As sanções previstas na nova Lei Geral de Proteção de Dados – LGPD passaram a ser aplicáveis desde 1º de agosto de 2021. A Lei impacta tanto cidadãos como empresas de todos os setores, que vêm realizando movimentos para se adequar. Ela tem como objetivo assegurar a privacidade das pessoas, cada vez mais em risco diante do avanço da Internet e do compartilhamento de dados. Como toda mudança, de início pode parecer algo muito difícil de seguir. Afinal, estamos rodeados de dados e, na maioria das vezes, pautamos nossas decisões e atividades neles: Marketing, Produtos, RH, Jurídico…
Mas a verdade é que no final todos podem se beneficiar. Do lado mais óbvio, os cidadãos terão seu direito de privacidade assegurado. Do outro, marcas podem se fortalecer perante o seu público seguindo boas práticas e conquistando a confiança de seus clientes.
Se você ainda está perdido ou precisa apenas revisar a Lei para entender se sua empresa está no caminho certo, apresentamos aqui a LGPD em resumo e os principais pontos dela que você precisa saber:
1. O que são dados pessoais
Sabe quando você solicita que o seu cliente preencha uma ficha cadastral para participar do seu evento? Ou para conceder algum desconto especial, fornecer crédito, enviar um produto. Pode também se tratar dos seus colaboradores, você tem as informações deles – nome completo, endereço, CPF….. Em maior ou menor grau de detalhamento, tudo isso pode ser considerado um dado pessoal.
Em resumo, dados pessoais são aqueles que podem ser relacionados direta ou indiretamente ao seu titular, que é o proprietário dos dados. Ou seja, se uma informação permite identificar uma pessoa, então ela é uma informação pessoal. Até mesmo o IP (Protocolo da Internet), aquele que identifica a sua máquina, e os tão famosos cookies de navegação são considerados dados pessoais.
Então para começar a sua adequação, faça um mapeamento dos seus processos de coleta.
2. O que são dados sensíveis
Agora que você já sabe o que é um dado pessoal, vamos falar sobre o que são dados pessoais sensíveis. São aqueles que exigem atenção redobrada da sua empresa: sobre crianças e adolescentes; os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
Então se você tem uma escola, se o seu RH coleta esse tipo de informação na hora de contratar, se a sua empresa é da área da saúde, se você exige biometria como forma de identificação e tantos outros casos associados a coleta de dados sensíveis devem ser olhados com ainda mais cuidado.
3. Quais dados estão sujeitos à regulação
A lei se aplica para quem coleta dados, seja pessoa jurídica ou física, com objetivo econômico. Neste caso, todos os dados pessoais, ou seja, que permitem identificar uma pessoa e, como vimos, especialmente os sensíveis são protegidos pela LGPD.
A exceção se aplica aos dados que servem exclusivamente para os seguintes fins: particulares, jornalísticos e artísticos, segurança pública, segurança do Estado, investigação e repressão de infrações penais.
Além disso, a lei não se aplica a dados de fora do Brasil e que não sejam objeto de transferência internacional.
4. Anonimização de dados: o que é isso? Para que serve?
Anonimização é quando um dado passa por etapas que garantem a desvinculação dele ao seu titular. Assim, quando um dado é anonimizado ele deixa de se aplicar à LGPD. Ou seja, um dado é anonimizado quando, seja lá qual meio for utilizado, não é possível descobrir o seu titular. Mas atenção: se, de alguma forma, a identificação acontecer, então ele deixa de ser um dado anonimizado e passa a estar sujeito à LGPD.
E para que serve a anonimização? Inteligência Artificial, Internet das Coisas, Machine Learning (Aprendizado de Máquinas), Análise de Comportamentos…para todos esses fins, o dado anonimizado é essencial! Além de servir para aperfeiçoar a segurança da informação em uma organização.
5. Se a sede da minha empresa for estrangeira, também preciso seguir a Lei?
Sim! Não importa a localização da sede da sua empresa ou do seu centro de dados. A LGPD deve ser cumprida quando há o processamento de conteúdo de todas as pessoas que estão em território nacional, sejam elas brasileiras ou não. Você só pode compartilhar dados com outros países para cumprir exigências legais ou se seguir protocolos extremamente seguros, do contrário, não o faça. Para que correr o risco?
6. Consentimento: ponto focal da nova Lei
Sua empresa só pode coletar e tratar dados pessoais com o consentimento do titular. Ou seja, a pessoa precisa aceitar fornecer os dados dela a sua empresa para um determinado fim. E isso independe se você usa plataformas terceiras para capturar os dados. A responsabilidade ainda é sua.
O titular também pode, a qualquer momento, solicitar que seus dados sejam deletados, transferi-los para outro servidor e assim por diante. O dono dos dados é quem deve estar no comando! A Lei garante esse direito ao cidadão. Quanto mais transparente e fácil for o processo para solicitar o consentimento, acesso e remoção de informações por parte do usuário, melhor.
Contudo, há exceções! Sua empresa pode tratar dados pessoais sem consentimento se o intuito for: cumprir uma obrigação legal, executar política pública prevista em lei, realizar estudos via órgão de pesquisa, executar contratos, defender direitos em processo, preservar a vida e a integridade física de uma pessoa, tutelar ações feitas por profissionais das áreas da saúde ou sanitária, prevenir fraudes contra o titular, proteger o crédito ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.
7. Princípios básicos para o tratamento de dados
A LGPD traz em seu texto fundamentos e premissas básicas para a coleta e tratamento de dados que sua empresa precisa seguir à risca. Na verdade, essas premissas fornecem a você um caminho seguro para seguir. Ao responder algumas questões específicas, você conseguirá identificar se está ou não em conformidade e o que fazer.
Vamos lá, estes são os chamados princípios básicos
- Finalidade: De onde veio o dado e para qual fim será utilizado? Isso deve estar bem claro para o titular e você deve atender a este fim, ou seja, não usar o dado para outro objetivo.
- Necessidade: Você realmente precisa desse dado? Não colete dados que não sejam necessários.
- Transparência: Você deixa claro para os titulares como e por quanto tempo utilizará seus dados? Saiba que é direito deles acessar e alterar informações sempre que quiserem, por isso essas informações devem estar bem claras.
- Segurança e privacidade: Os dados que sua empresa coleta e armazena estão seguros com você? Adote medidas severas de segurança, limite acessos, estabeleça senhas seguras e faça o que for preciso para evitar vazamentos.
O mais importante a saber: toda e qualquer etapa de tratamento de dados deve ser realizada com o único objetivo de servir as pessoas.
8. Controlador, Operador e Encarregado: novos papéis corporativos
Para tomar conta de todos os processos relacionados à gestão e proteção dos dados e uma organização, alguns novos papéis foram criados a partir da Lei. São os agentes de tratamento de dados e cada um tem a sua função:
- Controlador: é quem toma as decisões sobre o tratamento, quais dados serão tratados, qual propósito e como será realizado o tratamento.
- Operador: é quem realiza o tratamento, em nome do controlador. Em outras palavras é a pessoa ou a empresa que processa e trata os dados pessoais seguindo ordens do controlador.
- Encarregado: é quem interage com os titulares dos dados – funcionários, fornecedores ou clientes – e a autoridade nacional. Esse cargo pode ou não ser exigido, dependendo do tipo ou tamanho da organização e do volume de dados tratados.
Criar um comitê para LGPD em sua empresa e nomear responsáveis é um passo fundamental para estar em conformidade.
9. A Autoridade Nacional de Proteção de Dados – ANPD
A Autoridade Nacional de Proteção de Dados Pessoais, ANPD é a instituição responsável pela fiscalização da LGPD em âmbito nacional. É ela quem vai aplicar as sanções em caso de descumprimento e violações da Lei, além de regular e orientar cidadãos e empresas. Ela contará com a colaboração dos agentes de tratamento, citados aqui.
As empresas que violarem a Lei poderão ser multadas em até 2% de seu faturamento anual, no limite de R$ 50 milhões. A ANPD emite alertas e orientações e define a gravidade da infração
10. Gestão contínua e segura
Uma vez iniciado o processo de adequação da sua empresa, o trabalho de gestão da conformidade deve ser contínuo e envolver toda a organização. O aculturamento da empresa é fundamental para que deslizes não sejam cometidos. Vale dizer que se você adota medidas preventivas e documenta seus processos corretamente pode servir de atenuante para sanções em caso de incidente. É a tal da boa vontade de fazer o certo que acaba em evidência. Atitudes positivas sempre são levadas em consideração.
Softwares de gestão com boas práticas embutidas, que possibilitam visibilidade sobre todos os processos da organização e a centralização da documentação, como a plataforma GlobalSUITE, são boas soluções para dar continuidade a um trabalho que tem começo, meio, mas nunca um fim.
Quer saber mais? Assista ao webinar “As chaves para se adequar à LGPDno Brasil e a gestão da conformidade”. Especialistas falam sobre os principais pontos da Lei, o passo a passo para se adequar e ainda fazem uma demonstração da plataforma GlobalSUITE.
Confira o texto da LGPD na íntegra aqui:
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
Você também poderá gostar desta matéria: A importância da Auditoria para LGPD
*Com informações da serpro.gov
No comment yet, add your voice below!