LGPD: o que você precisa saber para se adequar

Por que ficar atento à LGPD? 

Casos de vazamento de dados já não são mais novidade. E para cuidar da privacidade dos inúmeros usuários pela internet afora; governo, empresas e cidadãos como um todo se uniram para criar soluções as quais evitem ou no mínimo reduzam essa invasão de dados sigilosos e sensíveis – assim surgiu a LGPD. 

Além disso, essas situações também causam um grande prejuízo. Segundo a União Internacional de Telecomunicações (ITU, sigla em inglês), no Brasil, a perda foi de R$80 bilhões de reais, em 2019.

Como resultado, surgiu então a LGPD, sigla para Lei Geral de Proteção de Dados.

Esta lei foi inspirada no Regulamento Geral de Proteção de Dados da União Europeia, ou GDPR sigla em inglês, criado em 2018, o qual aborda a segurança de informação dos cidadãos europeus.

Deste modo, para superar e ampliar as determinações do Código Civil, Código de Defesa do Consumidor, da Lei de Acesso à informação e até do Marco Civil da Internet; a LGPD chega para resolver as questões sobre a proteção de dados dos cidadãos brasileiros.

Para quem é a LGPD?

A nova lei serve para todas as empresas, instituições e prestadoras de serviço que captam e trabalham com tratamento de dados de brasileiros, sendo isso feito em território nacional ou no exterior, mesmo com operações no Brasil ou não. 

Caso a empresa tenha sede fora do Brasil ou trabalhe com parcerias internacionais, ela poderá transferir esses dados para fora somente se o país em que ela está sediada possua leis sobre tratamento de informações pessoais também ou garanta mecanismos de proteção como os mencionados na legislação brasileira.

Empresas e órgãos públicos passam a ter a obrigação de informar os direitos do usuário sobre recusar o tratamento de seus dados, as consequências dessa decisão, onde ele deve autorizar o uso dos mesmos se houver o compartilhamento com terceiros. 

Além disso, deverão oferecer ferramentas que permitam ao usuário acessar seus dados de maneira fácil, fazer correções, deletá-los ou transferi-los para outros serviços, pelo princípio de portabilidade.

Em contrapartida, as pessoas físicas que tratam dados com objetivos pessoais, acadêmicos, artísticos e jornalísticos não serão afetadas.

O que é a Lei Geral de Proteção de Dados (LGPD)

A LGPD foi estabelecida na Lei Nº 13.709 de agosto de 2018. Esta fala sobre como os dados dos cidadãos brasileiros devem ser coletados, tratados, armazenados e protegidos.

Além disso, também discorre acerca de punições caso haja o descumprimento da lei, em casos de vazamentos etc.

Quando a LGPD entra em vigor?

Sancionada em agosto de 2018 pelo então presidente Michel Temer, a LGPD estava prevista para entrar em vigor em agosto de 2020. 

Porém, a data da vigência da lei foi adiada para maio de 2021; após edição da Medida Provisória do Governo nº 959 a qual tange a operacionalização do pagamento do Benefício Emergencial de Preservação do Emprego e da Renda, assim como o adiamento da Lei nº 13.709.

Quais os principais pontos da lei?

A LGPD dita regras sobre coleta, processamento, armazenamento e manutenção das informações dos usuários que estão em território nacional.

Estas ditam que todo tratamento de dados pessoais, ou seja, “qualquer dado, isolado ou em conjunto com outros dados, que possa identificar uma pessoa, ou que possa sujeitar uma pessoa a determinado comportamento, pode vir a ser considerado um dado pessoal”;  deve ser feito sempre com o consentimento dos usuários, salvo casos de mandados judiciais ou para garantir a segurança pública e/ou do Estado em situações de investigações criminais.

Dentro disso, também entram os dados sensíveis, “aqueles sobre ‘origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural’”.

Os princípios da lei valem tanto para captados no meio digital quanto outros meios.

Quais as punições pelo não cumprimento?

Os casos de vazamento de dados passarão a ser analisados pela ANPD (Autoridade Nacional de Proteção de Dados), órgão federal.

Após julgamento devido, a depender da situação, a empresa é orientada a divulgar ou não o vazamento.

Além disso, serão aplicadas multas, que variam desde uma advertência a uma multa simples de 2% sobre o faturamento anual, limitada a até R$50 milhões, ou uma multa diária, cuja soma dos valores também não pode ultrapassar o valor da anterior.

O que fazer para se adequar à lei?

Os primeiros passos a fim de se adequar à LGPD é aplicar mudanças na gestão de dados e arquivos dentro da empresa. 

Para isso, pode ser necessário a contratação de especialistas e investimento em segurança da informação, a fim de evitar a invasão por hackers.

O próximo passo é na criação do cargo de DPO (sigla em inglês para Data Protection Officer). Este profissional fica responsável pela segurança dos dados tanto de funcionários quanto de clientes. Ele deverá  prestar contas à ANPD com o envio de relatórios sobre os impactos da proteção dos dados.

Por fim, faça uma atualização no consentimento da sua base de leads e usuários, para que todos confirmem o uso dos seus dados.

A seguir você confere quais são as bases legais para que a empresa esteja autorizada a coletar algum dado:

As bases legais para o tratamento de dados

#1 Consentimento

Esta serve como uma declaração clara e inequívoca de vontade do próprio usuário. A pessoa concorda com o uso dos seus dados para o que foi proposto.

Porém, para ser considerado válido, deve seguir alguns requisitos. O consentimento precisa ser:

  • Livre: o lead não pode ser forçado a fornecer consentimento. Deve ser uma escolha. Se uma empresa insere um checkbox de consentimento em um formulário, mas exige que o preenchimento do checkbox seja obrigatório, o lead não terá escolha sobre fornecer ou não o consentimento;
  • Informado: o usuário deve entender com o que está consentindo. As organizações devem certificar-se que explicam de forma clara exatamente o que a pessoa está concordando. Incluir informações em uma política de privacidade densa ou ocultas em letras pequenas, difíceis de encontrar, difíceis de entender ou raramente lidas, não será suficiente para estabelecer o consentimento informado;
  • Inequívoco: depende de manifestação por meio de um ato positivo do usuário. Em outras palavras, deve haver uma ação do usuário indicando sua aceitação, seja pelo envio de um e-mail, assinatura eletrônica, ou até mesmo por um clique em local determinado. Não podem haver dúvidas acerca de o consentimento ter sido fornecido ou não;
  • Fornecido para fins específicos e determinados: o consentimento deve ser fornecido para uma finalidade específica e determinada. Faz parte de toda a lógica da LGPD especificar o motivo pelo qual um dado pessoal é utilizado. A empresa não pode utilizar os dados para uma finalidade diferente daquela que o lead forneceu consentimento.

.

#2 Legítimo Interesse

Essa pode ser mais flexível, mas a sua aplicação é mais complexa.

Isso porque, o legítimo interesse permite o uso dos dados, sem a necessidade de obtenção de consentimento. Porém, alguns cuidados precisam ser tomados para entender em quais casos o legítimo interesse pode ser aplicado.

Ainda não há diretrizes específicas. Do que se sabe hoje, esta base pode ser usada em situações em que:

  • o consentimento do usuário for muito difícil de ser obtido;
  • o consentimento do usuário pode ser considerado desnecessário;
  • houve um impacto mínimo no indivíduo ou uma justificativa convincente para a sua utilização;

.

Como requisito, a empresa deve realizar um teste de proporcionalidade. O teste objetiva balancear de um lado os interesses da sua empresa e do outro os direitos e liberdades do usuário. O processo leva em consideração detalhes específicos de cada caso de uso de dados. Sendo assim, é vital que a empresa conte com auxílio de consultoria jurídica.

#3 Contratos

Neste caso, os dados do usuário podem ser processados em dois casos:

  1. para que seja cumprida uma obrigação prevista em contrato;
  2. quando o tratamento de dados serve para a validação e início de vigência de um acordo.

.

#4 Demais bases legais

Ainda existem outras 7 bases legais, porém tendem a ser menos comuns e recorrentes. São elas:

  • Obrigação Legal;
  • Execução de Políticas Públicas;
  • Estudos por órgãos de pesquisa;
  • Processo Judicial;
  • Proteção da Vida;
  • Tutela da Saúde;
  • Proteção de Crédito.

.

Conclusão

Para saber mais leia o documento na íntegra e acompanhe o site nacional da LGPD Brasil.

Neste cenário, é essencial ter um bom processamento e armazenamento de dados com a permissão de cada usuário. Por isso, busque ferramentas que já te permitam fazer esse processo.

Já quer dar o primeiro passo? Converse com sua equipe jurídica, seu time de desenvolvimento e o suporte das suas ferramentas de automação para mais orientações e começar a se adaptar.

Artigos relacionados