LGPD no Brasil: Saiba como se adequar à Lei Geral de Proteção de Dados Pessoais
Quer entender o que muda com a LGPD e como se adequar à Lei Geral de Proteção de Dados Pessoais?
Se você tem um negócio de qualquer porte que lida com informações do público, sejam elas específicas ou tão simples quanto apenas um nome, é muito importante estar por dentro.
A partir de agosto de 2020, todas as empresas do Brasil precisarão estar em concordância com essas regras.
Seja qual for o tamanho do investimento necessário, ele muito provavelmente valerá a pena, porque as multas para quem não se enquadrar na lei podem chegar a R$ 50 milhões.
A ideia da LGPD é criar uma cultura de respeito à privacidade dos dados.
Afinal de contas, ninguém gosta de ter sua vida exposta a terceiros, especialmente quando esses terceiros são empresas ou serviços pelos quais não se tem interesse.
Vamos então ver o que muda e como se adequar.
O que é LGPD?
LGPD é a Lei Geral de Proteção a Dados Pessoais (Lei Nº 13.709, de 14 de agosto de 2018), sancionada pelo então presidente Michel Temer.
Ela regulamenta o tratamento que é dado às informações de pessoas colhidas por parte de empresas, especialmente na internet, via formulários.
Desde a coleta até a classificação, o processamento, o armazenamento, e principalmente a utilização e a transferência.
Entre outras disposições, proíbe qualquer empresa de transmitir esses dados sem consentimento expresso dos titulares.
Ao registrar qualquer informação de clientes, portanto, toda empresa terá que se sujeitar à LGPD.
O texto começa a valer em agosto de 2020, dando um prazo de dois anos para readequação.
Contexto da LGPD no Brasil
A LGPD é descendente direta da GPDR (sigla em inglês para Regulamento Geral da Proteção de Dados).
A GPDR surgiu na Europa após os escândalos de vazamento de dados sem consentimento por parte de gigantes como o Facebook.
Nos Estados Unidos, Mark Zuckerberg teve que se explicar à Justiça e foi condenado a pagar uma multa de 5 bilhões de dólares, além de cumprir com uma série de obrigações em sua rede social.
Pioneira no ramo, a GPDR atualizou a lei de privacidade europeia de 1995, com o objetivo de garantir transparência aos cidadãos no que diz respeito ao uso dos seus dados.
As grandes empresas de tecnologia têm cumprido as exigências até mesmo em relação a clientes que não moram na Europa.
No caso do Brasil, a LGPD especifica alguns pontos do abrangente Marco Civil da Internet, sancionado em 2014.
Vem para colocar o país no mesmo patamar das nações europeias e norte-americanas no combate ao tratamento indevido de dados na internet.
Principais pontos da Lei Geral de Proteção de Dados Pessoais
Como praticamente qualquer empresa armazena algum dado de seus clientes e fornecedores, o impacto da LGPD será bem amplo.
Definições
A lei começa estabelecendo nomenclaturas e criando algumas figuras no processo de tratamento dos dados.
Uma das novidades é a instituição da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar todo o processo.
Confira alguns dos conceitos.
Dado pessoal é qualquer informação relativa a pessoa “identificada ou identificável”
Dado pessoal sensível é informação relativa a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, saúde, vida sexual ou dado genético ou biométrico
Dado anonimizado é relativo a um titular que não possa ser identificado
Banco de dados é o conjunto estruturado de informações pessoais
Titular é a pessoa a quem se referem os dados
Controlador é a pessoa responsável por tomar as decisões referentes a tratamento de dados
Operador é quem executa o tratamento em nome do controlador
Encarregado é a pessoa responsável pela comunicação entre as três partes: o controlador e o operador (empresa), o titular e a Autoridade Nacional de Proteção de Dados.
Consentimento é a manifestação livre pela qual o titular permite o uso dos dados (o ônus da prova cabe ao controlador).
Relatório de impacto à proteção de dados pessoais é a documentação do controlador descrevendo o processo de tratamento dos dados que podem gerar risco às liberdades civis.
Restrições
O ponto central da LGPD é a necessidade de consentimento expresso do titular para armazenamento dos seus dados.
Fica proibido ceder ou vender informações de contato de potenciais clientes para divulgação de produtos e serviços por telemarketing, por exemplo.
Está proibido até mesmo o uso dos dados por parte da própria empresa para uma finalidade diferente daquela que foi combinada com o cliente.
É preciso obter o consentimento específico e ser capaz de provar isso a qualquer momento.
Para os dados considerados sensíveis, o processo é ainda mais rigoroso.
No caso de dados de crianças e adolescentes, é preciso o consentimento de ao menos um dos pais ou responsável legal.
O que está proibido, segundo a lei: “Acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Entre as sanções previstas para descumprimento das medidas de proteção de dados está uma multa de 2% do faturamento total da empresa ou do conglomerado, limitada a R$ 50 milhões.
Direitos dos titulares
A ideia é empoderar os cidadãos, que agora terão uma série de direitos, entre eles:
Confirmação da existência do tratamento dos dados
Acesso aos dados, correção, anonimização, bloqueio ou eliminação de dados
Informação sobre com quais entidades públicas ou privadas o controlador compartilhou os dados
Revogação do consentimento.
Obrigações do controlador, do operador e do encarregado
Os agentes de tratamento (controlador e operador) devem adotar medidas de segurança para proteger os dados.
Também precisam manter registro de todos os processos realizados.
Têm o dever de comunicar à autoridade nacional e ao titular qualquer incidência de segurança que possa acarretar risco.
O órgão pode determinar a qualquer momento a elaboração de um relatório de impacto à proteção de dados pessoais.
O encarregado tem como responsabilidade receber reclamações e comunicações tanto de um lado (titulares) como de outro (autoridade nacional), prestar esclarecimentos e tomar providências.
Além disso, deve orientar os funcionários da organização a respeito das práticas de proteção de dados.
As informações de contato precisam estar disponibilizadas de forma pública, preferencialmente no site da empresa.
Fiscalização
A recriação da Autoridade Nacional de Proteção de Dados (ANPD), autorizada em junho de 2019, mostra que o governo está falando sério sobre fiscalização quando a lei começar a vigorar, em agosto de 2020.
O detalhamento da legislação ao apresentar as definições, abordadas anteriormente neste texto, deixa claro que todos os processos, automatizados ou não, estarão na mira.
A agência reguladora, criada por meio de medida provisória, será composta por 23 profissionais.
Cinco deles comporão o Conselho Diretor, e serão escolhidos e nomeados pelo presidente da República, após aprovação do Senado Federal, ocupando cargos comissionados.
A ANPD ficará subordinada diretamente à Presidência nos primeiros dois anos após a implementação.
Depois, será transformada numa autarquia, com independência de atuação.
Isso nos leva ao próximo ponto: o que fazer para ficar em dia com a nova legislação?
Como adequar sua empresa à LGPD
Há ainda muita discussão sobre a abrangência da lei.
Não se sabe se haverá o mesmo rigor na fiscalização e punição para organizações multimilionárias e para negócios locais ou ONGs, por exemplo.
De qualquer forma, toda empresa com algum tipo de cadastro de clientes ficará sujeita à LGPD.
Confira alguns passos para manter em segurança o seu negócio — e os seus clientes:
1. Fazer um diagnóstico
A primeira coisa que você precisa é ter conhecimento claro da situação atual.
Hoje em dia, qual é o caminho que as informações das pessoas percorrem na sua organização?
É necessário conhecer toda a vida útil desses dados, desde a coleta até o armazenamento, a finalidade de uso, etc.
Dependendo do porte da organização e da complexidade dos serviços realizados, pode ser recomendável a contratação dos serviços de uma consultoria.
O que não pode ocorrer é você ser surpreendido por detalhes do processo que acontece dentro da sua empresa depois que a lei estiver em vigor.
2. Consultar bases legais
De posse das informações específicas do seu negócio, é preciso ir mais a fundo na lei.
Alguma parte do processo precisa ser revista de acordo com a LGPD?
É hora de acionar o departamento jurídico, se houver, ou consultar assessoria especializada.
A partir daí, será possível montar um planejamento.
3. Definir os agentes
Como vimos anteriormente, a legislação tipifica algumas figuras novas, os agentes de tratamento de dados.
Uma parte central do seu planejamento será definir quem será o seu controlador e o(s) operador(es).
Além disso, é preciso destacar o encarregado, responsável por fazer o contato com os clientes, com o seu público interno (funcionários) e com a recém-criada agência reguladora.
Novamente, a implementação dessa parte vai depender do estágio de desenvolvimento da empresa.
Pode ser necessário contratar pessoal para fazer essas funções.
Ou usar mão de obra terceirizada, especializada.
Ou ainda adequar seus colaboradores atuais, dependendo, é claro, do perfil e da disponibilidade deles.
4. Investir na relação com o cliente
Independentemente de quais medidas você adotar na prática, é importante lembrar que o grande objetivo de toda essa mudança é aumentar a segurança dos cidadãos e a transparência das empresas.
O clientes poderão questionar a qualquer momento a situação dos seus dados ou até mesmo pedir a exclusão de tudo.
Nada melhor, porém, que facilitar os canais de comunicação com o público e manter um diálogo aberto e claro.
Quanto menos eles se sentirem ameaçados, menor a chance de problemas.
Se você tem um negócio de qualquer porte que lida com informações do público, sejam elas específicas ou tão simples quanto apenas um nome, é muito importante estar por dentro.
A partir de agosto de 2020, todas as empresas do Brasil precisarão estar em concordância com essas regras.
Seja qual for o tamanho do investimento necessário, ele muito provavelmente valerá a pena, porque as multas para quem não se enquadrar na lei podem chegar a R$ 50 milhões.
A ideia da LGPD é criar uma cultura de respeito à privacidade dos dados.
Afinal de contas, ninguém gosta de ter sua vida exposta a terceiros, especialmente quando esses terceiros são empresas ou serviços pelos quais não se tem interesse.
Vamos então ver o que muda e como se adequar.
O que é LGPD?
LGPD é a Lei Geral de Proteção a Dados Pessoais (Lei Nº 13.709, de 14 de agosto de 2018), sancionada pelo então presidente Michel Temer.
Ela regulamenta o tratamento que é dado às informações de pessoas colhidas por parte de empresas, especialmente na internet, via formulários.
Desde a coleta até a classificação, o processamento, o armazenamento, e principalmente a utilização e a transferência.
Entre outras disposições, proíbe qualquer empresa de transmitir esses dados sem consentimento expresso dos titulares.
Ao registrar qualquer informação de clientes, portanto, toda empresa terá que se sujeitar à LGPD.
O texto começa a valer em agosto de 2020, dando um prazo de dois anos para readequação.
Contexto da LGPD no Brasil
A LGPD é descendente direta da GPDR (sigla em inglês para Regulamento Geral da Proteção de Dados).
A GPDR surgiu na Europa após os escândalos de vazamento de dados sem consentimento por parte de gigantes como o Facebook.
Nos Estados Unidos, Mark Zuckerberg teve que se explicar à Justiça e foi condenado a pagar uma multa de 5 bilhões de dólares, além de cumprir com uma série de obrigações em sua rede social.
Pioneira no ramo, a GPDR atualizou a lei de privacidade europeia de 1995, com o objetivo de garantir transparência aos cidadãos no que diz respeito ao uso dos seus dados.
As grandes empresas de tecnologia têm cumprido as exigências até mesmo em relação a clientes que não moram na Europa.
No caso do Brasil, a LGPD especifica alguns pontos do abrangente Marco Civil da Internet, sancionado em 2014.
Vem para colocar o país no mesmo patamar das nações europeias e norte-americanas no combate ao tratamento indevido de dados na internet.
Principais pontos da Lei Geral de Proteção de Dados Pessoais
Como praticamente qualquer empresa armazena algum dado de seus clientes e fornecedores, o impacto da LGPD será bem amplo.
Definições
A lei começa estabelecendo nomenclaturas e criando algumas figuras no processo de tratamento dos dados.
Uma das novidades é a instituição da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar todo o processo.
Confira alguns dos conceitos.
Dado pessoal é qualquer informação relativa a pessoa “identificada ou identificável”
Dado pessoal sensível é informação relativa a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, saúde, vida sexual ou dado genético ou biométrico
Dado anonimizado é relativo a um titular que não possa ser identificado
Banco de dados é o conjunto estruturado de informações pessoais
Titular é a pessoa a quem se referem os dados
Controlador é a pessoa responsável por tomar as decisões referentes a tratamento de dados
Operador é quem executa o tratamento em nome do controlador
Encarregado é a pessoa responsável pela comunicação entre as três partes: o controlador e o operador (empresa), o titular e a Autoridade Nacional de Proteção de Dados.
Consentimento é a manifestação livre pela qual o titular permite o uso dos dados (o ônus da prova cabe ao controlador).
Relatório de impacto à proteção de dados pessoais é a documentação do controlador descrevendo o processo de tratamento dos dados que podem gerar risco às liberdades civis.
Restrições
O ponto central da LGPD é a necessidade de consentimento expresso do titular para armazenamento dos seus dados.
Fica proibido ceder ou vender informações de contato de potenciais clientes para divulgação de produtos e serviços por telemarketing, por exemplo.
Está proibido até mesmo o uso dos dados por parte da própria empresa para uma finalidade diferente daquela que foi combinada com o cliente.
É preciso obter o consentimento específico e ser capaz de provar isso a qualquer momento.
Para os dados considerados sensíveis, o processo é ainda mais rigoroso.
No caso de dados de crianças e adolescentes, é preciso o consentimento de ao menos um dos pais ou responsável legal.
O que está proibido, segundo a lei: “Acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Entre as sanções previstas para descumprimento das medidas de proteção de dados está uma multa de 2% do faturamento total da empresa ou do conglomerado, limitada a R$ 50 milhões.
Direitos dos titulares
A ideia é empoderar os cidadãos, que agora terão uma série de direitos, entre eles:
Confirmação da existência do tratamento dos dados
Acesso aos dados, correção, anonimização, bloqueio ou eliminação de dados
Informação sobre com quais entidades públicas ou privadas o controlador compartilhou os dados
Revogação do consentimento.
Obrigações do controlador, do operador e do encarregado
Os agentes de tratamento (controlador e operador) devem adotar medidas de segurança para proteger os dados.
Também precisam manter registro de todos os processos realizados.
Têm o dever de comunicar à autoridade nacional e ao titular qualquer incidência de segurança que possa acarretar risco.
O órgão pode determinar a qualquer momento a elaboração de um relatório de impacto à proteção de dados pessoais.
O encarregado tem como responsabilidade receber reclamações e comunicações tanto de um lado (titulares) como de outro (autoridade nacional), prestar esclarecimentos e tomar providências.
Além disso, deve orientar os funcionários da organização a respeito das práticas de proteção de dados.
As informações de contato precisam estar disponibilizadas de forma pública, preferencialmente no site da empresa.
Fiscalização
A recriação da Autoridade Nacional de Proteção de Dados (ANPD), autorizada em junho de 2019, mostra que o governo está falando sério sobre fiscalização quando a lei começar a vigorar, em agosto de 2020.
O detalhamento da legislação ao apresentar as definições, abordadas anteriormente neste texto, deixa claro que todos os processos, automatizados ou não, estarão na mira.
A agência reguladora, criada por meio de medida provisória, será composta por 23 profissionais.
Cinco deles comporão o Conselho Diretor, e serão escolhidos e nomeados pelo presidente da República, após aprovação do Senado Federal, ocupando cargos comissionados.
A ANPD ficará subordinada diretamente à Presidência nos primeiros dois anos após a implementação.
Depois, será transformada numa autarquia, com independência de atuação.
Isso nos leva ao próximo ponto: o que fazer para ficar em dia com a nova legislação?
Como adequar sua empresa à LGPD
Há ainda muita discussão sobre a abrangência da lei.
Não se sabe se haverá o mesmo rigor na fiscalização e punição para organizações multimilionárias e para negócios locais ou ONGs, por exemplo.
De qualquer forma, toda empresa com algum tipo de cadastro de clientes ficará sujeita à LGPD.
Confira alguns passos para manter em segurança o seu negócio — e os seus clientes:
1. Fazer um diagnóstico
A primeira coisa que você precisa é ter conhecimento claro da situação atual.
Hoje em dia, qual é o caminho que as informações das pessoas percorrem na sua organização?
É necessário conhecer toda a vida útil desses dados, desde a coleta até o armazenamento, a finalidade de uso, etc.
Dependendo do porte da organização e da complexidade dos serviços realizados, pode ser recomendável a contratação dos serviços de uma consultoria.
O que não pode ocorrer é você ser surpreendido por detalhes do processo que acontece dentro da sua empresa depois que a lei estiver em vigor.
2. Consultar bases legais
De posse das informações específicas do seu negócio, é preciso ir mais a fundo na lei.
Alguma parte do processo precisa ser revista de acordo com a LGPD?
É hora de acionar o departamento jurídico, se houver, ou consultar assessoria especializada.
A partir daí, será possível montar um planejamento.
3. Definir os agentes
Como vimos anteriormente, a legislação tipifica algumas figuras novas, os agentes de tratamento de dados.
Uma parte central do seu planejamento será definir quem será o seu controlador e o(s) operador(es).
Além disso, é preciso destacar o encarregado, responsável por fazer o contato com os clientes, com o seu público interno (funcionários) e com a recém-criada agência reguladora.
Novamente, a implementação dessa parte vai depender do estágio de desenvolvimento da empresa.
Pode ser necessário contratar pessoal para fazer essas funções.
Ou usar mão de obra terceirizada, especializada.
Ou ainda adequar seus colaboradores atuais, dependendo, é claro, do perfil e da disponibilidade deles.
4. Investir na relação com o cliente
Independentemente de quais medidas você adotar na prática, é importante lembrar que o grande objetivo de toda essa mudança é aumentar a segurança dos cidadãos e a transparência das empresas.
O clientes poderão questionar a qualquer momento a situação dos seus dados ou até mesmo pedir a exclusão de tudo.
Nada melhor, porém, que facilitar os canais de comunicação com o público e manter um diálogo aberto e claro.
Quanto menos eles se sentirem ameaçados, menor a chance de problemas.