O que muda com a Lei Geral de Proteção de Dados (LGPD)

O cotidiano das empresas está prestes a sofrer um novo marco regulatório que as impactará como poucas leis fizeram antes. É o que promete a LGPD, Lei Geral de Proteção aos Dados do Brasil.

Cristiano PalharesCristiano Palhares
LGPD - Lei Geral de Proteção de Dados do Brasil

Estamos à um ano da aplicação da nova lei de proteção de dados do brasil, conhecida como LGPD. A lei obrigará as empresas a passarem por diversas adaptações de seus produtos e serviços para proteger dados pessoais de clientes e colaboradores.

Este artigo é um guia prático para entender a nova lei. Também listamos algumas dicas e boas práticas para que sua empresa possa se adequar até a sua aplicação efetiva. Preparado? Então vamos lá!

O que é LGPD?

O cotidiano das empresas está prestes a sofrer um novo marco regulatório que as impactará como poucas leis fizeram antes. É o que promete a Lei Geral de Proteção aos Dados, também conhecida como LGPD.

A Lei 13.709/18, que entrará em vigor em agosto de 2020, tem potencial de causar grande impacto às organizações de todo porte ou área de atuação, ao estabelecer normas relacionadas ao tratamento de dados da pessoa física nas suas mais variadas aplicações e ambientes.

Visando a proteção de dados, para que sejam utilizados de forma correta pelas empresas, a nova lei busca preservar direitos fundamentais do ser humano, como a privacidade, intimidade e honra.

Além disso, a LGPD garante ao consumidor/usuário uma série de direitos e, às empresas, deveres. A partir do novo marco regulatório, as pessoas passam a ser donas das suas informações, podendo exigir o acesso aos dados coletados, a eliminação dos mesmos e até a portabilidade desses dados.

A Lei Geral de Proteção de Dados determina uma série de obrigações no que diz respeito à coleta, uso e garantia de integridade dos dados pessoais e sensíveis – incluindo aqueles que dizem respeito a informações como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde e vida sexual de uma pessoa.

Seguindo as bases do regulamento geral de proteção de dados europeu (GDPR), a LGPD muda a forma de funcionamento e de operação das organizações e estabelece regras para coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tornando a proteção de dados ainda mais relevante.

 

Para quem se aplica a LGPD?

A Lei é válida para qualquer pessoa natural ou jurídica, de direito público ou privado, que realize o tratamento de dados pessoais, on-line e/ou off-line, no Brasil, independente de qual seja o país sede em que os dados estejam localizados.

 

Qual será o impacto da lei para as organizações?

Uma das principais questões sobre o impacto nas empresas é o fato de que o escopo da lei é bastante amplo. Qualquer atividade que envolve os dados de qualquer setor deve ser regulamentada e respeitar as normas. Essa definição também inclui as informações dos próprios empregados, que deverão ser coletadas, segundo os princípios da LGPD.

Outro ponto é o fato de que quaisquer companhias que negociam informações de brasileiros precisarão se adequar, mesmo que a sede delas não seja no Brasil. Ou seja, grandes corporações de fora do país serão controladas pelas mesmas regras das organizações nacionais.

Além disso, a restrição ao uso, segundo os princípios de finalidade, necessidade e consentimento, estende-se até as subcontratantes e par
ceiras da empresa. Ou seja, companhias parceiras e fornecedoras também terão que se adaptar às normas estabelecidas, podendo ser penalizadas caso não obedeçam.

Em suma, a LGPD gera um grande impacto nas empresas, pois exige que elas se reorganizem para proteger dados e estabelecer medidas de segurança de ponta a ponta. Assim, cada companhia precisará gerenciar melhor suas bases de dados, as operações que utilizam as informações e definir políticas claras para a proteção delas.

É importante que haja uma mudança cultural para que esse impacto seja reduzido e para que a transição para o período de início da aplicação da LGPD seja fluída e natural. A privacidade deverá ser o foco, assim como a satisfação do cliente.

 

Quais são as penalidades para as empresas que não cumprirem a lei?

A LGPD prevê diferentes tipos de penalidades para cada caso específico de incidente. Pode haver, por exemplo, uma advertência simples, que visa principalmente à educação das empresas. Outro tipo de penalidade prevista é a multa em valores financeiros, que podem atingir até 50 milhões de reais em alguns cenários. Há ainda as multas diárias para impedir que o uso inadequado continue.

Em outros casos, os órgãos responsáveis estão aptos a solicitar que haja a interrupção abrupta de todas as atividades que utilizam informações pessoais. Isso geraria um enorme gargalo produtivo e prejudicaria a geração de receita da empresa diretamente.

Geralmente, em casos de exposição, a notificação é obrigatória ao órgão e aos titulares, com os detalhes sobre os dados envolvidos e as medidas que foram tomadas para minimizar o prejuízo.

 

Quem são os principais atores no tratamento de dados pessoais?

A Lei prevê a existência dos Agentes de Tratamento de Dados, no ponto de vista da LGPD. Há cinco atores mais importantes no tratamento de dados pessoais, sendo eles o Titular, o Controlador, o Operador, o Encarregado e a Autoridade Nacional de Proteção de Dados (ANPD).

Os Agentes de Tratamento de dados pessoais, nas figuras do Controlador e do Operador, podem ser uma pessoa natural ou jurídica, de direito público ou privado. Ao primeiro (controlador) compete as decisões referentes ao tratamento de dados pessoais, enquanto que ao segundo (operador), compete a realização do tratamento em nome do primeiro.

Também foi definida a figura do Encarregado, que também na condição de pessoa natural ou jurídica, de direito público ou privado, atuará como canal de comunicação entre o Controlador e os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública indireta que ficará responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

 

Os 10 princípios da LGPD

A Lei elenca dez princípios que as organizações devem seguir quanto ao tratamento de dados e são eles:

1. Finalidade: O tratamento dos dados deve ter propósito legítimo, específico, explícito e informado ao titular.

2. Adequação: Compatibilidade com a finalidade informada ao titular.

3. Necessidade: Limitação do tratamento mínimo necessário para a realização de suas finalidades.

4. Livre acesso: Garantia de acesso ao tratamento e à integralidade de seus dados.

5. Qualidade dos dados: Garantia da exatidão, clareza, relevância e atualização dos dados.

6. Transparência: Garantia aos titulares, de informações claras, precisas e facilmente acessíveis.

7. Segurança: Medidas técnicas e administrativas aptas a proteger os dados pessoais.

8. Prevenção: Adoção de medidas para prevenção de incidentes de danos para tratamento de dados pessoais.

9. Não discriminação: Impossibilidade do tratamento dos dados para fins discriminatórios, ilícitos ou abusivos.

10. Respoensabilidade e prestação de contas: Evidenciar a adoção de medidas e controles eficazes ao cumprimento das normas de proteção de dados pessoais.

 

Quais as consequências para as empresas que não se adequarem a LGPD?

A LGPD prevê diferentes tipos de penalidades para cada caso específico de incidente. Pode haver, por exemplo, uma advertência simples, que visa principalmente à educação das empresas.

Além de prejuízos e risco à reputação da organização, tendo responder pelos danos de eventual vazamento ou uso indevido de dados, as multas podem ser simples ou diárias no valor de 2% da Receita Bruta Anual, limitada à R$ 50 milhões, além da divulgação na mídia da infração. Há ainda possibilidade de multas diárias para impedir que o uso inadequado continue.

Em outros casos, os órgãos responsáveis estão aptos a solicitar que haja a interrupção abrupta de todas as atividades que utilizam informações pessoais. Isso geraria um enorme gargalo produtivo e prejudicaria a geração de receita da empresa diretamente.

Geralmente, em casos de exposição, a notificação é obrigatória ao órgão e aos titulares, com a divulgação dos detalhes sobre os dados envolvidos e as medidas que foram tomadas para minimizar o prejuízo.

 

Como as empresas empresas podem se adaptar à LGPD?

Um dos pontos prescritos pela lei é o “Privacy By Design” (Privacidade por Padrão). Isso significa que as empresas devem priorizar a privacidade em todas as etapas da concepção de um produto ou sistema, ou seja, do início ao fim.

Assim, o usuário deve ser capaz de controlar o uso de seus dados em todas as fases, e isso deve estar definido na base arquitetural das operações. Nesse sentido, as companhias devem saber exatamente quais informações serão coletadas, bem como ter controle do ciclo de vida delas.

Outro dos aspectos mais interessantes da LGPD é o fato de que ela prevê a criação de um comitê de segurança nas empresas, o qual designará um profissional especializado em privacidade e em adotar políticas de proteção.

Esse profissional, chamado de Data Protection Officer (Diretor de Proteção de Dados, em tradução livre), terá habilidades e conhecimentos jurídicos, dominando a segurança da informação. Ele deverá liderar a organização da empresa, bem como cuidar do tratamento dos dados.

A criação desse cargo é fundamental, pois ajuda as companhias na adaptação. Dessa forma, menos erros serão cometidos e haverá uma fiscalização interna importante para garantir a transparência necessária no cuidado com os dados.

O DPO é o responsável por liderar formas de alcançar o desenvolvimento e atingir a melhoria de resultados sem prejudicar a privacidade das pessoas. Vale lembrar que esse cargo poderá ser ocupado por uma pessoa ou por uma empresa parceira. O importante é que haja autonomia para que a fiscalização aconteça corretamente.

 

Boas práticas de conformidade que sua empresa precisa conhecer

Vamos conhecer algumas boas práticas que devem ser seguidas para realizar a adaptação às novas normas.

 

Mapear as informações

A adaptação à LGPD requer organização no gerenciamento de informações. Tudo começa com o mapeamento dos processos: a empresa precisa saber bem quais são as principais operações e quantos dados serão necessários para cada uma, de maneira definida e específica. Assim, será ser possível gerenciar as informações e controlar o ciclo delas nas bases internas.

A companhia também deve implementar um gerenciamento inteligente que garanta a disponibilidade desses dados a qualquer momento. Com esse conhecimento sistematizado, é possível reduzir a coleta de dados ao mínimo necessário, como recomendado pela lei.

 

Atualizar-se constantemente

Outra dica fundamental é a atualização constante dos sistemas da empresa. É preciso tomar ainda mais cuidado com a segurança e com medidas de proteção, o que passa por uma mudança cultural nos hábitos e na postura dos colaboradores, mas também o uso de softwares e hardwares atualizados, que não apresentem instabilidades, brechas e/ou falhas. Isso ajudará a combater problemas decorrentes de ataques e crimes virtuais, como sequestro e roubo de informações.

A nova lei destaca que essa será uma responsabilidade da organização e ela precisará reforçar a sua base para garantir proteção contra os perigos do mundo virtual. Essa atualização também se refere ao conhecimento. As companhias precisarão se atualizar acerca dos novos princípios associados com a privacidade, bem como do que está sendo feito em outros cenários para implementar medidas de adaptação.

É preciso focar na especialização nessa área e contratar profissionais dedicados para contribuir com conhecimento aprofundado. Além disso, é preciso conhecimento especializado sobre a lei em si, seus princípios e normas. Por essa razão, esse período vai ser marcado por uma procura maior por profissionais que dominem a LGPD.

 

Focar na experiência

Como a LGPD está relacionada diretamente com a experiência do usuário, as empresas deverão implementar medidas concentradas na satisfação dos seus usuários, reconhecendo a autonomia que eles têm. É preciso adequar as relações e as regras comerciais ao fato de que as pessoas sabem dos seus direitos e desejam proteção.

Por isso, o ideal é escolher um caminho que favoreça o cliente, com o objetivo de transmitir confiança e respeito que a empresa tem por ele. Assim, as organizações podem começar a pensar em estratégias que reforçam o relacionamento com os consumidores, pois isso ajudará com a adaptação à nova lei.

 

Avaliar impactos

É interessante também avaliar os possíveis riscos que os sistemas com dados pessoais enfrentam. Isso ajuda a combater ameaças de maneira preventiva, com a identificação de possíveis sinais de problemas muito antes do prejuízo propriamente dito.

Essa avaliação ajudará a preparar as companhias para o que pode acontecer com as informações particulares coletadas, o que gerará maior responsabilidade. O ideal é mudar a cultura do foco em ações reativas para a proatividade.

 

Qual é o papel do profissional de TI diante dessa lei?

A lei de proteção de dados estabelece formas de gerenciar as informações coletadas. Geralmente, são processados por sistemas de computação, ou seja, ficam a cargo do setor de TI. Por isso, a responsabilidade do profissional dessa área é grande na conformidade com as novas regras.

 

Segurança

A equipe de TI deverá reforçar as barreiras de segurança para auxiliar a empresa. Afinal, o objetivo é proteger as bases internas contra-ataques externos e garantir que os clientes saibam de tudo, sempre. Por isso, o profissional desse setor será o responsável por cuidar dos backups, das medidas de segurança, da atualização dos softwares e integração de informações. O suporte deve ser inteligente e proativo, com a garantia de que as máquinas estejam seguras e consistentes.

 

Mudança de cultura

Os profissionais de TI devem entender que é plenamente possível criar sistemas inteligentes, úteis e relevantes e, ao mesmo tempo, manter o cuidado com a privacidade e os direitos dos clientes. Nem sempre será necessário pedir dados demais, devem ser adequados às necessidades da organização, somente o que realmente for utilizado.

Em outras palavras, a cultura dos profissionais deve mudar para abarcar a compreensão de que é possível inovar com respeito ao direito particular de cada um. Se isso for incorporado ao jeito de pensar dos desenvolvedores de sistemas desde o início de sua concepção, o “privacy by design” será possível chegar ao resultado com menos impacto para o cliente.

 

Qualidade dos dados

Também é dever do setor de TI a manutenção dos dados limpos, claros e disponíveis. Eles devem ser fáceis de encontrar, mesmo que com restrições de acesso. É preciso encará-los como um ativo fundamental, assim como os computadores da empresa, que precisam ser gerenciados com cuidado.

 

Integração e comunicação

É importante focar na integração entre todas as áreas, não somente a de TI. Todos devem falar a mesma língua, com acordos e o foco contínuo na defesa da privacidade.

É importante que o setor de TI saiba se comunicar com os outros colaboradores para que eles também conheçam as práticas corretas e saibam o que é efetivo para a proteção das informações.

Diante deste cenário, as empresas deverão aprimorar a gestão dos dados, implementando técnicas que se adaptem a nova lei e mantendo estes dados seguros.

Fique atualizado com nosso melhor conteúdo!

Compartilhe

Facebook
Twitter
LinkedIn

Leitores também acessaram: