Entenda o que muda com a Lei Geral de Proteção de Dados Pessoais e as ações que sua empresa precisa tomar para se adequar e evitar ser multada.
“Pode me dizer seu CPF, por favor?” Cá entre nós, quem aqui já não ouviu essa pergunta em um momento cotidiano e achou, no mínimo, estranho ou até invasivo? Pois é. O levantamento e uso de dados sem a menor explicação de finalidade se tornou algo corriqueiro. Já era sabido que cedo ou tarde isso teria que ter um fim, ou pelo menos um controle. Esse momento chegou! Em 26 de agosto de 2020, foi aprovada pelo Senado Federal a medida provisória 959/20, e a Lei Geral de Proteção de Dados Pessoais, também conhecida pela sigla LGPD, entrou em vigor no dia 18 de setembro de 2020.
Esta lei estabelece uma série de regras para a coleta e tratamento de dados pessoais que valem para qualquer empresa no Brasil. Isso significa que, mesmo se a sua empresa for estrangeira, mas trabalhar com dados coletados no Brasil, ela estará sujeita à LGPD. E a multa pode ser milionária para quem não cumprir a lei.
Neste link, você encontra o texto completo da Lei Geral de Proteção de Dados Pessoais. Mas se você não tem muita familiaridade com o “juridiquês”, respondemos algumas das principais dúvidas sobre a LGPD para você se atualizar e planejar as adequações em sua empresa.
O que muda com a chegada da LGPD?
Basicamente, para pessoas físicas, o que muda é que agora podem contar com mais ética por parte das empresas e demais profissionais em relação à venda e uso indiscriminado de seus dados pessoais. Qualquer pessoa poderá cancelar a autorização que havia concedido para o tratamento de seus dados, obrigando a empresa a interromper essa atividade imediatamente.
Já para as empresas que lidam com dados pessoais, estas terão que deixar claro o porquê da coleta e o destino desses dados, sempre solicitando a autorização do titular (quem está fornecendo os dados). Além disso, deverão respeitar diversas regras de manuseio e boas práticas que visam resguardar a identidade de cada indivíduo que passe pelo sistema. A elaboração e aplicação desse compliance é exclusivo para cada categoria de negócio, pois a utilização dos dados varia de empresa para empresa.
Vamos dar um exemplo simples para você entender um pouco do que muda na prática. Hoje, se você tem um cadastro em uma rede social aqui no Brasil, mas deseja se descadastrar, a empresa continuará com seus dados para utilizar com as finalidades que deseja. Mesmo que seja somente redirecionar anúncios ou enviar e-mails convidando-o a voltar.
Com a LGPD, isso vai mudar. Se você não deseja mais que a empresa armazene ou utilize seus dados, será possível fazer essa solicitação. E, por lei, você deverá ser atendido. Para isso, haverá um órgão dedicado a fazer a fiscalização das empresas.
Quais são as punições para quem vazar dados? E quem vai fiscalizar?
De uma simples advertência a uma multa equivalente a 2% do faturamento anual da empresa, que pode chegar a R$ 50 milhões por infração. A punição varia conforme a gravidade do vazamento, sendo também levados em conta os procedimentos adotados pela empresa a partir do momento em que se é tomada consciência do problema.
Para cumprir suas obrigações, a nova lei prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD), um órgão que deve fiscalizar empresas tanto do setor privado como público. Também deve ser formado um grupo de 23 representantes que integram tanto o poder público como o civil, chamado Conselho Nacional da Proteção de Dados Pessoais e da Privacidade.
Entretanto, com as alterações recorrentes da data para que a lei entrasse em vigor, em consequência das incertezas do período de pandemia do Covid-19, multas ainda não serão aplicadas para quem descumprir as suas exigências. As sanções administrativas serão cumpridas a partir de agosto de 2021.
A LGPD vale somente para dados digitais ou documentos físicos também?
É verdade que, com a atual facilidade de captação e troca de dados via internet, fica difícil pensar que um dado pessoal pode não estar vinculado somente ao ambiente digital. Mas é verdade. Até mesmo a coleta de dados por formulários impressos está sujeita à LGPD.
A Lei Geral de Proteção de Dados Pessoais chegou para colocar nos trilhos o uso de dados pessoais correspondentes a toda informação que possa, de qualquer forma, isolada ou em conjunto de outros dados, identificar um indivíduo. E a definição de “dado pessoal” é bastante ampla.
Na visão da LGPD, o que define um dado pessoal?
A definição mais didática para explicar o que a LGPD considera como dado pessoal é: todo dado que pode, de alguma forma, gerar uma identificação do titular daquela informação de forma isolada ou em conjunto com outros dados. Nome, e-mail, CPF, endereço IP… todos são considerados dados pessoais.
Entretanto, dentre essas informações, há algumas que demandam uma atenção especial. São os dados pessoais de crianças e adolescentes e os dados pessoais sensíveis.
Estes últimos se referem a informações privadas que podem gerar algum dano ou discriminação para o titular. Para sermos mais precisos, do artigo 11 ao 13 da LGPD, dados pessoais sensíveis são: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso; filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico, quando vinculado a uma pessoa natural.
Tanto no caso de crianças e adolescentes quanto no caso de dados pessoais sensíveis, as regras para a coleta e tratamento de dados são mais rígidas.
A Lei Geral de Proteção de Dados Pessoais é brasileira?
Sim, mas foi inspirada em outra regulamentação. A lei que influenciou a criação da nossa LGPD foi a GDPR (General Data Protection Regulation), que nasceu após duas polêmicas. Uma, causada por um massivo vazamento de dados por parte do Facebook durante as eleições presidenciais estado-unidenses. A outra foi o famoso caso Snowden, onde um ex-administrador de sistemas da CIA tornou público detalhes de vários programas que espionavam dados pessoais de cidadãos de todo o mundo, especialmente dos próprios EUA.
Participar desta lei garante não somente mais ética entre as próprias empresas e profissionais brasileiros, como também permite que transações internacionais possam continuar acontecendo sem maiores problemas. Afinal, em quase toda a Europa, a lei já está vigente desde 2018.
Quais os primeiros passos para me adequar a LGPD?
Compilamos abaixo algumas providências iniciais. Lembrando que elas não esgotam nenhuma das obrigações da empresa e nem representam uma salvaguarda contra riscos. São apenas um ponto de partida para o processo de adequação.
- Curadoria completa de cada dado ou informação de todas as pessoas físicas que estejam no sistema, incluindo funcionários e prestadores de serviço;
- Curadoria da fonte de todos os dados que transitam pela empresa;
- Curadoria de percurso e finalidade de cada informação de cada dado sensível da empresa;
- Curadoria do modo de operação da captura dos dados e como eles são tratados atualmente e, se possível, simplificar esse procedimento.
Qual a estrutura que eu preciso ter para adequar a minha empresa?
Um conceito muito importante da LGPD é a definição de papéis para cada parte envolvida. Como falamos anteriormente, a pessoa que fornece os dados é denominada “titular”. Já a empresa que coleta e utiliza os dados é chamada de “operador”.
Mas a lei determina a criação de mais um ator nesse contexto. É o “controlador”, que pode ser uma pessoa física ou jurídica. O controlador será o responsável por tomar as decisões e monitorar como a empresa está coletando e tratando os dados. É como se ele fosse um guardião da LGPD para a empresa.
Isso significa que tudo deve ficar nas mãos do controlador? Não, pelo contrário. É fundamental que a empresa como um todo tenha consciência das exigências da lei e dos riscos que existem se elas não forem cumpridas.
A transparência e o cuidado com o uso e tratamento de dados devem fazer parte de todos os processos da empresa. Por isso, a adequação não será simples e muito menos algo que será feito uma vez só. As regras exigem monitoramento e ajustes constantes.
Uma opção para as empresas que precisam de orientações para se adaptarem é contar com empresas terceirizadas. A Vision Comunicação, por exemplo, oferece serviços de consultoria com profissionais especializados para adequação às normas, estratégias de comunicação interna para orientação dos colaboradores e campanhas de conscientização do público interno sobre as melhores práticas de LGPD. Tudo personalizado de acordo com as necessidades de sua empresa. Clique aqui para saber mais.
social vision