A segurança de dados tem se tornado uma preocupação em todo o mundo. Seguindo os passos da União Europeia, que sancionou o Regulamento Geral sobre a Proteção de Dados em 2018, visando reforçar a privacidade e os direitos do cidadão digital, o Brasil passou a adotar uma conduta semelhante. Com isso, surgiu a LGPD.
E não poderia ser diferente. Com a hiperconectividade e processos cada vez mais digitalizados, a segurança dos dados pessoais tornou-se uma questão cada vez mais relevante. Assim, para adequar-se à nova legislação, é preciso que as empresas brasileiras conheçam a LGPD, e é sobre isso que trataremos neste artigo.
- O que é LGPD?
- Quais as principais mudanças e impactos para as empresas?
- Quais sãos as principais regras da LGPD?
- E se a empresa descumprir as normas?
- Quando a LGPD entra em vigor?
- Como se enquadrar à LGPD?
O que é LGPD?
A LGPD, ou a Lei Geral de Proteção de Dados, foi criada com o intuito de estabelecer regras para a regulamentação das práticas do uso de dados no ambiente digital, criando um cenário de segurança jurídica para proteger o direito à liberdade e privacidade dos usuários.
A necessidade da criação da LGPD surgiu da proporção que a gestão de dados tomou na economia digital. Afinal, a coleta de dados tornou-se um recurso estratégico para garantir vantagens competitivas às grandes empresas do meio.
Além disso, a era digital também trouxe consigo diversos dilemas éticos nos quais não nos preocupávamos antes.
Nesse contexto, temos visto grandes empresas envolvidas em escândalos de vazamento de dados, atingindo e expondo milhares de usuários ao redor do mundo.
Diante disso, reforçar e regimentar às práticas de tratamento de dados tornou-se algo primordial.
Assim, a principal proposta da LGPD é proporcionar mais controle ao cidadão digital no tocante ao tratamento dado às suas informações pessoais.
Ela baseia-se nos direitos fundamentais de liberdade e privacidade, demandando mais transparência e responsabilidade às empresas e órgãos públicos que detém e manejam esses dados.
Isso inclui, por exemplo, o consentimento explícito do usuário para a coleta e uso dos dados, além de obrigar as empresas detentoras desses dados a oferecer opções para que o usuário possa acessar, corrigir, apagar e realizar portabilidade dos dados.
Como a LGPD surgiu?
Como já dissemos anteriormente, a criação da Lei Geral de Proteção de Dados baseou-se na constituição do GDPR (General Data Protection Regulation) na União Europeia em 2018.
Por sua vez, o GDPR tem os mesmos objetivos de regulamentação e segurança, mas aplicados aos países que fazem parte da área econômica europeia.
Contudo, antes mesmo da vigência do GDPR, o Brasil já desenhava as primeiras discussões sobre a necessidade de uma lei de proteção de dados.
Mas foi apenas em 2010 que o Ministério da Justiça lançou uma pesquisa relacionada ao tema.
Com isso, alguns parlamentares começaram a apresentar alguns Projetos de Leis relacionados à segurança de dados, porém apenas com a criação do GDPR na Europa o tema passou a ser discutido com mais urgência e seriedade.
No mesmo ano em que o GDPR entrou em vigor, o Congresso Brasileiro reuniu as propostas do Projeto de Lei da Câmara PLC 53/2018, avançando até a provação e transformando-se na Lei 13.709 de 2018, que pode ser conferida na íntegra aqui.
Quais as principais mudanças e impactos para as empresas?
Na prática, a LGPD traz muitas mudanças à maneira com que se gere os dados dos cidadãos digitais nas empresas atualmente. Afinal, adequar-se à nova lei de privacidade e proteção de dados não é opcional, mas uma obrigação.
Mas isso deve ser visto como algo bom pelas empresas. Hoje, já há um grande movimento internacional no sentido de que as empresas tratem os dados com mais transparência e controle no tratamento, visando o respeito e a privacidade dos usuários.
Com isso, observa-se um impacto, também, moral às organizações, de modo que adequar-se às novas regras também é uma questão de manter-se competitivo, alinhado às demais empresas que já oferecem tal segurança.
Portanto, ajustar-se à LGPD não propicia apenas uma gestão mais eficientes dos processos da organização, mas também tem impacto direto nas suas relações comerciais e reputação no mercado.
Assim, as organizações não devem analisar e alterar sua dinâmica de tratamento de dados em suas operações apenas para diminuir os riscos de possíveis aplicações das sanções previstas em lei para quem descumpri-la, mas deve ter como objetivo agregar maior valor ao seu negócio, uma vez que os dados são, hoje, essenciais para tais organizações.
Quanto às mudanças propriamente ditas, há de se esperar que sejam diversas. As empresas terão de revisar seus contratos, sistemas e processos, a fim de garantir que estão ajustadas à lei de proteção de dados.
Isso porque um dos pontos de maiores destaque da LGPD exige que o titular dos dados consinta de maneira explícita com a utilização dos mesmos. Além disso, a empresa deve comprovar que a coleta desses dados é de, alguma forma, útil para sua interação com seus consumidores.
Além dessas, outras condutas devem ser observadas pelas empresas, dentre as quais falaremos mais a frente.
O cenário em que vivemos atualmente
Não é preciso dizer que essas mudanças afetarão muitas empresas que hoje usam os dados do titular para os mais variados fins.
O que vemos atualmente são organizações solicitando aos usuários digitais, no momento da feitura de cadastro para a realização de compras e afins, uma sucessão de dados que, muitas vezes, não possuem relação com a finalidade da empresa.
Embora esses dados devessem ser sigilosos, o cenário mostra algo diferente. É comum que essas informações sejam comercializadas e usadas para outros fins.
Não à toa já estamos acostumados a receber diversas ligações e mensagens de empresas para as quais nunca fornecemos nossos dados. Todavia, a LGPD promete mudar esse cenário.
Como a LGPD afeta o mercado de trabalho?
Outra mudança já possível de se visualizar está relacionada ao mercado de trabalho.
Isso porque a LGPD determina que todas as empresas que realizam gestão de dados devem ter um profissional chamado de Encarregado dos dados, o que corresponde ao Data Protection Officer, ou DPO, no GDPR.
O Encarregado é um executivo responsável pela proteção dos dados, isto é, o profissional responsável por eles.
Ele deve ter uma formação interdisciplinar que inclui conhecimentos da nova legislação, de governança de bases de dados pessoais e de segurança da informação, por exemplo.
Além de proteger tais dados, o Encarregado também deve atuar como porta-voz da organização diante das autoridades e dos titulares dos dados, especialmente quando se trata de reportar situações de incidentes de violações de dados pessoais.
A necessidade desse profissional nas empresas deve ter impacto positivo no mercado de trabalho, com a criação de milhares de empregos e novos cargos dentro dessas companhias.
Ainda não se sabe ao certo quantos novos postos devem ser criados no Brasil, mas é possível se ter uma ideia. Quando o GDPR vigorou na Europa, por exemplo, foram criados cerca de 28 mil novos cargos.
Um estudo realizado pela International Association of Privacity Professionals (Associação Internacional de Profissional de Privacidade) prevê a criação de 75 mil novos postos de trabalho em todo o mundo devido a implementação de regras como a europeia.
Quais sãos as principais regras da LGPD?
Agora que você já sabe o que é e como a LGPD pode afetar a sua empresa, é hora de conhecer, de fato, quais são as regras sobre as quais comentamos ao longo deste artigo.
Antes de começarmos é preciso que você entenda alguns conceitos descritos na LGPD quanto ao processo de tratamento de dados. Vamos lá?
Nomenclaturas
O artigo 1º traz algumas definições de certos termos para o entendimento completo da Lei Geral de Proteção de Dados Pessoais. São eles:
- Dados pessoais: informações relacionadas a pessoa natural identificada ou identificável
- Dado pessoal sensível: informação pessoal relativa à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Dado anonimizado: dado que diz respeito a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- Banco de dados: conjunto estruturado de informações pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
- Titular: a quem se refere os dados pessoais que são objeto de tratamento;
- Controlador: a quem competem as decisões referentes ao tratamento de dados pessoais;
- Operador: pessoa que realiza o tratamento de dados pessoais em nome do controlador;
- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre controlador, titular e autoridades competentes;
- Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, distribuição, processamento, armazenamento, eliminação etc.;
- Consentimento: manifestação livre pela qual o titular permite o uso dos dados para determinada finalidade;
- Eliminação: exclusão de dados armazenados em banco de dados, independentemente do procedimento empregado;
- Transferência internacional de dados: transferência dos dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
- Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais; e
- Relatório de impacto á proteção de dados pessoais: documento do controlador que contém a descrição dos processos de tratamento de dados que podem gerar riscos.
Direitos do titular
O artigo 9º descreve quais são os direitos garantidos aos titulares. Dentre eles estão:
- acesso facilitado às informações sobre o tratamento de seus dados;
- saber qual a forma e duração do tratamento;
- conhecer quem é e qual é o contato do controlador;
- ser informado se há uso compartilhado dos dados e com quais entidades públicas ou privadas o controlador compartilhou os dados;
- saber quais as responsabilidades dos agentes que realizam o tratamento.
Além desses, a lei ainda aborda os seguintes direitos:
- à privacidade;
- autodeterminação informativa;
- liberdade de expressão, de informação, de comunicação e de opinião;
- inviolabilidade da intimidade, da honra e da imagem;
- desenvolvimento econômico, tecnológico e a inovação;
- livre iniciativa, livre concorrência e a defesa do consumidor;
- direitos Humanos, livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais;
- revogação do consentimento;
- correção, anonimização, bloqueio ou eliminação de dados;
Requisitos para o tratamento de dados pessoais
O artigo 7º descreve em quais hipóteses o tratamento de dados pessoais pode ser realizado:
- mediante consentimento do titular;
- para o cumprimento de obrigação legal ou regulatória pelo controlador;
- pela administração pública, para o tratamento e uso compartilhado de dados necessários á execução de políticas públicas previstas em leis;
- para a realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte do titular, a pedido do titular;
- a fim de realizar exercício regular de direitos em processo judicial, administrativo ou arbitral;
- com objetivo de proteger a vida ou incolumidade física do titular ou de terceiro;
- como meio para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
- no sentido a proteção do crédito.
Restrições
Por fim, a lei também descreve inúmeras restrições quanto ao processamento dos dados pessoais e dados sensíveis do titular. Dentre elas, podemos citar:
- comunicação ou uso compartilhado de dados pessoais sensíveis com o objetivo de obter vantagem econômica;
- ceder ou vender informações de contato de potenciais clientes para divulgação de produtos e serviços por telemarketing, por exemplo;
- uso dos dados por parte da própria empresa para uma finalidade diferente da qual foi acordada anteriormente com o titular;
- processamento de dados de crianças ou menores de idade sem o consentimento de ao menos um dos pais ou responsável legal;
- acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação, ou qualquer forma de tratamento inadequado ou ilícito.
Para que as informações seja compreendidas de maneira integral, recomendamos fortemente o acesso à lei na íntegra, conforme link já disponibilizado nesse artigo.
E se a empresa descumprir as normas?
Com a criação de leis, é natural que, com elas, também crie-se sanções legais aplicáveis em caso de descumprimento.
E a existência de sanções para o descumprimentos das normas da LGPD é um dos fortes motivos para que as empresas se adequem à lei o quanto antes.
Porém, a aplicação dessas sanções pode depender da situação analisada e da gravidade que apresenta o desacato. Primeiro, é preciso que as autoridades competentes investiguem se realmente houve infração da LGPD.
Caso positivo, as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa do acusado, conforme explica o artigo 52º.
Serão considerados, ainda, alguns parâmetros como critério de escolha da sanções administrativas aplicáveis, como:
- gravidade;
- a boa fé do infrator;
- vantagem euferida ou pretendida pelo infrator;
- sua condição econômica;
- reincidência;
- grau de dano;
- cooperação do infrator;
- entre outros.
Quanto às sanções nas quais a empresa infratora fica sujeita, podem variar entre:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% do faturamento da empresa de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração;
- multa diária, observando o limite total citado no tópico anterior;
- publicização da infração após devidamente apurada e confirmada sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável até a regularização da atividade de tratamento pelo controlador;
- proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Quem fiscaliza o cumprimento da LGPD?
Visto a possibilidade de sanções para o descumprimento da lei, é natural que haja uma entidade que fiscalize e garanta a aplicação da LGPD por parte das organizações.
Essa entidade é a ANPD, ou Autoridade Nacional de Proteção de Dados. Vale dizer que, inicialmente, a criação da entidade foi vetada pelo Poder Executivo, uma vez que implicaria em inconstitucionalidade do processo legislativo por trazer vício de iniciativa.
Posteriormente, porém, o presidente em mandato no período, Michel Temer, concordou com a criação do órgão de administração pública indireta, enviando um projeto de lei para essa finalidade.
A LGPD definiu também a figura do Encarregado para atuar como canal de comunicação entre o Controlador, os titulares dos dados pessoais e a ANPD, conforme já mencionamos no tópico de nomenclaturas.
Portanto, todo e qualquer acidente que envolva dados pessoais e que ofereça riscos aos seus titulares deverão ser reportados à entidade por meio dos Encarregados.
Para quem vale as novas regras da LGPD?
Outro ponto a ser tratado aqui é a quem se aplica as regras e, também, sanções da LGPD.
Pode ser óbvio pensar que a lei se restringe às empresas brasileiras, e esse pensamento, é claro, está correto. Contudo, não apenas às empresas brasileiras.
Com um mercado aberto, é normal que o Brasil tenha, em seu território, diversas empresas estrangeiras. Ou seja, são organizações que operam em território brasileiro, mas não são brasileiras.
Por atuarem no Brasil e, consequentemente, coletar dados de cidadãos brasileiros, essas empresas não estão livres das normas previstas na LGPD.
Isso quer dizer que as determinações da lei valem para qualquer empresa, ou organização, com operações de tratamento de dados realizado em território brasileiro.
O mesmo vale, ainda, para empresas que não estão sediadas no Brasil, mas que, mesmo assim, coletam dados pessoais de brasileiros. Portanto, o processamento desses dados também deve seguir as diretrizes da LGPD.
Vigência da LGPD
A princípio, a lei entraria em vigor 18 meses após sua publicação, isto é, em fevereiro 2020. Posteriormente, essa data foi alterada, sendo adiada para agosto de 2020.
Porém, a vigência da LGPD ocorreu apenas no dia 18 de setembro de 2020. Contudo, as penalidades da LGPD passam a valer apenas em agosto de 2021. Além disso, a LGPD ainda espera a criação e início da atuação da ANPD.
Como se enquadrar à LGPD?
Apesar da extensão do prazo para a aplicação das sanções, não é momento para esperar. Mudar seus processos é algo que pode levar tempo, o que significa que a empresa deve começar esse planejamento o quanto antes.
O primeiro passo para essa mudança é uma análise atual do seu negócio no tocante à segurança de dados, a fim de identificar os pontos que precisam ser alterados. Essas mudanças podem ser técnicas, como atualização das políticas de proteção e privacidade de dados ou jurídicas, por exemplo.
Também chegará o momento de montar um time especializado para lidar com todos os processos relacionados à nova lei. Como já explicamos ao longo do artigo, para adequar-se às novas normas a organização precisará contar com várias figuras importantes, como o Encarregado de proteção de dados e o Controlador.
Uma das possibilidades, aqui, é capacitar sua equipe para ocupar esses cargos importantes na empresa. Nesse caso, nós, do Certifiquei, podemos te ajudar a passar por essa transição de maneira mais simples com os cursos que preparamos especialmente para suprir essas necessidades.
Não perca mais tempo e comece a se preparar para a LGPD hoje mesmo!