Entrando em vigor a partir de agosto de 2020, a Lei Geral de Proteção de Dados (LGPD) objetiva garantir a transparência e evitar o mau uso de dos dados de pessoas físicas, dando ao titular mais privacidade e controle ao acesso dos seus dados.
Tendo como base a regulamentação europeia “General Data Protection Regulation (GDPR)”, que é norteada pelos nos direitos fundamentais de liberdade e de privacidade, a LGPD impõe regras que envolvem coleta, armazenamento e compartilhamento de dados pessoais.
O descumprimento das normas acarreta em severas multas, que podem chegar ao montante de 50 milhões de reais. Para entender melhor como se adequar ao cumprimento da legislação e evitar essas penalidades, acompanhe o artigo que a Acadi TI preparou especialmente para você.
Cenário atual de proteção de dados no Brasil (LGPD)
A LGPD surge no Brasil com o intuito de substituir a Lei nr 12.965, de 2014. Conhecida como Marco Civil da Internet, esta é a lei que está em vigor desde então, até agosto de 2020, quando passa a valer a nova.
No cenário atual, muitas empresas (pessoas jurídicas) solicitam aos seus clientes e prospects (pessoas físicas) dados cadastrais que não tenham ligação nenhuma com a atividade-fim da empresa.
Em alguns casos essas informações vão para bancos de dados e servem para mapear tendências e comportamentos, para melhor segmentar a entrega de publicidades ou até mesmo de ofertas.
Quando a pessoa em questão autoriza tal uso de suas informações, não há irregularidade alguma. Porém, a maioria dos casos, o titular das informações desconhece este uso.
Além disso, há outra prática comum no mercado que é ainda mais perigosa para o usuário: a comercialização desses dados sem autorização. O que pode ocasionar diversos inconvenientes, como publicidade invasiva não autorizada (spam), telefonemas e até mesmo fraudes e golpes.
O Stopim da LGPD no Brasil
Tudo começou com um teste psicológico, desenvolvido em uma aplicação do Facebook, que colheu e comercializou sem autorização explícita os dados pessoais de mais de 270 milhões de pessoas e de suas conexões na rede social.
O vazamento desses dados ocorreu graças à existência de uma brecha nos termos e condições de uso do Facebook. Tais termos proíbem a venda de qualquer dado coletado pela rede social. No entanto, a normativa não envolvia também as aplicações que capturavam os dados por meio da rede social, como neste caso específico.
A empresa que oferecia este teste aproveitou a brecha e vendia os dados para a Cambridge Analytica, que usava as informações na campanha presidencial de Donald Trump. Os dados eram utilizados para orientar o direcionamento de propaganda a favor do movimento político dos clientes da Cambridge Analytica.
Devido à ampla repercussão que este o escândalo teve em âmbito internacional, surgiu a General Data Protection Regulation (GDPR), que regula o uso de dados de todos os cidadãos dos países da União Europeia.
Como consequência, foi evidenciada a necessidade de ter uma legislação que regulasse também o tratamento dos dados pessoais dos brasileiros, levando também em conta que a Cambridge Analytica planejava atuar nas nossas eleições nacionais. Assim a aprovação da LGPD no Brasil foi impulsionada e acelerada por este escândalo internacional.
Curso online de proteção de dados
Treinamento e certificação oficial EC-Council
O que é considerado como dado pessoal na LGPD?
A LGPD considera como dado pessoal qualquer informação sobre a pessoa que seja identificada ou identificável. Sendo assim, é dado pessoal todo dado pelo qual seja possível identificar uma pessoa, ou que unido a outro dado permita essa identificação.
Então, dados soltos sobre preferências políticas, sexuais, filosóficas, dados relacionados à etnia e de caráter religioso podem ser utilizados, a menos que possam ser usados para identificar alguém. Esses dados são chamados de dados pessoais sensíveis.
As justificativas obrigatórias para tratamento de dados pessoais
A LGPD atuará regularizando o tratamento de dados pessoais e delimitando quando e como as empresas podem tratar os dados. Isso se dará por meio de justificativas que dão direito à uma empresa tratar dados.
É por meio dessas justificativas que há a definição entre o tratamento legal e ilegal de dados. O foco é evitar as brechas para manipulação irregular dos dados pessoais.
Por obrigatoriedade, algumas dessas justificativas devem ser amplamente destacadas na comunicação, sendo uma delas a justificativa de consentimento. Na LGPD, quando uma empresa quer usar o consentimento do usuário como justificativa para tratar dados pessoais, ela deve ser clara direta e explícita, sem gerar ambiguidades para o titular.
Sendo assim, o modelo comum de mercado com entrelinhas de termos e condições extensos e com linguagem rebuscada passam a ser considerados nulos. Para ser válida a justificativa, é imperativo que fique claro para o usuário quais dados que ele está deixando para serem tratados e para que usos.
Outra justificativa para tratamento que obrigatoriamente precisa ser destacada é a para consulta e proteção de crédito. Antes da LGPD, instituições financeiras trabalhavam com um sistema interno com os dados financeiros dos clientes comunicados entre bancos sem ele autorizar.
Agora, com a LGPD, obrigatoriamente o cliente tem que dar permissão explícita para que seus dados sejam comunicados entre bancos, garantindo mais privacidade e controle ao usuário.
Por outro lado, há uma justificativa que traz um pouco de ambiguidade na LGPD. Trata-se daquela que diz que o tratamento de dados pode ser feito se houver interesse legítimo de um responsável ou terceiro. No entanto, não se sabe ao certo o que seria considerado como interesse legítimo.
Atores do LGPD no Brasil
Há 4 atores que se envolvem diretamente com a proteção dos dados dos usuários. São eles:
O titular- proprietário dos dados, no caso as pessoas físicas.
O controlador – tomador dos dados, ou seja, as empresas (pessoas jurídicas) que capturam e armazenam esses dados
O operador – empresa que coleta os dados e garante segurança através de soluções automatizadas
O encarregado – profissional que responde legalmente pela proteção dos dados da empresa. É o seu representante, que fará contato com a Agência Nacional de Proteção de Dados (ANPD) quando necessário. O encarregado pode, inclusive, ser responsabilizado juntamente com a pessoa jurídica no caso de mal uso dos dados ou vazamento por qualquer motivo.
Direitos do usuário na LGDP
A grande razão de ser da LGPD no Brasil é garantir ao usuário (titular) privacidade e controle de seus dados pessoais. Por isso, a lei estabelece detalhadamente os direitos do usuário, que é uma parte vital de como funciona a LGPD.
Porém, há direitos do usuário delimitados na LGPD que extrapolam a garantia de controle de dados pessoais pelos próprios usuários. Um deles é o direito de esquecimento.
Trata-se da obrigatoriedade em dar a possibilidade do usuário de controlar como seus dados estão expostos na internet. Sendo assim, caso haja conteúdos envolvendo o usuário, publicados em sites, redes sociais, entre outros, e o usuário quiser retirá-lo. Ou seja: ele tem o direito de exigir a remoção desse conteúdo.
Outro direito bem importante ao usuário que a LGPD garante, é o acesso a saber quais dados e informações alguma empresa está armazenando sobre ele e como está os utilizado.Garantindo controle total ao usuário quanto à exposição dos seus dados sensíveis.
Como se adequar às novas exigências
Há um mix de ações necessárias para que as empresas consigam se adequar corretamente ao regimento da LGPD. A primeira ação importante é a composição de um Comitê de Segurança da Informação dentro da empresa, que torna-se responsável por analisar a atual situação das condutas internas quanto aos dados recebidos.
Dentro deste processo é importante fazer um mapeamento detalhado sobre de como os dados pessoais são tratados e todo o seu ciclo de vida dentro da empresa. Detalhar para onde vão, onde são armazenados, quais são as pessoas que têm acesso e se são compartilhados com terceiros. Dessa análise, será possível avaliar todas as novas medidas que deverão ser adotadas para o enquadramento junto à nova Lei.
Após, é hora de traçar o plano de ação com todas as mudanças necessárias, para deixar o tratamento dos dados totalmente seguro tanto para a empresa quanto para os consumidores.
Penalidade pelo descumprimento da lei
As penalidades pelo descumprimento da LGPD são bem pesadas. Podem envolver multas altíssimas, com potencial de quebrar muitos negócios ou até a proibição total ou parcial de atividades que envolvam tratamento de dados.
No que tange às multas, elas podem somar até até 2% do faturamento da empresa ou o montante limitado a R$ 50 milhões por infração cometida. E cada vazamento de dados pode ser considerado como uma infração individual
Sendo assim, cada dado pode custar até R$ 50 milhões em multa. E ainda há possibilidade de multas diárias nessas mesmas proporções.
A dureza das multas traduz a importância que o governo está dando para que as empresas entre em conformidade com a lei. Então, para evitar os inúmeros prejuízos possíveis com as não conformidades, comece hoje mesmo a pensar no processo de adequação da sua empresa à LGPD.
Em suma, a LGPD vai transformar a operação de muitas empresas no Brasil, garantindo mais transparência no tratamento de dados e mais segurança ao usuário. Caso sua empresa trate de dados pessoais ou dados sensíveis, é imperativo atualizar-se à fundo e iniciar a remodelagem dos processos, sob pena das duras multas e punições do descumprimento da nova lei.
Para saber ainda mais sobre a LGPD do Brasil e entender exatamente tudo o que você precisa mudar em seus processos, baixe o e-Book “Entendendo A Lei Geral De Proteção De Dados Do Brasil”, disponível neste link.