A LGPD (Lei Geral de Proteção de Dados Pessoais) entrou em vigor em 18 de setembro de 2020 e gerou um grande impacto em organizações de todos os portes. Ela representa uma ruptura muito significativa no modo como as empresas tratam os dados pessoais de seus clientes, garantindo maior segurança, transparência e autonomia aos usuários.
Apesar de ser um grande avanço no direito à privacidade, a LGPD impõe às empresas grandes desafios. Para se adequar à lei, as organizações tiveram que reestruturar seus processos, contratar ferramentas, buscar aconselhamento jurídico, entre muitas outras ações para garantir que o negócio estivesse em conformidade com as novas regras.
Neste artigo, vamos discutir um pouco sobre o que é LGPD, como ela modifica a forma de tratar os dados e como isso impacta as empresas.
O que é LGPD?
LGPD é a sigla para Lei Geral de Proteção de Dados Pessoais, promulgada sob o número 13.709. Ela determina a maneira como os dados dos cidadãos brasileiros devem ser coletados, gerenciados, armazenados e protegidos. Suas normas foram construídas com base na GDPR (Regulamento Geral sobre a Proteção de Dados), que é a lei regulatória equivalente na União Europeia.
Embora já houvesse leis britânicas que regiam o tratamento de dados, as regras não eram mais suficientes para suprir as necessidades e demandas das novas tecnologias. Diversos casos de vazamentos de dados na região, originados de diferentes empresas, motivaram a criação da nova lei aprovada em 2016.
A GDPR afetou países do mundo todo. Afinal, todas as nações que compõem o bloco precisavam se adequar às novas regras, e empresas de outras regiões que desejassem manter relações comerciais com a União Europeia precisavam atuar em conformidade com a GDPR.
No Brasil, a LGPD é fruto dessa discussão. Ela estabeleceu regras específicas para a captura e o tratamento de dados pessoais de brasileiros ou qualquer pessoa que esteja em território nacional. Dessa forma, qualquer coleta e manutenção deve ser feita com a expressa autorização do usuário, seja em um ambiente digital, seja em qualquer outro meio.
Mas para entender melhor a legislação, é preciso definir com clareza o que são dados pessoais, segundo a lei.
O que são dados pessoais?
Dados pessoais são toda informação relacionada a “pessoa natural identificada ou identificável” — artigo 5º, inciso I, da Lei 13.709/2018. Em outras palavras, é todo registro capaz de identificar uma pessoa, como sua qualificação pessoal, números, dados genéticos, características físicas, entre outros.
Dados sensíveis
Segundo o artigo 5º, inciso II da LGPD, alguns dados são considerados sensíveis, merecendo uma proteção especial, uma vez que podem ser utilizados em caráter discriminatório. Entre eles, estão aqueles que, ligados a uma pessoa natural, identificam sua origem racial ou étnica, opinião política, religião, filiação a sindicatos ou a organizações religiosas, preferências sexuais e dados biométricos ou genéticos.
Dados anonimizados
Os dados anonimizados são informações que não permitem a identificação de um usuário, usando técnicas plausíveis, contanto que não seja possível reverter o processo para reidentificar a pessoa ou usá-los para criar um perfil comportamental. Assim, a anonimização é permitida pela lei e fica fora do seu escopo de aplicação.
O processo de anonimização é importante em diferentes campos. Por exemplo, diversos dispositivos e tecnologias podem capturar dados do usuário a fim de tornar os registros anônimos para que possam ser utilizados pela inteligência artificial, machine learning ou outros sistemas para aprimorar seus recursos ou entregar funções de maior valor para as pessoas.
Dados pessoais de crianças e adolescentes
Em respeito ao artigo 14º, parágrafo 1, da LGPD, os dados pessoais de crianças só poderão ser coletados e tratados com o “consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”. Assim, a empresa responsável precisa se resguardar por se assegurar que o consentimento foi dado, levando em conta as tecnologias que o permitam fazer isso.
Diante desse novo cenário tão desafiador para as empresas, o que é necessário implementar para garantir a proteção dos dados pessoais dos usuários, conforme especificado na LGPD?
O que a empresa precisa fazer?
As empresas precisam planejar com atenção todos seus processos para adequar suas operações internas às determinações da lei. Considere alguns básicos, porém, indispensáveis!
Mapeie todos os seus sistemas, dados e processos
É verdade que as empresas trabalham em cima de dados, de forma que as operações dependem dessas informações. Então, é fundamental fazer um levantamento de todos os sistemas de processos para analisar quais deles são essenciais para a rotina da empresa.
Após essa análise, será possível determinar quais dados pessoais são armazenados e se há autorização expressa do titular para que sejam tratados pela empresa. Caso contrário, precisarão ser descartados.
Crie uma equipe especializada
A LGPD envolve questões tanto jurídicas quanto aspectos relacionados à segurança da informação. Muitas empresas, porém, não têm conhecimento dessas áreas, o que pode gerar erros graves. Por isso, o ideal é reunir profissionais especializados no assunto para executar essa tarefa.
A lei de proteção de dados designa alguns agentes no tratamento de dados pessoais:
- controlador: toma decisões sobre o tratamento dos dados;
- operador: quem faz o tratamento;
- encarregado: cumpre as solicitações dos titulares, orienta funcionários e parceiros, e se comunica com a ANPD — agente necessário conforme o volume de dados trafegado na empresa.
É recomendado também criar um comitê de análise para acompanhar todo o processo de adequação. Isso contribui para a efetividade do plano de ação e o cumprimento da LGPD em diferentes setores da empresa.
Gerencie os dados conforme as previsões da LGPD
Ao fazer um levantamento de todos os sistemas, a empresa consegue ver claramente quais são dados pessoais, que necessitam de um tratamento mais especial, como os dados sensíveis, e que tratamento precisa ser dado a cada um deles. Toda coleta e manutenção exige uma autorização explícita do titular, considerando sempre os princípios previstos pela LGPD.
Quais as punições?
A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão federal nomeado para fiscalizar e executar os termos da LGPD. Assim, caso ocorra um vazamento de dados, a ANPD investiga o caso e julga de acordo com a gravidade da situação. Nessa análise, as empresas podem ser motivadas a divulgar o vazamento ao público, além de serem penalizadas.
A penalidade pode partir de uma advertência a uma multa com 2% em cima do faturamento anual, não ultrapassando R$ 50 milhões ou então uma multa por dia, também respeitando o mesmo limite.
A LGPD é obrigatória para todas as empresas ou até mesmo prestadoras que executam o tratamento de dados pessoais de brasileiros, sediadas aqui no país ou não. Ela segue uma tendência mundial que visa à proteção de dados dos usuários. É um desafio para as empresas, mas um direito conquistado por parte dos usuários.
Esse conteúdo foi importante para você? Então, não deixe de acompanhar nossos artigos aqui no blog. Aproveite, nos siga em nossas redes sociais para não perder nossos posts! Estamos no Facebook, no YouTube, no LinkedIn e no Instagram.