamento de dados, a empresa deve tomar atitudes a fim de minimizar os danos causados e entrar em contato tanto com os clientes afetados, quanto com a ANPD.
Como preparar a sua empresa para a LGPD
Se você ainda não começou os preparativos para adaptar a sua empresa à Lei Geral de Proteção de Dados, tenha muita atenção.
Mesmo que as sanções tenham sido adiadas até 2021, órgãos regulamentadores também podem aplicar multa, como o Procon, por exemplo.
Basta uma rápida pesquisa no Google para encontrar notícias sobre multas aplicadas a empresas de diversos ramos por conta de vazamento de dados.
Exemplos são o iFood e a Vivo, que foram multadas em R$ 2,5 e R$ 10 milhões, respectivamente.
Isso porque a empresa é responsável por salvaguardar os dados de clientes e colaboradores e deve ser responsabilizada caso não tenha sucesso.
Por isso, diversas empresas estão correndo contra o tempo para estar em dias com a LGPD.
Por isso, também separamos algumas dicas para que você já comece a preparar a sua empresa para essa nova realidade.
1# Promover a segurança de dados
Como você pôde ver no exemplo acima, a segurança da informação é primordial para evitar dores de cabeça milionárias.
Claro, o valor da multa também vai depender diretamente do tamanho da empresa em questão.
Contudo, empresas que antes deixavam de lado questões como a implementação de protocolos de segurança agora precisarão repensar esse fator.
2# Definir um DPO
O DPO é uma sigla do inglês que significa Data Privacy Officer. Na prática, esse profissional é responsável por responder interna e externamente a respeito de questões como privacidade de dados.
Não existe um profissional específico que deve assumir essas obrigações, tudo dependerá das necessidades específicas de cada empresa.
Contudo, é comum que essa função seja exercida por um profissional do jurídico ou da área de TI.
3# Educar os funcionários
Absolutamente todos os funcionários devem estar por dentro das exigências que a LGDP faz à empresa, especialmente aqueles que lidam diretamente com os seus clientes.
Isso porque esses indivíduos precisarão responder a questões como:
- “Se eu não aceitar esses termos de privacidade, o que acontece?”
- “Quais são os dados que a empresa coleta e por quê?”
Além disso, a aplicação das boas práticas de segurança de dados depende da colaboração e da ética de todos.
4# Proteger a sua empresa com tecnologia
Algumas das ações que devem ser implementadas na empresa a fim de garantir a segurança são as descritas abaixo.
- Gestão de vulnerabilidades
Se a sua empresa fosse atacada por um hacker agora, as suas defesas digitais seriam eficientes em repelir essa investida?
As chances são de que você sequer saiba responder essa questão ou mesmo conte somente com a segurança que as plataformas já fornecem.
É necessário realizar a varredura dos ativos e dados de forma periódica, classificando-os por grau de criticidade e severidade. Assim, é possível priorizar áreas com informações mais sensíveis.
- Gestão de identidade e acessos
Nem precisamos falar sobre a importância de gerenciar quem tem acesso ao sistema da empresa, não é mesmo?
Essa gestão de credenciais de acesso, assim como a sua revisão periódica, é primordial para evitar que pessoas sem autorização se apropriem de dados e até mesmo os liberem para o público em geral.
Os seus ex-funcionários já foram removidos do seu sistema? Fique atento!
- Prontidão para responder a incidentes
Houve um incidente? Agora é necessário que os times identifiquem as causas, planejem uma resposta adequada para correção das falhas que permitiram que isso acontecesse e, por último, informem as autoridades.
A empresa que não informar imediatamente o vazamento de dados pessoais estará sujeita às sanções mais duras da lei. Como falamos anteriormente, as multas podem chegar a até R$ 50 milhões.
5# Criar termos de uso e políticas de privacidade
A sua empresa precisa ter um termo de uso e políticas de privacidade em conformidade com a LGPD. E essa exigência não fica limitada ao tratamento interno que os dados sofrem.
Fique atento também aos termos de serviços de plataformas como a de ponto eletrônico ou mesmo empresas subcontratadas com as quais você compartilha dados sensíveis de clientes, colaboradores, fornecedores etc.
6# Mapear o fluxo de dados pessoais
Por onde os dados pessoais trafegam? Quais pessoas têm acesso? Esses dados são compartilhados por plataformas não empresariais como o WhatsApp? Como é feita a comunicação?
Através de uma análise minuciosa do caminho que os dados dos seus clientes fazem, será possível identificar falhas e pontos de atenção para, então, corrigi-los.
Ainda tem dúvidas sobre a implantação da lei em sua empresa? Veja o que os nossos especialistas têm a dizer:
Próximos passos sobre LGPD…
A LGPD veio para ficar. Afinal de contas, ela é importante para um país ter uma política clara sobre a privacidade de dados da sua população.
Isso não somente ajuda a aumentar a segurança online das empresas dessa nação, como também blinda a sua população de empresas mal-intencionadas, como é o caso da Cambridge Analytica que falamos acima.
E para saber quais os próximos passos da sua empresa para estar em dia com a LGPD, confira o nosso curso completo na Universidade Tangerino.
Deixe seu comentário
Seu e-mail não será publicado. Os campos com * são obrigatórios.
Se autuada, o valor da multa é direcionado a quem?