Lei Geral de Proteção de Dados veja como ela afeta sua empresa!

Ailton dos Santos Silva

O pano de fundo para o estabelecimento da Lei Geral de Proteção de Dados (LGPD) é a rápida evolução da tecnologia e da globalização. Com dados de atributo do cliente, informações de histórico de comportamento online e offline e IoT (Internet das Coisas), os dados foram coletados e acumulados de inúmeros dispositivos pela Internet.

Há uma necessidade crescente das empresas analisarem essas grandes quantidades de dados coletados em escala global usando a IA (Inteligência Artificial) para desenvolver produtos, melhorar serviços e criar modelos de negócios. Dentro disso, mantê-los devidamente protegidos e administrados se tornou de fundamental importância para qualquer organização.

Nesse contexto, abordaremos em que consiste a LGPD e o seu impacto nas empresas. Acompanhe!

O que é a Lei Geral de Proteção de Dados?

A LGPD foi estabelecida com base na necessidade de proteger as informações pessoais. Anteriormente, ocorreram anos de debate sobre o uso de dados pessoais em empresas. O Marco Civil da Internet foi a primeira tentativa de criar uma legislação focada no mundo digital. Porém, ela deixou algumas brechas a respeito da proteção de dados pessoais.

Nesse aspecto, a Lei Geral de Proteção de Dados surgiu para preencher as lacunas deixadas por outras leis específicas. Ela visa garantir padrões e aprimorar os direitos das pessoas físicas com relação às organizações que capturam seus dados para fins diversos. Podemos destacar as seguintes leis complementadas pela LGPD:

  • Constituição Federal;
  • lei do Acesso à Informação;
  • Código Civil;
  • lei do Cadastro Positivo;
  • Código de Defesa do Consumidor;
  • Marco Civil da Internet.

Por meio da LGPD o leque de dados pessoais a serem cobertos está em expansão. Além de informações como nome, endereço, endereço de e-mail e número de crédito, também inclui identificadores como endereços IP e cookies que podem ser usados para identificação pessoal e informações de localização.

Afinal, por que ela foi criada?

Essencialmente, a LGPD foi criada para garantir o direito dos indivíduos de controlarem seus próprios dados pessoais. Para alcançar esse objetivo, foi necessário desenvolver e unificar regras simples que possam ser cumpridas por várias entidades públicas e privadas, bem como fortalecer as punições por violações.

A LGPD teve influência da General Data Protection Regulation (GDPR), lei europeia que foi apresentada em 2012 e sancionada em 2016. A Lei Geral de Proteção de Dados veio de um projeto de lei na Câmara Federal e foi sancionada com alguns vetos pelo então presidente Michel Temer em 14 de agosto de 2018.

À medida que os dados pessoais são transferidos, processados e armazenados globalmente, tornou-se necessário cumprir as normas de gerenciamento apropriado. Fortalecendo a proteção da privacidade e desenvolvendo regras para uso e fortalecimento de sanções. A LGPD detalha alguns pontos importantes para delegar responsabilidades e níveis de atuação, são eles:

  • titular: a pessoa física proprietária dos dados pessoais que são coletados;
  • controlador: é o responsável, que pode ser uma empresa ou pessoa física, por coletar os dados e definir até quando ficarão no banco de dados;
  • operador: é a organização que faz o tratamento dos dados coletados sob a orientação do controlador;
  • encarregado: responsável por orientar os colaboradores sobre as práticas de tratamento de dados, sendo designado pela empresa controladora para promover a comunicação entre todos os envolvidos nos processos.

Do ponto de vista territorial, a Lei Geral de Proteção de Dados se aplica a toda e qualquer processo de tratamento realizado por pessoa física ou jurídica. Independentemente do meio pelo qual a coleta foi feita, ou de onde está a sede ou país que contém o armazenamento desses dados, as premissas da LGPD deverão ser seguidas, desde que:

  • o tratamento e a operação de dados sejam realizadas no Brasil;
  • os dados pessoais tenham sido coletados no território nacional, ou seja, caso o titular dos dados tenha fornecido suas informações estando no país;
  • o fornecimento de bens e serviços ou o tratamento de dados individuais sejam executados no Brasil.

Logo, um dos pilares da norma é estabelecer de modo claro todas as responsabilidades, procedimentos, direitos, deveres e penalidades para os envolvidos no processamento de operações com dados de diversos níveis, fornecidos pelos cidadãos.

Quando a lei começa a valer?

A Lei Geral de Proteção de Dados (lei Nº 13.709) passa a valer a partir de agosto de 2020. Tendo em vista a transparência do caminho percorrido pelos dados captados de pessoas. Ela tem grande importância para o mercado cada vez mais dinâmico e digital. Mesmo ainda havendo prazo para a devida reorganização e adequação das empresas, o texto já está sendo usado.

Em uma denúncia feita pelo Ministério Público do Distrito Federal e Territórios (MPDFT) o texto da LGPD já foi considerado. Nessa ocasião, foi instaurado pelo promotor uma investigação direcionada a empresas que comercializavam o acesso a dados e informações pessoais de cidadãos brasileiros. Dentre a base legal para os argumentos estava a nova lei.

De fato, diversos pontos da LGPD são voltados a boas práticas já existentes em processos de desenvolvimento de projetos sofisticados. Porém, esses pontos serão cobrados de forma mais rigorosa pela lei. Um exemplo disso é que quando a GDPR entrou em vigor na UE (União Europeia) vários serviços como o Facebook tiveram que se adaptar.

Diversos e-mails foram disparados para os usuários informando mudanças nas políticas de privacidade e termos de uso justamente por esse motivo. Com a Lei Geral de Proteção de Dados não será diferente — várias empresas já estão atualizando e revisando seus termos de uso de dados e comunicando a sua base de clientes.

O que exatamente está na LGPD?

A Lei Geral de Proteção de Dados colocou o Brasil no rol das nações que priorizam a proteção dos dados dos seus cidadãos. Isso demonstra o respeito aos indivíduos e o combate ao mau uso de informações. Afinal, a geração e o fluxo de dados ganharam grandes proporções devido à evolução digital e à conectividade.

De maneira geral, as empresas deverão ser transparentes com relação à finalidade do uso de dados pessoais e ter políticas de privacidade e proteção que garantam a confidencialidade. Os cidadãos terão o direito de intervir a qualquer momento nesse uso e de serem informados caso ocorra um incidente de segurança. Destacamos os principais pontos que constam na LGPD. Veja!

A responsabilidade direta do processador de dados

As organizações que processam dados pessoais de outras empresas ao fornecer serviços a elas (como empresas que fornecem soluções em nuvem ou de hospedagem de sites) serão diretamente responsáveis por violar a LGPD, incluindo o risco de receber uma penalidade financeira. Além disso, serão necessárias obrigações mais rigorosas do que antes para a criação de contratos de processamento, enquanto danos e limitações de responsabilidade provavelmente serão renegociados.

Direitos novos e ampliados dos cidadãos

Os titulares dos dados terão um direito estendido sobre informações pessoais, o que é de grande importância para as empresas baseadas na análise de dados. Além do mais também haverão:

  • exclusão de dados a qualquer momento, dirigido aos cidadãos que desejam que seus dados pessoais sejam deletados;
  • permissão para solicitar transferência de dados.

Também fica registrado nas disposições da LGPD regras novas ou suplementadas para obter consentimentos válidos e verificáveis para o processamento de dados pessoais de titulares de dados. Isso dá maior controle aos proprietários das informações coletadas em determinado momento.

Denúncia de violações

É da responsabilidade dos controladores de dados relatar violações após a detecção à autoridade supervisora competente. Sendo eventos que possam resultar em uma ameaça aos direitos e liberdades dos titulares dos dados. Também pode ser necessário notificar uma pessoa específica, sem demora injustificada, sobre um alto risco de violação de seus direitos ou liberdades.

Nomeação do inspetor de proteção de dados pessoais

Será de responsabilidade de algumas empresas que controlem e processem dados da nomeação de um Inspetor de Proteção de Dados Pessoais. Essa pessoa deve ter conhecimento especializado no campo da proteção de dados pessoais para que haja consistência na tomada de decisão e adequação das práticas corporativas internas.

Expansão da obrigação de informação

As disposições do LGPD indicam inúmeras informações que devem ser incluídas na comunicação sobre a maneira de processar dados pessoais endereçados aos titulares dos dados. Assim como a avaliação de impacto na proteção de dados que será obrigatória antes da realização de atividades de alto risco, como perfis em larga escala ou o uso de categorias específicas de dados (como dados de saúde).

Requisitos obrigatórios de inventário e documentação de dados

O controle e o processamento de dados serão necessários para preparar e manter registros abrangentes sobre os dados processados, incluindo, entre outros: razões para o processamento de dados, categorias de titulares e dados pessoais, destinatários de dados, registros de transferências internacionais de dados, registros de violações e incidentes, desenvolvimento e manutenção de regras proteção da privacidade de cada linha de produtos, armazenamento de consentimentos confirmados para processamento de dados, entre outros.

O que são dados sensíveis?

Os dados pessoais, como dito anteriormente, são referentes à localização e à identificação. Porém, os dados sensíveis consistem em características pessoais detalhadas, sejam preferenciais ou físicas. Podemos citar os seguintes exemplos:

  • ideologia política;
  • preferências religiosas;
  • diagnósticos de saúde;
  • peculiaridades físicas, como altura, peso, etnia etc.;
  • biometria;
  • orientação sexual.

O mau uso desses dados pode gerar diversos transtornos como campanhas publicitárias abusivas e invasivas, bem como a segregação. Caso a empresa se propuser a obter esse tipo de informação sensível, deverá tomar medidas que garantam a integridade. A penalização para incidentes nesses casos é muito mais pesada.

Logo, esses dados necessitam de um tratamento mais específico pelo captador. Se elas forem vazadas, podem ocorrer riscos de mapeamentos não autorizados, preconceitos, benefícios a grupos com interesses escusos em relação a características individuais específicas. A LGPD é igualmente aplicável aos chamados sistemas de arquivos.

Eles são coleções estruturadas de dados pessoais organizados de acordo com critérios específicos. Por considerações de segurança de dados, documentos com dados sensíveis devem ser mantidos em segurança. O grau de proteção deve ser determinado por um elevado critério, como dar acesso ao respectivo repositório com a devida autorização e registro.

Como ela pode afetar o meu negócio?

A LGPD abrange situações referentes à coleta e ao processamento de dados. De acordo com ela, considera-se tratamento toda operação realizada com dados pessoais, como as que se referem a: coleta, recepção, utilização, produção, classificação, distribuição, acesso, reprodução, transmissão, processamento, armazenamento, arquivamento, eliminação, avaliação ou controle da informação, comunicação, transferência, modificação, difusão ou extração.

Se você ou sua empresa exerce qualquer uma dessas atividades citadas, sua atividade será afetada pela Lei Geral de Proteção de Dados. Além do mais, suas diretrizes têm impacto direto em operações de pesquisa e desenvolvimento de marketing, entre outras. A lei também aborda em sua aplicação consequências em caso de danos coletivos ou individuais, morais ou patrimoniais, a entes privados ou públicos.

O não cumprimento desse regulamento pode causar diversas consequências punitivas. Elas podem ocorrer em várias instâncias, dependendo da gravidade da infração, como:

  • advertência: comunicado indicando prazo para a tomada de medidas corretivas;
  • multa simples: tendo limite máximo de 2% do faturamento da organização no seu último exercício, tendo limite de 50 milhões de reais por infração;
  • multa diária: acumulativa, porém, respeitando os limites estipulados na multa simples;
  • publicização da infração: publicação do ocorrido à sociedade após a devida apuração;
  • bloqueio dos dados pessoais: até que a regularização seja feita;
  • eliminação dos dados pessoais: exclusão definitiva dos dados do titular afetado.

No Capítulo V da LGPD fica estabelecido que para transferência internacional de dados só será permitida para organismos internacionais que garantam proteção de dados pessoais elevado. Ou seja, isso afeta negócios internacionais, pois ainda temos países com legislação muito desatualizada como o Chile. A Argentina também está nessa situação, tendo apenas um projeto de lei que ainda não foi aprovado.

Devido à mudança dos modelos de negócios, que agora estão amplamente atuando online como empresas de logísticas, que passaram a ter mecanismos de registro e controle de frota. Assim como as lojas de comércio virtual (e-commerce) que fazem uso do comportamento do usuário na rede e seu perfil para gerar ofertas e promover ações de marketing.

No caso de empresas menores será um processo de aprendizado, já que grandes corporações já têm uma infraestrutura de atuação nesse campo de coleta e gestão de dados. Independentemente de qualquer que seja o ramo de negócios, um sistema simples de registro de clientes já deve ser pensado e adaptado a LGPD.

Vale ressaltar que não é apenas o setor de TI da empresa que deve se preocupar com as adaptações necessárias previstas na Lei Geral de Proteção de Dados. O departamento de RH também será afetado diretamente ao coletar dados de colaboradores e candidatos a preenchimento de vagas, por exemplo. Por isso, o ideal é o envolvimento em todos os níveis da organização.

Como posso me adequar?

A Lei Geral de Proteção de Dados traz mudanças significativas do modo como as empresas devem basear suas atividades de coleta e prospecção de dados. Dentre as adequações exigidas pela LGPD está a preparação, por parte das organizações, da possibilidade dos usuários solicitarem a exclusão dos seus dados armazenados no servidor da empresa a qualquer momento.

Além disso, as 4 fases de avaliação, revisão de políticas, implementação e operação são necessárias para responder ao LGPD. As avaliações incluem a identificação de informações pessoais e a organização de leis e regulamentos aplicáveis. As considerações de política incluem o fortalecimento do sistema de gerenciamento, a revisão do uso de dados pessoais e a introdução e renovação de soluções do sistema.

Como o cenário atual aponta para uma quantidade crescente de dados confidenciais, as empresas devem adotar medidas para fortalecer a proteção de informações pessoais. Isso envolve criptografia e segurança online dos processos de transações. O certificado SSL (Secure Sockets Layer) é um exemplo disso, por meio dele, ao enviar informações do site, elas serão criptografadas.

Sabendo das demandas estabelecidas pelas diretrizes da Lei Geral de Proteção de Dados, alguns passos se mostram fundamentais para alcançar a adequação. Veja!

Comece a aplicar a LGPD antecipadamente

Embora ainda haja uma boa margem de tempo até a lei entrar em vigor em agosto de 2020, é essencial que as organizações já iniciem o processo de adaptação às novas diretrizes. Isso porque a empresa pode for aprendendo mediante a tentativa e erros, promove um amadurecimento prático. Dessa forma, a organização chegará muito mais preparada quando a lei começar a valer efetivamente.

Revise as informações que estejam no seu banco de dados e os formulários de cadastro de clientes para avaliar se eles estão dentro do permitido pela Lei Geral de Proteção de Dados. É importante começar essa tarefa desde já, a fim de iniciar uma trajetória de alcance ao nível exigido pela LGPD de modo consistente.

Analise a política de privacidade da sua empresar

Devido aos usuários não terem o hábito de ler termos e políticas de uso e privacidade, a maioria acaba aceitando de modo quase automático. As organizações também tendem a não dar a devida atenção a esses regulamentos, pois a facilidade de aceitação dos clientes é algo comum. Porém, isso terá que mudar, porque os termos de adesão precisarão ser objetivos e claros.

O ideal é começar a modificar os pontos que envolvem prospecção de dados dos clientes para não correr riscos de desconformidade com a legislação que estará em vigor em agosto de 2020. Sabemos que todo processo leva tempo e precisa ser estudado, justamente por isso a análise prévia permite o alinhamento estratégico e estruturado de maneira eficiente.

Documente os dados coletados

Como a Lei Geral de Proteção de Dados dá ao titular autonomia total em relação aos dados, é preciso que haja a documentação e inventário dessas informações como forma de comprovação do bom uso por parte da empresa. Além do mais, é preciso estar pronto para atender as solicitações do cliente em relação à modificação ou à remoção dos seus dados.

Outro ponto é garantir acesso seguro aos Data Centers e portais de clientes. Processar os dados pessoais dos clientes que são aprovados e designar profissionais para gerenciar os procedimentos de segurança para controle de acesso são de fundamental relevância. Afinal, isso ajuda a gerenciar as relações contratuais e também os dados de contato que são necessários para documentar o processamento de solicitações de negócios, cobrança e comunicações.

Mantenha uma melhoria contínua

Ter uma constante melhoria é fundamental para a manutenção da política interna de segurança da informação e cumprimento de toda a legislação vigente. A administração deve liderar o gerenciamento adequado dos ativos de informações da empresa e dos clientes, cumprindo as normas de uso e processamento.

O cumprimento dos requisitos legais e contratuais também devem estar ajustados à Lei Geral de Proteção de Dados, bem como regulamentos, normas e requisitos de segurança em contratos com clientes relacionados aos ativos de informação usados em atividades de negócios. Todas as respostas devem ser claras e objetivas, visando o aprimoramento contínuo.

Adote medidas de segurança

As medidas de segurança da informação devem ser consideradas uma questão importante de gerenciamento para as corporações. Em particular, proteger informações importantes, como dados pessoais e de clientes, acima de tudo, é uma responsabilidade social de empresas e organizações.

Se informações pessoais vazarem, elas podem se transformar em grandes problemas, como indenizações e ações judiciais. Além disso, a imagem da marca da empresa pode ser significativamente reduzida e o gerenciamento pode ser amplamente afetado, como a saída de clientes. A fim de cumprir as exigências da LGPD é essencial:

  • definir regras claras para empresas;
  • fomentar o desenvolvimento econômico e tecnológico;
  • resguardar o direito à privacidade;
  • garantir o direito do consumidor;
  • promover a segurança jurídica.

Dessa maneira, fica claro em que consiste a Lei Geral de Proteção de Dados e os seus impactos para os diversos tipos de negócios. Até ela começar a valer, busque atentamente mapear os seus processos empresariais com o auxílio especializado sobre a LGPD para adequar seus negócios aos novos padrões estabelecidos no país.

E então, gostou desse conteúdo? Agora que esclarecemos como a LGPD pode afetar as organizações, assine nossa newsletter e receba muitos conteúdos como esse e fique sempre informado. Até a próxima!

Posts Relacionados

Deixe um comentário