A LGPD, ou Lei Geral de Proteção de Dados Pessoais, regulamenta a maioria das regras sobre coleta, armazenamento, tratamento e compartilhamento dos dados da população.
A medida promete trazer mais proteção para os usuários da internet, possibilitando a aplicação efetiva de penalidades, no caso do não cumprimento da legislação.
A lei é composta por dez princípios que as empresas devem obedecer quanto ao tratamento de dados dos seus usuários.
Ela teve aprovação do Congresso Nacional, onde o prazo inicial para adequação das empresas era Agosto/2020.
Devido à pandemia, e todo a situação das empresas brasileiras, houve uma nova votação, que teve aprovação definitiva da Lei 1.179/20, sobre o regime especial jurídica em razão da pandemia.
Que também tem alteração na vigência da nova lei de proteção à dados. Ela entrará em vigor em 2020, mas as sanções ficarão para Agosto/2021.
O que significa LGPD?
LGPD é a sigla que representa a Lei Geral de Proteção de Dados. Ela é uma norma que faz parte do ordenamento jurídico brasileiro.
A lei, que entrou em vigor ainda no ano de 2020, traz uma série de previsões referentes à coleta, ao uso e ao tratamento de dados.
Moderna, ela se inspira em ordenamentos internacionais, como o europeu, diante da necessidade de regulamentação do uso de informações de terceiros por empresas, órgãos públicos e privados e pessoas.
LGPD: Como funciona?
Aqui no Brasil, a necessidade de se criar uma legislação específica sobre o assunto, surgiu após sucessivos escândalos em relação ao vazamento de dados dos usuários da internet, os quais atingiram milhares de pessoas, tornaram-se rapidamente públicos.
A lei está baseada nos direitos fundamentais de liberdade e privacidade, bem como a livre iniciativa, desenvolvimento econômico e tecnológico do país.
Além disso, a legislação também prevê punições para infrações que virem a acontecer por parte das empresas, no manuseio de informações pessoais importantes sem a autorização prévia dos indivíduos.
Por meio da portaria, uma série de regras foram determinadas com base em evidenciar a transparência no trato do que é compartilhado entre clientes e organizações.
Dentre muitos princípios propostos pela LGPD, podemos destacar alguns pontos principais:
- A transparência para o uso de dados pessoais e a respectiva responsabilização;
- A adequação, ou seja, a compatibilização do uso dos dados pessoais com as finalidades informadas;
- A proteção do usuário em toda arquitetura do negócio, também conhecida como privacy by design;
- Apresentação de finalidade, determinada e previamente informada aos titulares dos dados coletados;
- A necessidade da limitação do uso dos dados para atingir a uma finalidade pretendida, e a indispensável exclusão imediata de dados após atingir tal finalidade.
Qual é o objetivo da LGPD?
O principal objetivo da Lei Geral de Proteção de Dados é limitar o alcance de empresas e órgãos públicos no acesso, uso e compartilhamento de dados de particulares.
Ela se fez necessária especialmente após uma série de escândalos que envolviam o vazamento de dados. Em algumas hipóteses, o vazamento decorreu de ações de hackers e da ausência de mecanismos de segurança para as informações.
Em outras, por sua vez, teve origem na venda de informações de particulares para outras empresas e pessoas.
Desse modo, a LGPD se relaciona diretamente com o direito à privacidade. Ela reconhece que os dados pertencem aos titulares. Embora possam ser usados por outras pessoas, elas necessitam de autorização para isso.
Além disso, não são quaisquer tipos de dados que podem ser colhidos e tratados. Há uma limitação quanto a isso, o que visa aumentar a segurança pessoal e proteger a privacidade e a intimidade de cada pessoa.
Assim, a LGPD visa promover:
- Responsabilidade digital;
- Segurança de dados;
- Transparência no uso de informações do público;
- Inovação e concorrência justa;
- Padronização do tratamento de dados pessoais;
- Segurança contra abusos no uso de dados.
Trata-se de uma lei complexa e que exige a conformação de várias ações das empresas.
Quais dados são protegidos pela LGPD?
Existem vários tipos de dados, de diversas naturezas, que têm proteção pela LGPD. Dentre eles estão:
- Dados pessoais (nome, endereço, telefone, e-mail, etc.);
- Dados sensíveis (raça, etnia, idade, crenças, posicionamento político, dados de saúde e genéticos, etc.);
- Dados financeiros e de pagamento (número do cartão de crédito, da conta bancária, histórico financeiro, etc.);
- Dados de localização (atuais, principais destinos, rotas comuns, etc.);
- Dados de comportamento (histórico de navegação na web, interações em redes sociais, compras e preferências de compras, etc.);
- Dados de comunicação (mensagens de texto, ligações, etc.);
- Dados profissionais (histórico profissional, carteira de trabalho, ficha de empregado, exames ocupacionais).
Quem é isento à adesão da nova legislação
Existem algumas exceções em relação à aplicação da nova lei de proteção à dados, elas acontecem quando a coleta e o tratamento de dados pessoais é realizado por pessoas naturais.
Ou seja, não empresas, para fins exclusivamente particulares e não econômicos.
Além disso, os dados estão autorizados para serem utilizados sem penalização exclusivamente para fins:
- Jornalístico, artístico ou acadêmico; o que não torna dispensável o consentimento;
- De segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
- Dados em trânsito, ou seja, aqueles cujo o destino não são os Agentes de Tratamento no Brasil — sobre isso, falaremos abaixo.
Profissionais envolvidos no processo de proteção de dados
Com a entrada da lei, também haverá a criação dos chamados Agentes de Tratamento de dados pessoais, nas figuras do Controlador e do Operador.
Esses indivíduos poderão ser pessoas físicas ou jurídicas, de direito público ou privado.
Ao Controlador compete as decisões referentes ao tratamento de dados pessoais, enquanto ao Operador, a realização do tratamento em nome do Controlador.
A principal obrigação estabelecida pela LGPD para os Agentes de Tratamento, foi a de manter registros de todas as operações de tratamento de dados.
Tal determinação se deu em decorrência do princípio de prestação de contas incorporado pela lei.
Para exemplificar, serão quatro personagens principais que atuarão ativamente na proteção dos dados em cada empresa:
- Titular: neste caso, o proprietário dos dados, todas as pessoas físicas;
- Controlador: é o tomador dos dados, ou seja, as pessoas jurídicas;
- Operador: como dissemos mais acima, é empresa responsável pela coleta de dados e sua efetiva segurança através de soluções automatizadas;
- Encarregado: profissional que responde pela de proteção dos dados da empresa. É o seu representante, que fará contato com a ANPD quando necessário e pode até ser responsabilizado junto com a pessoa jurídica no caso de mal uso dos dados ou seu vazamento por qualquer motivo.
O que são dados pessoais?
Dados pessoais são quaisquer informações que permitam identificar uma pessoa, tais como:
- nome e sobrenome,
- endereço,
- endereço de e-mail,
- números de documentos,
- dados de compras e cadastros online,
- telefones de contato, etc.
Penalidades pelo descumprimento da lei
Mais precisamente a partir de fevereiro de 2020, período no qual a nova lei entrará em vigor.
As penalidades pelo descumprimento da nova lei de proteção à dados podem envolver além de proibição total ou parcial de atividades relacionadas a tratamento de dados, grandes prejuízos financeiros à empresa em forma de multas.
Algumas sanções que poderão ser aplicadas:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento líquido da pessoa jurídica, limitada, no total, a R$ 50.000.000,00 por infração;
- Multa diária;
- Publicação da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais envolvidos na infração até a sua regularização;
- Eliminação dos dados pessoais envolvidos na infração.
Como preparar a empresa de tecnologia para a incorporação da LGPD
Conforme abordamos mais no início do artigo, após a sua aprovação, existe um prazo de 18 meses até que a nova lei de proteção à dados entre em vigor no país e, a partir de então, novos passos serão dados.
Com isso, muitas empresas podem ter dúvidas de como prosseguir com a gestão de dados os cuidados dos seus negócios.
Afinal de contas, durante esse período, os setores privados e públicos deverão se adequar e muitos obstáculos podem surgir pelo caminho.
Preparamos abaixo uma lista com alguns pontos importantes para adequar a sua empresa:
- Nomear um encarregado de proteção de dados para garantir que as determinações da LGPD sejam seguidas pela organização;
- Realizar uma auditoria dos dados presentes sob seus cuidados para garantir que a nova legislação esteja sendo respeitada por toda a equipe de negócio;
- Elaborar um mapa de dados da empresa no qual a gestão de TI e de dados está sob cuidados;
- Revisar as políticas de segurança existentes na sua organização, garantindo a melhores práticas de armazenamento e compartilhamento de dados dos clientes;
- Rever os contratos com consumidores e fornecedores, respeitando o direito de ambos em relação ao que é estabelecido pela nova lei de proteção à dados;
- Desenvolver um relatório de impacto de privacidade, para que toda a equipe possa ter ciência de como a empresa está se adequando a nova lei, e indicar quais pontos podem ser melhorados.
Quais são os impactos da nova lei de proteção à dados para as empresas?
A LGPD foi desenvolvida para que fosse possível o controle dos avanços de crimes cibernéticos, melhorar a segurança dos dados pessoais dos cidadãos e seus direitos em relação ao uso e armazenamento.
Seguindo essa linha de raciocínio, a ideia é impor uma limitação na coleta e utilização de dados, que possam ser utilizados a partir de uma autorização expressa, reforçando o consentimento.
Existem alguns impactos que estão previstos para as empresas. Veja a seguir.
Comunicação digital
As informações é o bem mais valioso de uma empresa atualmente, e eram utilizadas sem qualquer tipo de rastreabilidade e controle, sendo passível de vazamentos e de uso indevido.
A partir da vigência dessa nova regulamentação, eles voltam a ser considerados como bem do cidadão, e as empresas só poderão utilizar, a partir do momento que houver esclarecimento sobre os fins bem como o consentimento do responsável pela informação.
Isso traz impactos diretos no formato que a mídia social será trabalhada, já que os dados que eram utilizados em IA – Inteligência Artificial, publicidade, entre outros, sofrerão modificações significativas.
Para a utilização das informações, as empresas não tinham regras, mas a partir da entrada da nova lei de proteção à dados, existirão regras, e serão passíveis de sanções, caso ocorra o descumprimento.
Análise de dados
Todo o processo de captura de dados sofrerá com mudanças e adaptações, além do armazenamento e a utilização, que serão de propriedade do usuário.
A mudança, terá um ponto muito importante, que é o cuidado que as empresas precisarão ter no armazenamento das informações.
Com a LGPD, se houver qualquer tipo de exposição, violação ou vazamento de informações, será necessário ocorrer uma notificação aos usuários em até 72h do ocorrido, ou a empresa será penalizada com multas.
Antes da nova lei de proteção à dados, vários dados sensíveis eram coletados sem controle, como:
- Endereço,
- IP,
- idade,
- dados bancários e financeiros,
- orientação sexual, entre outros.
A empresa analisava, de acordo com sua estratégia, para a posterior tomada de decisão.
Agora, será necessário ser coletado apenas os dados relevantes para a estratégia, que sejam consentidos pelos usuários de forma clara e expressa, tanto o uso quanto o armazenamento.
Relacionamento de clientes com os e-commerces
O primeiro pensamento quando falamos em coleta de dados no ambiente online, são os e-commerces que oferecem produtos/serviços baseados nas suas buscas e preferências.
Atualmente, eles possuem uma grande dependência de informações, seja para publicidade, para segmentação, retargeting ou marketing.
A LGPD será utilizada como um novo funil para a relação do cliente com a empresa. O consentimento do uso das informações será mais uma barreira, e com isso, deve gerar mudanças na forma de abordagem e interação.
A concorrência pela fidelização do cliente terá um adicional, que será a autorização de uso de informações, onde empresas que não se adequarem, perderam muitos clientes.
Resumo da LGPD
Diante de tudo o que vimos é possível afirmar que a LGPD é uma norma que estipula os parâmetros para o tratamento de dados pessoais.
Esses dados podem ser dispostos de maneira física ou digital. Independentemente do formato, requerem proteção contra vazamentos e seu uso deve ser restrito ao que é realmente necessário e, também, aos usos que tiveram autorização pelo titular.
A LGPD, então, determina um conjunto de ações que são cruciais para que a segurança dos dados se mantenha. O desrespeito a ela gera uma série de sanções, que vão desde multas até a determinação de suspensão de atividades.