fbpx

Guia completo sobre a Lei Geral de Proteção de Dados (LGPD)

Guia completo sobre a Lei Geral de Proteção de Dados (LGPD)

Powered by Rock Convert

A enorme quantidade de dados que produzimos e disponibilizamos de forma voluntária na internet acaba se tornando uma ferramenta para que empresas e setores governamentais direcionem suas campanhas.

Por mais que exista o lado positivo dessa captação massiva de dados, a falta de um controle maior sobre essa coleta e tratamento abre brechas para ações abusivas e podem causar interferências em momentos importantes para a sociedade, como as eleições, por exemplo.

Quanto mais dados produzimos, mais ferramentas para estruturá-los aparecem e mais possibilidade se abrem. Foi necessário criar meios de regular esse fluxo e a melhor forma era dando poder ao titular dessas informações.

Assim, foram nascendo, em vários países, leis específicas para a proteção de dados, visando esse novo momento em que estamos vivendo. No Brasil, a LGPD — Lei Geral de Proteção de Dados — foi criada para suprir essa necessidade.

Neste post, você terá um panorama sobre a LGPD, seus impactos na experiência dos usuários e nas empresas que têm como base de suas operações a captação de informação. Acompanhe e confira!

O que é a LGPD?

Sancionada pelo ex-presidente Michel Temer, em agosto de 2018, a LGPD — Lei 13.709/2018 — é fruto de anos de debates acerca da regulamentação sobre a prospecção e uso de dados pessoais pelas empresas. A lei não passou a valer no ato da sanção, já que será necessára uma adaptação por parte dos envolvidos. Ela passa a vigorar efetivamente em dezembro de 2020.

A LGPD nasceu para servir de complemento a um conjunto de leis específicas que visam garantir o direito de pessoas físicas nas relações com empresas. Entre essas leis podemos destacar:

  • Constituição Federal;
  • Código Civil;
  • Lei do Acesso à Informação;
  • Código de Defesa do Consumidor;
  • Lei do Cadastro Positivo;
  • Marco Civil da Internet.

O Marco Civil da Internet foi a primeira iniciativa que os legisladores brasileiros tiveram na tentativa de criar uma lei com foco no mundo digital. Apesar da sua efetividade, essa lei deixava algumas lacunas em relação à efetiva proteção de dados pessoais.

Entenda como a LGPD dá mais protagonismo ao titular dos dados

O grande ponto que a LGPD traz é o protagonismo do titular em relação aos seus dados pessoais, ou seja, para que uma empresa possa capturar e tratar os dados de alguém, deverá ter o consentimento explícito da pessoa.

Além da autorização, o titular deve ser informado sobre os motivos da captação, forma de tratamento e o tempo em que os dados ficarão sobre responsabilidade da empresa. Mesmo após a captação dos dados, o titular deve ter o controle sobre a utilização, tratamento, modificação, transporte e remoção dos dados de forma simples e descomplicada.

Esse maior controle do proprietário impede que as empresas utilizem técnicas para conseguir a aceitação automática de termos de adesão. Como o consentimento deve ser explícito, isso demanda uma explicação clara por parte do captador.

Assim, fica vedada a utilização das letrinhas miúdas e os botões de confirmação pré-selecionados, como “OK”, “Aceito”, “Sim”, “Confirmar”, “Permitir” e qualquer outra palavra que leve a aceitação automática. Temos a tendência de ligar a internet à rapidez e, geralmente, não damos atenção a esses detalhes, o que favorece esse tipo de tática.

A lei detalha os papéis de quatro diferentes atores, são eles o titular, o controlador, o operador e o encarregado. Veja detalhadamente quem é quem:

  • o titular — é a pessoa física titular dos dados pessoais coletados;
  • o controlador — é a empresa ou pessoa física responsável pela coleta dos dados pessoais e que define como, por que e até quando as informações ficarão no banco de dados;
  • o operador — é a empresa que fará o tratamento desses dados sob as orientações do controlador;
  • o encarregado — é a pessoa física designada pela empresa controladora para ser o canal de comunicação entre as partes envolvidas, além de ser o responsável por orientar os outros colaboradores sobre as novas práticas de tratamento de dados.

O que são dados pessoais?

A LGPD foca em dados pessoais, o que para muita gente pode parecer algo abstrato, mas a lei deixa bem claro que essas informações são aquelas que, sozinhas ou em conjunto, permitem a possibilidade de identificação do titular, como:

  • nome e apelido;
  • endereço de residência;
  • e-mail;
  • número de cartão;
  • endereço IP;
  • localização;
  • cookies.

O que são dados sensíveis?

Além dos dados pessoais, a lei versa sobre os dados sensíveis, que são aqueles que vão além de informações localizadoras. Esses dados dão detalhes que entregam características pessoais, sejam elas físicas ou preferenciais. Entre alguns exemplos, podemos citar:

  • preferências religiosas;
  • ideologia política;
  • peculiaridades físicas, como cor de pele, altura, peso etc;
  • diagnósticos de saúde;
  • biometria;
  • etnia;
  • orientação sexual.

Essas informações requerem um tratamento especial por parte do captador, pois apresentam um risco de segregações, preconceitos e mapeamentos conjuntos não autorizados, beneficiando empresas e grupos que têm interesses escusos em relação a determinadas características pessoais.

Além da segregação, o mau uso dos dados sensíveis pode contribuir para campanhas de marketing invasivas e abusivas. Se a empresa se propuser a captar esse tipo de informação, deve garantir toda a integridade, pois a penalização nesses casos é mais pesada.

Como a LGPD agrega valor para o nosso país?

A criação e a sanção da LGPD colocou o Brasil no rol de países que se preocupam com a preservação dos dados de seus cidadãos. Ao demonstrar uma postura de combate ao mau uso dos dados pessoais, demonstra um respeito aos cidadãos e assegura às partes as diretrizes exatas sobre o que pode e o que não pode. Isso traz uma estabilidade maior, resultando em mais confiança para o investimento estrangeiro.

Os softwares desenvolvidos no Brasil também ganham credibilidade com a sanção da lei, pois passa a ser visto com mais confiabilidade, por estarem sendo criados com base na nova regulamentação, podendo ser adaptado para outros países que tenham a sua própria legislação.

A LGPD pode também se tornar um dos trunfos para o país pleitear a sua entrada na OCDE — Organização para a Cooperação e Desenvolvimento Econômico —, que reúne as maiores economias do mundo. Isso porque o Brasil se coloca entre os países pioneiros em focar nas transações comerciais seguras na web.

Qual a punição para o descumprimento da LGPD?

A LGPD, como qualquer outra lei, tem suas punições para quem não cumpri-la, levando sempre em consideração a gravidade de cada caso específico. Para isso, quando houver algum indício de infração, será feita uma triagem para identificar se houve ou não qualquer tipo de irregularidade relacionada a proteção de dados. Se houve mesmo a infração, será analisado qual impacto ela trouxe para o titular.

A multa será proporcional ao dano, podendo ser desde uma advertência simples até a penalização máxima, que poderá chegar a 2% do faturamento da corporação, limitado a R$ 50 milhões. Dependendo da intensidade do dano, a empresa pode ficar impedida de realizar atividades que necessitem de captação de dados, além de poder responder a outras violações previstas na Lei Geral de Proteção de Dados.

Quais as diferenças da LGPD para a lei europeia?

A Lei geral de Proteção de Dados brasileira tem forte influência da europeia GDPR — General Data Protection Regulation. Lá, a lei foi apresentada em 2012 e sancionada quatro anos depois, em 2016, em substituição a uma lei de 1995. Um dos principais focos dela é o controle na prospecção de cookies pelos sites, que era feito de forma automática, sem o consentimento do usuário.

Após a sanção da GDPR, assim como aconteceu com a lei brasileira, houve um período de adaptação para que as empresas pudessem adequar os seus processos à nova regulamentação. Sendo assim, a lei europeia passou a vigorar efetivamente em 2018, ano da sanção da nossa. As duas leis focam no protagonismo do titular em relação ao controle de seus dados pessoais.

Falando sobre diferenças, a primeira e mais marcante é que a LGPD é uma lei nacional, enquanto a GDPR é uma consolidação das leis dos países-membros da União Europeia. Enquanto no Brasil a intenção era a criação da Autoridade Nacional de Proteção de Dados, na Europa não há esse ente centralizador, cabendo a cada país criar as suas próprias agências.

Outra diferença entre as duas leis está nas penalizações, sendo que a lei europeia é bem mais específica quanto as sanções para cada tipo de infração, de forma objetiva. A lei brasileira já abre uma maior margem para a interpretação, tendo apenas um limitador como sanção mais rigoroso, que são os 2% limitados a R$ 50 milhões.

Como as empresas devem se adequar à LGPD?

A Lei Geral de Proteção de Dados muda radicalmente a forma como as empresas, que baseiam as suas atividades em prospecção de dados, terão que lidar com essas informações. Isso porque elas terão que se adequar às novas exigências legais e se prepararem para a possibilidade dos clientes pedirem a exclusão de suas informações do banco de dados a qualquer momento.

Como estamos falando de uma grande quantidade de informações confidenciais, a empresa deverá adotar as ferramentas para que esses dados sejam criptografados, centralizados e tenham um rigoroso controle de acesso. Quanto maior for a quantidade de dados prospectados, maior terá que ser a segurança, pois perder uma gama de dados com milhares de titulares trará enormes prejuízos.

Entenda quais são os principais impactos da nova lei

A Lei Geral de Proteção de dados é bem abrangente, ou seja, todas as empresas, independentemente do porte ou segmento, terão que respeitá-la. Qualquer tipo de prospecção de dados, mesmo que seja mínimo, se identificar uma pessoa, passa a ser englobado pela lei.

É importante que a empresa tenha essa base legal e entenda que necessitará do consentimento de todas as pessoas, de forma explícita. Além disso, é importante entender que, mesmo as informações estando no banco de dados da empresa, o titular deverá ter total autonomia para fazer qualquer tipo de intervenção, inclusive de se recusar a mantê-lo sobre a posse da corporação.

Quanto maior for a empresa, maior será a estrutura que ela deverá ter para dar conta da proteção dos dados. Isso significa que a LGPD trará impactos financeiros para os negócios, cabendo aos gestores encararem esse impacto como um investimento, já que, se alguma exigência for ignorada, os prejuízos poderão ser altos.

Entenda como deverá ser a atuação do Comitê de Segurança da Informação

Empresas maiores deverão criar um Comitê de Segurança da Informação, que ficará responsável pela análise de todos os procedimentos internos relativos aos dados prospectados. É importante que seja feito um mapeamento do ciclo que o dado seguirá e como eles serão tratados nesse período.

Isso inclui identificar o local onde eles serão armazenados, quem terá acesso, se serão compartilhados com terceiros entre outras situações. Após essa análise é que será possível fazer uma avaliação sobre a maturidade dos processos internos para receber essas informações e os riscos envolvidos.

Após a detecção do nível de maturidade interno, caberá ao gestor definir quais são os procedimentos para que a captação de dados se torne um procedimento seguro, tanto para a empresa, quanto para os titulares das informações.

Como se adaptar à nova lei?

Sabendo ao que se refere a LGPD e seus impactos, é necessário começar a se adaptar a ela para evitar problemas no futuro. Veja a seguir as nossas dicas para iniciar esse processo.

Não espere a lei entrar em vigor para começar a aplicá-la

Mesmo tendo uma boa margem de tempo até chegar dezembro de 2020, é importante que a sua empresa comece desde já a se adaptar às novas práticas. Isso porque, ao fazer aos poucos, aprendendo por tentativas e erros, a corporação chegará muito mais preparada na época em que a lei entrar em vigor.

Se a sua empresa já trabalha com coleta de dados de clientes, é importante que comece desde já a trabalhar conforme a lei, ou, pelo menos, iniciar um caminho para chegar nesse nível. Revise todos os dados que estejam em seu banco de dados, seus formulários de captação e cadastros e veja se está tudo dentro do que é permitido de acordo com a LGPD.

Por exemplo, verifique se você coleta dados sensíveis e lembre-se de que será necessário um cuidado maior ao manipulá-los. Se antes da lei as empresas coletavam o máximo de dados possíveis para depois fazer uma triagem dos relevantes, agora o processo deverá ser o inverso. Entes de decidir coletar um dado, é importante definir se ele realmente será relevante para a empresa, para que não se torne uma dor de cabeça mais tarde.

Uma empresa que vende assinaturas de software como serviço, precisará de tempo para que as adaptações fiquem realmente conforme a lei, e os testes deverão ser feitos desde já, em todas as camadas, do código à hospedagem. Esse tempo que temos até lá poderá ser precioso para que tudo fique 100% alinhado.

Analise a sua política de privacidade

Poucas pessoas têm o hábito de ler as políticas de privacidade e os termos de uso, a maioria aceita de forma quase automática. As empresas também não se preocupam muito em explicitar esses regulamentos, facilitando a aceitação quase automática dos clientes. A partir de dezembro de 2020, isso terá que mudar, pois os documentos de adesão deverão ser bem claros e objetivos, com foco nos pontos que envolvem a prospecção dos dados.

Adote o Privacy by Design

Para quem trabalha com o desenvolvimento web ou de software, caberá abordar a proteção de dados desde o desenvolvimento do sistema. É necessário que todo o projeto seja pensado com foco na LGPD, incorporando as diretrizes diretamente na própria arquitetura e ao modelo de negócio. Assim, o próprio usuário será capaz de gerenciar as suas próprias informações de forma desburocratizada, como manda a legislação.

Como avaliar os processos internos para entender sobre a sua adequação?

Já falamos sobre como as empresas deverão se adaptar à nova legislação no trato com os dados em relação às normas e titulares — agora vamos focar nas mudanças internas. Para conseguir atender às exigências da LGPD, as corporações precisarão seguir algumas obrigações que garantam aos usuários finais um maior controle e autonomia sobre os seus dados, mesmo eles estando dentro do banco de dados da empresa.

Por isso, vamos ver a seguir alguns dos procedimentos necessários para essa readequação. Confira!

Saiba quais são os tipos de dados que a sua empresa coleta

A partir de dezembro de 2020, todo dado pessoal coletado, independentemente da empresa considerar relevante ou não, estará respaldado pela lei. Muitas corporações não conhecem os tipos de dados que coletam e não têm a real noção da amplitude de informações que detêm.

Já pensou se a sua empresa perde o direito de coletar dados? Se estivermos falando de uma prestadora de serviços, que depende de cadastros, ela fica com suas atividades paradas. Um e-commerce ficaria impedido de vender e uma agência de marketing impedida de utilizar os dados, que são fontes importantíssimas de insights em suas campanhas. A verdade é que nenhuma dessas corporações conseguiria prosperar.

Por isso, é importante que, desde já, seja feita uma triagem, com a criação de um procedimento que reúna todas as informações criadas pela empresa para que seja possível monitorar os dados dos usuários de forma mais estratégica.

Adote medidas de segurança

A partir do momento em que a empresa fica responsável pelo dado pessoal de um usuário, ela deve dar todas as garantias de manutenção da segurança dessas informações. Para isso, caberá à corporação inserir em suas políticas de segurança vigentes parâmetros de seguranças que visam a proteção dessas informações, como o uso de criptografia dos dados, monitoramento, backups e um controle de acesso.

Cabe ao gestor só dar liberdade de acesso a determinados locais do servidor, de acordo com as necessidades de cada função. Quanto mais restrito for o acesso aos dados, menores serão as chances de algum vazamento.

Documente os dados coletados

A lei dá autonomia total ao titular em relação aos dados, sendo que ele poderá, a qualquer momento, modificar, inserir ou remover informações. Cabe à empresa estar pronta para atender a essas demandas, por isso os dados deverão estar bem documentados.

A Lei Geral de Proteção de Dados exige que todas as informações sejam documentadas e inventariadas, para que a empresa possa comprovar o bom uso dos dados de seus clientes.

Mantenha uma rotina de melhoria contínua

Quando a LGPD finalmente entrar em vigor, além das empresas já terem que estar preparadas e adaptadas, elas deverão adotar a rotina de controlar constantemente os seus processos. É necessário reduzir cada vez mais a margem de erro e fazer os cuidados em relação a lei se tornarem parte da cultura corporativa. Para isso, é necessário que haja revisões constantes e uma busca pelo aprimoramento.

Cabe aos gestores fazer os membros de sua equipe entenderem que os principais objetivos da Lei Geral de Proteção de Dados são:

  • resguardar o direito à privacidade;
  • definir regras claras para empresas;
  • fomentar o desenvolvimento econômico e tecnológico;
  • garantir o direito do consumidor;
  • promover a segurança jurídica.

Após esse trabalho de revisões e melhorias, com o tempo as coisas vão se alinhando e vai chegar um momento em que a empresa atuará com foco na lei, de forma natural, sem a necessidade de criar momentos especiais para discuti-la, pois ela já fará parte da cultura organizacional.

Neste guia, entendemos melhor como funciona a Lei Geral de Proteção de Dados que entra em vigor em dezembro de 2020. Ela entrega ao titular dos dados pessoais uma autonomia sobre o uso dessas informações, garantindo o direito ao consentimento e acesso aos dados a qualquer momento.

Diferentemente do que é hoje, as empresas deverão explicitar quanto, como e por que estão coletando aquela informação, além de dizer até quando ficará com elas. Internamente, as empresas que fazem a coleta de dados pessoais deverão mudar alguns procedimentos, criando políticas de privacidade, segurança e dando condições para que o usuário tenha o controle de seus dados.

A transformação digital está revolucionando o mundo, os dados têm cada vez mais valor para as mais variadas atividades. Por isso, a Lei Geral de Proteção de Dados é parte dessa evolução, dando limites para que as coisas se tornem mais organizadas.

Gostou do nosso guia completo sobre a LGPD e seus impactos na rotina das empresas? Então assine já a nossa newsletter e receba, em primeira mão, todas as nossas novidades.

Deixe um comentário

avatar

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

  Subscribe  
Notify of