O que é LGPD e tudo sobre a nova lei proteção de dados

O que é LGPD e tudo sobre a nova lei proteção de dados

Aprenda mais sobre a nova Lei Geral de Proteção de Dados Pessoais, a “GDPR brasileira”, que irá mudar a forma com que todas as empresas, órgãos públicos e organizações cadastram, armazenam e utilizam dados de seus clientes, principalmente para campanhas de marketing e publicidade, também na internet.

LGPD significa Lei Geral de Proteção de Dados do Brasil, que sancionada em agosto de 2018. Essa nova regra define normas sobre coleta, armazenamento, tratamento e também publicação de dados pessoais, trazendo mais proteção a todos e maiores penalidades para que não a respeitar.

Quando falamos sobre regulamentação das políticas de uso de dados no Brasil, o panorama atual mostra o surgimento de novas tendências globais, como grandes alterações em sistemas jurídicos da maioria dos países, cujo principal objetivo está em emitir diretrizes claras rumo à privacidade e segurança.

No Brasil, essa tendência também se faz presente, e merece destaque. Após mais de oito anos de discussões e alterações, em 14 de agosto de 2018, o presidente Michel Temer finalmente sancionou a Lei Geral de Proteção de Dados do Brasil (LGPD), Lei 13.709/2018. A lei entrou em vigor no mês de setembro de 2020, dando às empresas e organizações um período de 18 meses para se adaptarem às novas diretrizes.

Com a lei da LGPD sancionada, o país entra para um grupo de 120 países que possuem lei específica para a proteção de dados pessoais, o que traz mais segurança a sociedade. A nova lei irá eliminar dúvidas pertencentes a estrutura de mais de 40 diplomas legais que, de forma não complementar, regulamenta o uso de dados no Brasil.

Como principal referência para a criação da lei LGPD brasileira, foi usada a GDPR (General Data Protection Regulation), que há um ano sancionada regulamenta a questão para os países de toda a Europa. É a maior e mais completa legislação sobre privacidade de dados que já feita, que passou a servir de modelo para muitos outros países de todo o mundo, que procuravam adotar disposições parecidas ou mesmo complementar as políticas pré-existentes.

O que diz a LGPD?

Seguindo o mesmo objetivo da lei europeia, a LGPD irá alterar a disposição e a forma de funcionamento, a estrutura das operações das organizações ao definir diretrizes claras sobre recepção, armazenamento, tratamento e publicação de dados pessoais, impondo mais restrições e assim uma maior proteção aos dados, com maiores penalidades para que não cumprir a norma.

A lei define por “dados pessoais” qualquer tipo informação pertencente à pessoa natural identificada ou identificável, e por “tratamento de dados”  toda atividade realizada com dados identificáveis, como as que se referem à recepção, classificação, uso, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros possíveis atividades.

Qual é o objetivo das leis de proteção de dados?

As leis de proteção de dados definem as tarefas que utilizam dados em empresas ou outros órgãos que podem ganhar algo com a manipulação. Com o passar do tempo, cada vez mais dados são gerados e coletados.

Com o objetivo de manipular esses dados com a proteção esperada, várias leis de proteção de dados já foram desenvolvidas. Na Europa, é acima de tudo o Regulamento Geral Europeu de Proteção de Dados (EU GDPR) que define as regras para a manipulação de dados pessoais.

A proteção de dados é gerenciada legalmente em uma estrutura ampla e complexa de vários regulamentos, de cada região global.

O Regulamento geral de proteção de dados tem sido o foco da legislação de proteção de dados em nível regional há anos. A complexidade das regras de proteção de dados para as empresas também é aumentada por outros regulamentos que os acompanham, como o Regulamento ePrivacy .

O cenário que temos hoje

Atualmente, todas as pessoas jurídicas (empresas) podem requisitar às pessoas físicas, no momento do seu cadastro, ou de qualquer outro ponto de contato, um conjunto de dados que muitas vezes não tem a menor relação relação com o objetivo do interessado. Esse dado não fica apenas armazenado, mas sim usado em tarefas que a empresa possui interesse.

No Brasil, é cada vez mais comum o uso indiscriminado desses dados, que deveriam ser confidenciais, mas acabam sendo comercializados sem autorização do consumidor, o que resulta em diversas formas de contato por empresas que não solicitamos: cartas, spams nos e-mails, telefonemas e uma série de contatos realizados por empresas para quem nunca fornecemos informações ou demonstramos qualquer interesse.

A partir do sancionamento da nova legislação, espera-se que esse cenário mude, já que o proprietário dos dados deverá informar seu consentimento de forma clara e as pessoas jurídicas que não respeitarem a diretriz serão passíveis de multas de até 50 milhões de reais.

Bases legais para o tratamento de dados

Existem diversas bases de formulação legais que regem as atividades que envolvam dados de terceiro, como por exemplo, diretrizes de proteção de dados, legislação de proteção de dados ou regulamentos de proteção de dados no espaço presente na salada de leis brasileiras. Todos esses pontos de partida legais procuram regulamentar a proteção de dados em diferentes níveis, que se complementam.

O fornecimento de uma diretriz de proteção de dados, assim, indica uma direção que leva a uma lei de proteção de dados, respeitando as características da região.

Uma lei nacional de proteção de dados pode ser diferente em cada país; um regulamento por sua vez (como o Regulamento Geral de Proteção de Dados ) deve ser vinculado a todos os países que adotam uma estrutura de organização de leis nesse sentido.

A recepção e o uso de dados deverá sempre atentar às bases legais definidas pela lei. O novo texto da lei sancionada prevê nove hipóteses que tornam legais as tarefas que envolvem dados, com destaque as duas mais sensíveis: o fornecimento de consentimento e o legítimo interesse do uso.

É a partir de agora sempre necessária o formal consentimento explícito pelo titular dos dados em todas as situações, ou seja, este deve ser informado e informar de forma livre a autorização do seu uso.

Princípios da LGPD

A lei explicita dez princípios que as empresas devem seguir quanto às tarefas que usam os dados, com destaque para o princípio da finalidade, da adequação, da necessidade e da transparência.

Em respeito a estes princípios, as empresas, públicas ou privadas, que possuem como cultura a captura indiscreta e sem fundamentos de dados de todos os clientes, devem agora repensar essa invasão de privacidade.

A LGPD impedirá essa prática, ao defender que a entrega de dados deve se sempre ser essencial  com a interação imediata com os consumidores, motivada por esses. Assim, a recepção de dados deve ser essencial, relevante e também restrita ao mínimo necessário em relação às finalidades para as quais são processados.

Quem são os atores envolvidos?

A nova Lei Geral de Proteção de Dados Pessoais define 4 os atores que participam ativamente da proteção dos dados em cada empresa:

O titular – Seria o proprietário dos dados, no caso as pessoas físicas.

O controlador – É representado pelo tomador dos dados, ou seja, as pessoas jurídicas

O operador – A empresa responsável pela coleta de dados e sua efetiva segurança através de soluções automatizadas

O encarregado – É o profissional que responde pela proteção dos dados da empresa em qualquer disputa que possa vir a ocorrer. É o seu representante legal, que fará contato com os órgãos de controle e fiscalização quando necessário e pode até ser responsabilizado penalmente junto com a pessoa jurídica no caso de mal uso dos dados ou seu vazamento por qualquer motivo.

O que se espera diante da aplicação da lei é que as empresas venham a usar os dados de maneira mais responsável, que através de tarefas que deverão se tornar rotineiras como:

  •         Gestão de consentimento por partes de todos os envolvidos;
  •         Administração das petições abertas pelos donos dos dados (que em muitos casos deve ser respondida imediatamente, passível de multa);
  •         Manuseio do ciclo de vida dos dados dentro da empresa (através de ferramentas como data mapping e data discovery);
  •         E também a implementação de técnicas de anonimização (os dados passados por esse processo não serão considerados dados pessoais pela lei, desde que o processo seja comprovadamente irreversível).

Contexto da LGPD no Brasil

A LGPD foi formulada usando como base para sua formulação a GPDR (sigla em inglês para Regulamento Geral da Proteção de Dados).

A GPDR começou a ser desenvolvida na Europa após os escândalos de vazamento de dados sem consentimento dos usuários da plataforma, por parte empresas com um cadastro enorme de dados, como o Facebook. Nos Estados Unidos, em um caso épico, Mark Zuckerberg teve que explicar sobre o uso dos dados, e acabou sendo condenado a uma multa de 5 bilhões de dólares, além de ter que adotar uma série de novas boas práticas em sua rede social.

Usada como base em diversas outras lei nacionais, a GPDR atualizou a lei de privacidade que era usada em toda a Europa desde 1995, trazendo assim mais transparência a todos que usam a internet em suas atividades diárias.

Como forma de unificar as atividades, todas as grandes empresas de tecnologia têm cumprido as exigências, mesmo que os usuários não sejam cidadãos europeus.

O que vai mudar com a nova LGPD?

A nova lei prevê em seu teor 9 situações que a coleta e o uso de dados devem passar para se tornarem usáveis. Dentre eles, 2 merecem destaque:

É necessário sempre agora conseguir de forma clara o consentimento explícito por parte do titular dos dados, em todas as atividades. Ou seja, ele deverá ser completamente esclarecido sobre os termos de uso e extensão da autorização, e essa autorização precisa ser informada de maneira livre.

Com a sua aplicação, uma empresa só poderá captar determinados dados a partir da autorização clara e consensual do proprietário desses dados, ou seja, o titular. Nesse caso, a empresa precisará comprovar que a solicitação dos dados é essencial as suas atividades em relação ao usuário.

É importante informar ainda que os titulares dos dados possuem agora a opção livre e em qualquer momento retificar, cancelar ou até mesmo solicitar sua exclusão de todos os seus dados nos bancos de dados das empresas. A LGPD traz o total controle dos dados por parte do consumidor, dando a ele total controle sobre seus dados e também a possibilidade de punir os responsáveis por qualquer ação não autorizada, causada pela má administração das informações.

Criada com base na MP 869/18, a Autoridade Nacional de Proteção de Dados será no Brasil o órgão responsável pela atuação, definição de novas diretrizes e fiscalização da proteção de dados por parte das empresas. Esse órgão poderá solicitar em qualquer momento levantamentos de riscos de privacidade às empresas para assim garantir que as organizações estão tratando todos os dados dentro do estabelecido pela LGPD.

Definições

A lei informa de maneira padrão nomenclaturas que formam os processos de uso de dados.

Confira alguns dos conceitos mais importantes na questão das atividades que utilizam os dados.

  •         Dado pessoal é toda a  informação relativa a pessoa “identificada ou que seja identificável”
  •         Dado pessoal sensível é toda informação relativa a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, saúde, vida sexual ou dado genético ou biométrico
  •         Dado anonimizado é relativo a um titular que não possa ser identificado, que não mais possuí proteção da LGPD
  •         Banco de dados é o conjunto estruturado de informações pessoais usadas por uma determinada empresa
  •         Consentimento é a manifestação consensual e livre pela qual o titular autoriza o uso dos dados (o ônus da prova cabe ao controlador)
  •         Relatório de impacto à proteção de dados pessoais é a documentação do controlador descrevendo o processo de tratamento dos dados que podem gerar risco às liberdades civis.

Restrições

O ponto central que rege toda a estrutura da LGPD é a necessidade de consentimento livre expresso pelo titular para armazenamento, uso e compartilhamento dos seus dados.

Nesse sentido, fica agora proibido ceder ou vender informações de clientes, como era comum antes do sancionamento da lei. E ainda, agora está proibido até mesmo executar tarefas que se fazem uso dos dados por parte da própria empresa para uma ação diferente daquela que aceita pelo dono do dados.

Para qualquer ponto de contato, agora é preciso obter o consentimento livre e também específico e ser capaz de comprovar essa aceitação isso a qualquer momento.

Para os dados considerados sensíveis, como os que dizem respeito a ração ou religião, o processo é ainda mais rigoroso. E ainda nos casos de dados que envolvam menores de idade, também agora é exigido o consentimento de ao menos um dos pais ou responsável legal.

Entre as multas e sanções previstas no novo LGPD, ao descumprir as diretrizes, as empresas poderão receber multa de 2% do faturamento total da empresa, limitada a R$ 50 milhões por aplicação.

Como se adequar às novas exigências

O primeiro passo para que uma empresa de adeque às novas diretrizes de proteção de dados pode ser criar um grupo de funcionários responsáveis, que tenham conhecimento da sua estrutura e também das novas regras, e solicitar relatórios da atual situação do tratamento de dados das empresas.

Nesse levantamento, é importante a demonstração de uma forma objetiva como os dados são tratados pela empresa, para levantar qualquer nova possibilidade de infração. A partir do resultado desse levantamento, será possível avaliar o nível de maturidade dos processos dentro da organização os riscos envolvidos.

Com os dados em mãos, é preciso estruturar as mudanças necessárias, e também informar a toda a empresa quais as adequações devem ser agora prioridades no tratamento dos dados.

 

Tags

LGPD LGPD no Brasil Proteção de dados

Mateus Barboza

Mateus Barboza

Administrador, designer, social media, fundador do Marketing com Café, podcaster e fotógrafo por hobby.

Deixe o seu comentário! Os comentários não serão disponibilizados publicamente

Otimizado por Lucas Ferraz.