Como funciona a LGPD e quais os impactos da nova lei para a sua empresa?

A Lei Geral de Proteção de Dados, conhecida como LGDP, foi postergada pelo Senado e entrará em vigor em janeiro de 2021, com as multas e sanções válidas a partir de 1º de agosto do mesmo ano. Ela tem a proposta de garantir a proteção e a transparência no uso de dados de pessoas físicas e significa um grande desafio para as empresas, que não têm tempo para se adaptarem às novas regras. Mas, afinal, como funciona a LGDP?

Sancionada em agosto de 2018, a lei nº 13.709 tem como base a General Data Protection Regulation (GDPR), norma que regula o tratamento de dados nos países da União Europeia. O estopim para a criação das duas leis foi um escândalo envolvendo o uso de dados pessoais na campanha do atual presidente Donald Trump.

A LGDP chega para alterar a Lei nº 12.965, de 23 de abril de 2014, conhecida como Marco Civil da Internet, que regulava estas transações até então. A nova legislação apresenta um avanço para cenário de segurança de dados pessoais no Brasil e um desafio para as empresas que terão que rever vários processos de uso e garantia de privacidade dos dados dos usuários. 

Preparamos este texto para que você possa entender como funciona a Lei Geral de Proteção de Dados, a LGDP, o que muda com a nova lei e como ela impacta nas atividades da sua empresa.

Como surgiu a LGDP?

O pontapé para a aprovação de legislações que regulam o uso e a privacidade de dados de pessoas físicas tanto na Europa, com a GDPR, quanto no Brasil, com a LGDP, foi o escândalo envolvendo o uso indevido de informações na campanha de Donald Trump em 2016.

Em 2018, o Facebook assumiu que dados pessoais de até 87 milhões de usuários da rede social podem ter sido compartilhados indevidamente com a consultoria política Cambridge Analytica. A empresa trabalhou na campanha de Trump e para o grupo que promovia a saída do Reino Unido da União Europeia (Brexit).

A coleta dessas informações foi feita através de um teste criado pela empresa e colocado à disposição dos usuários do Facebook. Isso foi possível devido a uma brecha nos termos e condições da rede social. O aplicativo previa que nenhum dado coletado pela rede social poderia ser vendido, porém, não aplicava a mesma restrição à aplicativos que usavam a rede social.

A partir desses dados, Cambridge Analytica analisava o perfil do eleitor e criava e direcionava propaganda a favor do movimento político que tivesse contratado seus serviços. O escândalo trouxe a tona a necessidade de uma legislação que garantisse a privacidade e o controle de dados pessoais pelo usuário.

Como funciona a LGDP?

Diante da perspectiva da entrada em vigor da nova legislação já em 2020, podem surgir dúvidas sobre como funciona a LGDP e o que muda com a implementação da lei. É importante entender que a legislação busca proteger dados e garantir a privacidade dos cidadãos e vai definir como indivíduos e entidades públicas e privadas devem tratar informações pessoais de terceiros.

Para regular o uso das informações, a legislação estabelece uma série de normas e critérios. Vamos entender melhor como funciona a Lei Geral de Proteção de Dados Pessoais.

O que são dados pessoais?

Antes de entender como funciona a LGDP é preciso saber o que ela entende por informações pessoais. A legislação define como dado pessoal qualquer informação através da qual você consiga identificar direta ou indiretamente uma pessoa ou com uma informação complementar é possível que seja feita essa identificação . 

Ou seja, são considerados como dados pessoais nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.

Dentro de dados pessoais, a lei também prevê aqueles que exigem ainda mais atenção, os chamados “dados sensíveis”. Esse grupo inclui informações sobre crianças e adolescentes e dados que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.

• Veja ainda: O poder da identidade

Quando posso usar dados de pessoas físicas?

Fonte: jannoon028

Com a nova lei, para utilizar os dados de pessoas físicas será necessário obter o consentimento explícito do usuário e informar claramente a finalidade dessa coleta e qual será o uso. Se não houver consentimento, o cadastro não pode ser realizado e os dados não podem ser obtidos de outras fontes. 

Entretanto, é possível usar os dados sem consentimento se for indispensável para os seguintes casos: 

• Cumprir uma obrigação legal; 
• Executar política pública prevista em lei; 
• Realizar estudos via órgão de pesquisa; 
• Executar contratos; 
• Defender direitos em processo; 
• Preservar a vida e a integridade física de uma pessoa; 
• Tutelar ações feitas por profissionais das áreas da saúde ou sanitária; 
• Prevenir fraudes contra o titular; 
• Proteger o crédito; 
• Atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

Um ponto importante é que o usuário terá direito em qualquer momento a retificar, cancelar ou até mesmo solicitar a exclusão das informações. 

Além disso, as atividades de tratamento de dados pessoais devem seguir alguns princípios:

1. Finalidade: o uso deve ter propósitos legítimos, específicos, explícitos e informados ao titular. Não vai ser possível mudar o uso posteriormente, se a mudança for incompatível com a finalidade explicitada anteriormente;
2. Adequação: o uso dos dados deve ser compatível com as finalidades informadas ao usuário;
3. Necessidade: a legislação limita o uso e o tratamento dos dados ao mínimo necessário para a realização das atividades que propõe a empresa. Ou seja, é necessário comprovar que a coleta de informações será útil para a interação com seus consumidores e solicitar somente os dados relacionados a isso;
4. Livre acesso: o usuário tem ainda o direito de consultar de maneira fácil e gratuita a forma que os dados serão usados, por quanto tempo, e quais informações exatamente estão nas mãos das empresas;
5. Transparência: os usuários têm direito a informações claras, precisas e facilmente acessíveis sobre uso dos dados e sobre quem está solicitando e utilizando essas informações, observando, claro, o direito das empresas aos segredos comercial e industrial;
6. Segurança e responsabilidade: a empresa é responsável por garantir medidas técnicas e administrativas para proteger os dados pessoais. Também deve prevenir a ocorrência de danos em virtude do uso dessas informações, como, por exemplo, o roubo de identidade;
7. Não discriminação: não é permitido o uso de dados para fins discriminatórios ilícitos ou abusivos;
8. Aplicação extraterritorial: toda empresa que tratar dados de cidadãos brasileiros ou de estrangeiros que residem no Brasil, mesmo não tendo sede ou filial no Brasil, tem que se regularizar conforme a lei brasileira.

Responsabilização e penalidades

Em caso de descumprimento, a legislação prevê multas e proibição total ou parcial de atividades relacionadas a tratamento de dados. Os valores das multas podem corresponder até 2% do faturamento da empresa, limitado em até R$ 50 milhões. 

Também há a possibilidade de multas diárias, até que a empresa interrompa as violações dos direitos do consumidor previstos em lei.

Como a LGDP impacta na sua empresa?

A nova lei representa um grande desafio para as empresas e implica na tomada de uma nova postura com relação à coleta e ao uso de dados pessoais. Atualmente muitas companhias coletam uma enorme quantidade de informações, que são utilizadas e expostas sem o efetivo controle e responsabilidade. 

Além disso, a falta de regulação deixava as empresas em um limbo  que propiciava insegurança com relação ao uso dos dados dos usuários e era um entrave para os negócios e para os consumidores. A LGPD é, na verdade, uma oportunidade única para que as empresas desenvolvam processos de segurança eficientes que vão gerar segurança e confiabilidade entre empresas e usuários.

Para se adequar à nova legislação, as empresas necessitam rever vários processos relacionados à gestão e privacidade de dados, como:

• Gestão de consentimento de autorizações e revogações do uso de informações;
• Gestão das petições abertas por titulares dos dados que em muitos casos deve ser respondida imediatamente;
• Gestão do ciclo de vida dos dados dentro da empresa;
• Implementação de técnicas de anonimização, já que são considerados dados pessoais somente os dados que possam identificar usuários.

Como se adequar à nova lei?

Para se adaptar às novas exigências, além de entender como funciona a LGPD, é importante que as empresas sigam algumas etapas fundamentais.

Confira!

Identifique o uso de dados

Em um primeiro momento, é importante realizar um mapeamento de como se usam os dados pessoais dos usuários. O objetivo é identificar que processos internos precisam ser aprimorados e quais sistemas e soluções devem ser implementados para se adequar às novas normas

Invista na gestão e proteção de dados

Elabore um plano de governança de dados e adoção de medidas e invista em estruturas internas para garantir sua implementação, como criação de departamentos e contratação de profissionais especializados.

Garanta medidas de proteção

Garanta medidas eficazes de proteção dos dados, como a criação de um canal de denúncia; o desenvolvimento de códigos de conduta; e a instituição de um comitê para fazer a gestão das denúncias coletadas.

Tenha uma comunicação clara

Tenha claro que papel a sua empresa desempenha na coleta e uso das informações (ela captura e manipula dados ou só recebe dados para execução?). A partir disso, busque transmitir de maneira clara ao usuário quem controla as suas informações, como e por quanto tempo os dados serão utilizados, e com quem serão compartilhados os dados

Conscientize também a sua empresa

De nada adianta seguir com as normas pré-estabelecidas pela LGPD e garantir ferramentas para o controle e proteção de dados se não houver a conscientização dos colaboradores de seu negócio. Nesse sentido, promova treinamentos para que a equipe entenda a importância que isso traz para a organização, além de motivá-los a buscar por soluções e trazer melhorias que garantam a proteção de dados de seus usuários. Nesse sentido, é uma estratégia que deve parte da cultura da empresa!

Tenha um comitê de implementação

Assim como em qualquer outro tipo de estratégia, é necessário que tenha um comitê de implementação especializado. Assim, teremos colaboradores específicos que se preocuparão com as principais diretrizes da LGPD para que a organização esteja capacitado para responder ao tratamento de dados.

Além disso, esse time ficará responsável por tirar as dúvidas de outros colaboradores e clientes sobre o tema. Como é um assunto novo, essa estratégia permitirá:

• apuração de erros;
• correção de falhas;
• agilidade nas mudanças;
• apoio aos demais profissionais.

Tenha uma assessoria jurídica

Novamente, ressalta-se sobre a necessidade de contar com profissionais capacitados que possam orientar a sua equipe no que diz respeito à LGPD. A assessoria jurídica, nesse sentido, permitirá que haja a criação de documentos e contratos com cláusulas de proteção à privacidade.

Seja qual for a lei, conta com particularidades e especificidades que devem ser entendidas e interpretadas pelas empresas. Dessa forma, as chances de haver falhas e trazer danos para a credibilidade do negócio diminuem consideravelmente.

Nesse sentido, especialistas garantirão que as normas sejam cumpridas de forma eficaz, o que também reduz as chances de interpretar pontos de forma equivocada.

Conte com um DPO

Também é indicado que a empresa tenha um DPO. Data Protection Officer ou, em sua tradução literal, Diretor de Proteção de Dados, será o profissional responsável por representar o negócio na ANDP, Autoridade Nacional de Proteção de Dados, além de responder sobre as principais estratégias que contribuem para a segurança das informações.

Neste conteúdo, você pôde entender um pouco mais sobre a LGPD, seus impactos e maneiras de se adaptar. O ideal é que a empresa conte com um bom planejamento, além de orientar seus profissionais sobre as principais práticas e mudanças ocorridas devido às exigências da lei.

Quer entender mais sobre o tema? Veja essa palestra com Carlos Affonso Souza sobre privacidade e proteção de dados no Brasil.

Gostou do nosso conteúdo? Continue acompanhando nosso blog para ficar por dentro dos assuntos relacionados a reconhecimento facial e tecnologia. Conheça também o Unico Check, tecnologia de reconhecimento facial para autenticação e validação de identidades da Unico.