A quantidade de artigos e textos que tratam do tema LGPD é crescente já há algum tempo. Mesmo assim, muitas pessoas ainda se sentem inseguras e mal informadas a respeito desta questão. Então, te convidamos a nos acompanhar, pois vamos abordar os principais pontos da lei que as empresas devem observar.
LGPD é a forma reduzida de se referir à Lei Geral de Proteção de Dados, criada em 2018 pela portaria 13.709/2018 e que entrou em vigor em agosto de 2020. Trata-se da lei que estabelece normas regulatórias para que empresas garantam a proteção e boa utilização dos dados de pessoas físicas, que são os donos ou titulares dos dados. É composta por 65 artigos, que discorrem sobre como coletar, armazenar, gerenciar e compartilhar informações de pessoas físicas, a fim de manter a privacidade e a segurança do titular. Também transfere um poder maior ao titular, que passa a ter direito de acesso e controle sobre seus dados.
Foi inspirada e baseada na GDPR (General Data Protection Regulation) aprovada na Europa e que regulamenta a utilização de dados pessoais dos cidadãos de países membros da União Europeia. Juntando-se a esta grande onda internacional, o Brasil entrou no rol dos mais de 120 países a possuir uma regulamentação específica sobre proteção de dados pessoais. Para entender por que essas leis são necessárias, recomendamos que você veja o documentário Privacidade Hackeada, da Nextflix.
E como ficam as empresas com estas novas diretrizes?
É importante que as empresas entendam que este trabalho de adequação não é superficial e será necessário investir não só em segurança da informação, como também em ferramentas de gestão, treinamento de colaboradores, contratação de equipes especializadas (dependendo do porte da empresa), implementação de planos de ação em caso de vazamento de dados, gerenciamento de conflitos e assim por diante.
À princípio, tudo isso pode parecer um grande transtorno, mas em um mundo em que a informação se torna mais relevante a cada dia, que estamos cercados de ofertas de produtos por empresas que nem conhecemos, golpes eletrônicos e bombardeados por fake news por todos os lados, tais diretrizes acabam por ajudar as empresas a criarem uma estruturação normativa que, além de evitar conflitos e desencontros de informações, trazem maior assistência e segurança jurídica.
Em linhas gerais, cabe às empresas terem controle absoluto de todos os dados que estejam em seu poder ou à sua ordem, sejam de seus clientes, funcionários, prestadores de serviços, colaboradores ou consumidores. É necessário conhecer os dados, documentá-los, gerenciar as informações e utilizar medidas de segurança de acordo com o perfil de seu banco de dados e o nível de sensibilidade das informações.
A Lei prevê em seus artigos 7º, 11º e 14º as possibilidades de tratamento de dados, entre elas estão o cumprimento de obrigação legal, a execução de contrato, a execução de políticas públicas e o consentimento do titular.
Em todos os casos, mas principalmente no consentimento, a empresa precisa ser clara em explicar o propósito da informação coletada, o período de utilização e se o dado é compartilhado. Prevê ainda as possibilidades de tratamento de dados sensíveis, que podem levar a situações discriminatórias; são dados sobre religião, posicionamento político, orientação sexual, estado de saúde, questões genéticas, informações biométricas entre outros. Dados sobre crianças e adolescentes não devem ser tratados ou compartilhados, a menos que haja o consentimento dos pais ou responsável legal, ou sejam utilizados unicamente para garantir a proteção da criança ou adolescente.
Além disso, a empresa precisa disponibilizar ao titular formas de acesso a suas próprias informações, para que tenha condições de exercer seus direitos previstos na lei, como corrigi-las, salvá-las, transferi-las para outras empresas, como nos casos de portabilidade, ou simplesmente cancelar o consentimento a qualquer momento.
Vale ressaltar que estas regras se aplicam para todos os dados coletados de forma digital ou física, de brasileiros, de estrangeiros residentes no país ou de dados coletados no país, independentemente de nacionalidade.
Por isso é muito importante que a empresa tenha o controle e conhecimento total sobre os dados que utiliza. É preciso ter o mapeamento dos dados sempre atualizado, contendo o processo de entrada, utilização, compartilhamento e eliminação dos dados pessoais de seus clientes, funcionários, prestadores de serviços, candidatos e demais pessoas físicas das quais sua empresa tem acesso. Identificar, mapear e organizar os processos, prestando muita atenção àqueles que exigem cuidados ainda mais específicos de tratamento, como dados pessoais sensíveis e informações de crianças e adolescentes.
E fique atento, pois as empresas que não estiverem em conformidade com a lei estão sujeitas a multas por infração, que podem chegar a 2% de seu faturamento líquido do ano anterior, até o teto de R$50.000.000,00 de reais.
Vamos entender melhor esta questão das penalidades?
Antes de mais nada é importante saber que foi criada pelo governo federal, a partir da MP869/18, a ANDP – Autoridade Nacional de Proteção de Dados Pessoais, encarregada por zelar pela proteção dos dados pessoais dos cidadãos em território nacional, como também pela implementação e fiscalização da LGPD.
A ANDP é responsável por regular, analisar e julgar casos de descumprimento da lei e tem o direito de monitorar e solicitar relatórios de riscos a empresas, sempre que julgar necessário, a fim de certificar-se do cumprimento integral das regras estabelecidas. As infrações serão julgadas e as penalidades aplicadas de acordo com a gravidade do fato, com multas e sanções sendo aplicadas proporcionalmente.
Empresas que sofram com incidentes de segurança, como vazamento de dados, ou que constituam um risco relevante para os direitos e liberdades do titular, devem informar o ocorrido ao encarregado dos dados, ao controlador, caso sejam operadores dos dados, aos titulares afetados e à ANDP. Em breve escreveremos um artigo exclusivo sobre as funções desempenhadas por cada um desses papéis. Fique atento!
Estas empresas, além de reportarem o ocorrido, terão que elaborar a documentação para cumprir o princípio da responsabilização e prestação de contas, como prevista no Art. 6º, X da lei.
As penalidades variam de acordo com a gravidade dos fatos, podendo ser aplicadas as seguintes sanções:
Diante do exposto, fica evidente a necessidade empresarial de se adequar a estas novas diretrizes. A LGDP veio para ficar e trazer inúmeros benefícios tanto para os titulares de dados quanto para as empresas, uma vez que ambos estarão legalmente protegidos e respaldados pela Lei, trazendo clareza na utilização dos dados e fomentando boas práticas de gestão e segurança em todos os setores. Então, é importante que as empresas procurem por profissionais especializados e ferramentas adequadas, que as auxiliem a se alinhar a estas novas diretrizes, fidelizar seus clientes e oferecer um serviço de qualidade, com segurança e proteção legal.
