A Lei Geral de Proteção de Dados (LGPD) foi criada em agosto de 2018. Nesse meio tempo, empresas de todos os portes estão adequando seus processos, a fim de evitar problemas e prejuízos no futuro. As punições ocorrerão a partir de agosto de 2020, podendo gerar multas de até R$50 milhões por infração!
O que é a LGPD?
A Lei 13.709/2018, ou Lei Geral de Proteção de Dados, foi inspirada no General Data Processing Regulation, um regulamento do direito europeu que entrou em vigor em maio de 2018.
A LGPD garante ao titular dos dados, total direito sobre quando, de que forma, para qual finalidade e em que medida outras instituições poderão utilizar suas informações.
A principal preocupação da LGPD é garantir a proteção da privacidade das pessoas.
Dados pessoais sensíveis
Para sabermos onde a LGPD se aplica ou não, precisamos compreender a quais dados ela se refere.
Bem, a LGPD protege os dados pessoais normais e sensíveis. São eles:
- Dados pessoais normais: dizem respeito à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa especificamente.
- Dados pessoais sensíveis: informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde ou vida sexual, dado genético e biométrico.
Big Data
Um conceito importante nessa história é o Big Data. Vivemos em um ambiente globalizado, que gera um grande volume de dados a todo instante. Pense nas operações da sua empresa. Uma simples nota fiscal, por exemplo, contém uma série de informações a respeito das partes envolvidas.
É claro que muitas das informações capturadas pela sua empresa são essenciais para o dia a dia, mas de todos os dados disponíveis, quais realmente são relevantes para seu negócio?
A LGPD propõe a coleta de dados na medida exata para sua finalidade.
Digamos que você possua uma loja de bebidas. Saber a idade de seus clientes é importante, porém, conhecer a opinião política é pertinente?
Coleta e armazenamento de dados
Transformando Big Data em Small Data haverá um maior cuidado no tratamento das informações, isto é, da coleta ao armazenamento e tratamento dos dados.
A fim de proteger a privacidade dos titulares, sua empresa deverá adequar processos, a fim de minimizar as chances ameaças e riscos de vazamento de informações.
Segundo a LGPD, é de responsabilidade do “coletor” garantir a segurança dos dados obtidos, adotando medidas físicas, técnicas e organizacionais, como:
- Sistemas de informação com rígido controle, a exemplo da criptografia;
- Dispensar o uso de processos físicos para coleta, armazenamento e descarte de informações;
Consentimento
A aplicação da Lei ocorrerá não apenas nas relações de consumo, como também nas relações jurídicas em geral e nas relações trabalhistas.
O consentimento é ponto chave nesta questão. Em todos os processos que envolvem a coleta e o tratamento de dados pessoais normais ou sensíveis, o titular dessas informações deverá consentir a utilização das mesmas.
Sem esse consentimento, sua empresa estará descumprindo a Lei e sofrerá as devidas punições.
Nos termos do artigo 5º, inciso XII, da LGPD, o consentimento consiste na manifestação livre, informada e inequívoca a qual o titular concorda com o tratamento de seus dados pessoais para um determinado fim.
Essa manifestação exige, por parte do titular dos dados, uma declaração ou um ato positivo inequívoco, de forma escrita, oral (gravada) ou eletrônica.
A mera utilização de um serviço, assim como o silêncio ou inatividade por parte do titular dos dados, não se caracteriza como uma manifestação de consentimento.
Uma sugestão é pedir para o titular dos dados enviar um e-mail ao responsável pelo tratamento, informando, em detalhes, com o que ele concorda.
Vale lembrar que o titular pode, a qualquer momento, alterar ou revogar o consentimento.
Sanções
Muitas pessoas acreditam que a LGPD entrará em vigor apenas em agosto de 2020, e só depois disso haverão as sanções. Outras duvidam do rigor da legislação brasileira.
Há muita confusão e desinformação no que diz respeito à LGPD, mas a verdade é que a Lei está em vigor desde agosto de 2018.
Agosto de 2020 é o prazo final para as empresas enquadrarem seus processos dentro da nova Lei. Aquelas que não estiverem de acordo, poderão sofrer denúncias e investigações.
Vamos parafrasear a seguir o artigo que pontua como as punições serão aplicadas àquelas que descumprirem a LGPD:
“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;”
Ou seja, sua empresa tem muito a perder!
Como se adequar à LGPD
As alterações exigidas pela LGPD devem começar com uma mudança na cultura organizacional. Esse ponto é importante para que toda a equipe entenda a importância da segurança de dados.
A empresa deve compreender que, as informações pessoais normais e/ou sensíveis que possui de seus clientes e colaboradores não pertence à si, mas ao titular dos dados.
O primeiro passo é acionar o jurídico da empresa, colocando-o em contato com todos os setores, a fim de compreender necessidades e mudanças específicas.
Igualmente imprescindível é constituir uma estrutura de governança e uma política de proteção de dados.
Esse Termo deverá conter todas as “diretrizes, procedimentos internos, padrões de respostas a incidentes, avaliações de riscos de novos projetos, atualizações de mapeamento, classificação dos dados pessoais, procedimentos de exclusão de dados e outros pontos que a organização considerar relevante.” Saiba mais.