LGPD: Saiba o que é e de que forma sua empresa será afetada

ProMoveMelhorias de ProcessoLGPD: Saiba o que é e de que forma sua empresa será afetada
LGPD Lei Geral de Proteção de Dados

Você já ouviu falar na LGPD? A sigla refere-se à Lei Geral de Proteção de Dados, que está trazendo uma série de transformações, não apenas para a sociedade brasileira, mas também para inúmeras empresas que lidam constantemente com informações.

A novidade acarreta uma série de consequências e desafios a serem implementados até 2020. Contudo, é necessário conhecê-la desde já e preparar-se para o que está por vir. Siga a leitura e descubra:

O que é a Lei Geral de Proteção de Dados?

Inspirada na General Data Protection Regulation (GDPR), uma regulamentação aprovada na Europa em maio de 2018, a Lei Geral de Proteção de Dados foi sancionada no Brasil em agosto do mesmo ano com o intuito de alterar a Lei Federal nº 12.965/2014.

Para quem não a conhece, ela era chamada de Marco Civil da Internet e, desde 2014, tinha como propósito regular o uso dessa rede no país, estabelecendo princípios, direitos e deveres. No entanto, com a chegada da LGPD, que entrará em vigor apenas em 2020, a intenção é estreitar o que antes já era cerceado e começar a proteger ainda mais os usuários.

Qual seu objetivo?

Com o intuito de dar transparência ao uso dos dados das pessoas físicas e garantir sua intimidade, a proposta da LGPD é exercer maior controle sobre as informações. Tudo isso tomando como base os direitos à liberdade e à privacidade já presentes na Constituição brasileira.

Em seu artigo 2º, a LGPD afirma que, entre seus fundamentos, estão:

I. o respeito à privacidade;
II. a autodeterminação informativa;
III. a liberdade de expressão, de informação, de comunicação e de opinião;
IV. a inviolabilidade da intimidade, da honra e da imagem;
V. o desenvolvimento econômico e tecnológico e a inovação;
VI. a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII. os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Dessa maneira, prezando a liberdade informativa, mas ainda mantendo o que é íntimo a cada sujeito, ela passa a estabelecer certas regras sobre a coleta, o armazenamento e, especialmente, o compartilhamento dessas informações, dando ao seu proprietário a oportunidade de acessá-las, corrigi-las e até revogar seu consentimento sobre a coleta.

Assim, torna-se evidente que essas condições não se aplicam, por exemplo, às informações fornecidas para fins jornalísticos, pessoais ou acadêmicos, mas se englobam perfeitamente no que está relacionado às empresas.

A partir de agora, elas terão que comprovar que possuem, de fato, uma finalidade para o uso desses dados, que eles são úteis e necessários para os negócios, que está sendo recolhido apenas o mínimo e que essa reunião de informações é feita com qualidade e de forma correta.

Com isso, o consumidor passa a ter um papel mais defensivo nas transações e a ser defendido de qualquer mau uso de suas informações pessoais, cercando-se de garantias de que estará protegido. Isso porque, caso as empresas não cumpram com o estabelecido, haverá uma multa como sanção e, ademais, o titular pode até mesmo ser indenizado.

Como funciona atualmente?

Nos dias atuais, ao cadastrar-se em alguma empresa, seja para compras, seja para adquirir um cartão de loja, seja pelo motivo que for, é muito comum que as companhias solicitem inúmeros dados que, evidentemente, não condizem com o que é necessário para aquele momento.

“Ah, mas eles vão armazenar no meu arquivo, é um protocolo padrão”, muitos podem pensar. No entanto, não é assim que funciona. Em geral, a sua confidencialidade é comercializada sem a sua autorização, o que frequentemente gera ligações telefônicas que você não solicitou, contatos intransigentes e outras tentativas de abordá-lo que muitas vezes fazem com que você questione como essa pessoa o encontrou em meio a milhares, não é mesmo? Pois bem, foi com os dados que você forneceu a uma outra organização.

Por isso, o que se espera com a nova Lei Geral de Proteção de Dados é que essa recorrência se interrompa e que você, como proprietário dos seus dados, seja responsável por consentir ao que será feito com eles. Às claras, sem enganações, sem surpresas.

O que vai mudar?

Agora, com a Lei Geral de Proteção de Dados, o Brasil passa a fazer parte dos países que protegem os dados de sua população, assim como tantas nações da Europa já fazem.

Dessa forma, haverá um órgão responsável por fiscalizar se as empresas estão realmente cumprindo com o que é estipulado e essa observação será tão rigorosa que relatórios surpresa poderão ser solicitados a qualquer momento, a fim de identificar irregularidades.

Tendo isso em vista, as organizações só poderão recolher informações se forem autorizadas, deverão informar de maneira clara ao cliente todos os termos de uso e as consequências da autorização e precisarão obter um consentimento explícito por parte dele a respeito do que deve ser feito com seus dados.

Assim, o que é extremamente vantajoso para o consumidor pode representar inúmeros desafios para quem está por trás de um CNPJ.

Tenho uma empresa, e agora?

Se você possui uma empresa, é preciso ter como princípio fundamental que, a partir de agora, você e seus funcionários deverão proteger os dados pessoais de seus clientes. Para isso, será necessário implementar algumas estratégias e medidas para garantir a segurança das informações, empregando não apenas a tecnologia, mas também medidas administrativas, evitando perder esses dados ou ficar vulnerável virtualmente.

Levando isso em consideração, é importante criar uma equipe responsável por esse segmento, que seja capaz de analisar o passo a passo feito internamente, desde quando as informações chegam à empresa até o momento em que haja possíveis vazamentos.

Blog Banner ProMove Online CoachingPowered by Rock Convert

Assim, mapear todos os detalhes, estar ciente de aonde estão indo, se são compartilhados e analisar todo o resto serão tarefas fundamentais para compreender qual o ciclo percorrido por essa informação dentro da organização e como ela pode, eventualmente, acabar trazendo riscos.

Com isso, uma vez que seja identificado onde está ou onde pode haver um problema, será necessário executar manobras de segurança a fim de evitar que o cliente ou titular esteja em risco. Especialmente porque, como se sabe, essa exposição pode trazer penalidades graves para a companhia.

Portanto, será mais do que necessário rever alguns conceitos, como a gestão de consentimento, o ciclo de vida dos dados dentro da empresa e o uso de técnicas que tornem essas informações anônimas. Além disso, será fundamental estar atento e cauteloso com tudo o que for coletado, principalmente em alguns casos especiais.

Por exemplo, se os dados pertencerem a crianças e adolescentes, será obrigatório que isso seja tratado em seu melhor interesse, tendo sempre o consentimento dos pais ou responsáveis antes de recolhê-los. Registros relacionados a raças, opiniões políticas e crenças entrarão no que será chamado de “dados pessoais sensíveis” e só poderão ser obtidos com consentimento, jamais sendo compartilhados.

Ainda assim, não pense que o fato, por exemplo, de ser uma multinacional pode fazer com que o seu CNPJ escape das novas demandas impostas. Para as situações em que a empresa possui matriz no exterior, a lei também será válida, desde que os dados tenham sido coletados em território nacional, ou seja, não há como escapar dessa regularização.

Tendo isso em mente, uma vez que a LGPD passar a vigorar em 2020, as organizações terão um prazo de 18 meses para se adequar a todas as exigências da nova lei e, mesmo com isso, é importante estar atento, pois, como dito acima, relatórios serão pedidos para avaliar se tudo está sendo cumprido.

E se algo der errado?

Caso a sua empresa não esteja cumprindo com as estipulações determinadas em Lei, a companhia receberá, inicialmente, uma advertência, com prazo para que tudo seja corrigido e medidas de segurança sejam adotadas.

Se isso ainda não resolver, será aplicada, então, uma sanção, com multa simples de até 2% do faturamento da empresa, podendo chegar até R$ 50 milhões por infração. Outra possibilidade é aplicar também uma multa diária enquanto o problema não for resolvido.

Ainda assim, o que também pode ser feito é, depois de apurada e confirmada a ocorrência, bloquear os dados pessoais que geraram o problema e até eliminá-los do banco de informações da empresa.

Como posso, então, fazer isso funcionar?

Agora, a proteção dos dados passará por quatro fatores dentro de uma companhia: o titular, o operador, o encarregado e, evidentemente, a própria empresa, chamada de controlador. Esteja atento a todos eles:

      1. O titular, ou cliente, é o proprietário dos dados e, geralmente, uma pessoa física, inscrita no CPF.
      2. A partir do momento em que se cadastra, ele fornecerá suas informações para o funcionário da empresa (o operador), aquele que é responsável pela coleta e que, consequentemente, deverá manter a segurança do que foi recebido, encaminhando para a equipe.
      3. Depois, um encarregado da proteção dos dados (como sugerido ao longo do texto), ficará com a missão de não deixar que a segurança seja comprometida. É ele quem evitará vazamentos e monitorará qualquer mau uso das informações. Além disso, será ele a pessoa determinada a entrar em contato com os órgãos reguladores caso algo aconteça.
      4. Por fim, na ponta dessa relação está a própria empresa, que deve agir com integridade e confiabilidade, coordenando todos os processos anteriores e controlando o esquema.

Assim, na relação entre o cliente e a pessoa jurídica (inscrita no CNPJ), fica implícito que a organização deverá pedir autorização para obter todo e qualquer dado e que o titular poderá revogar ou desistir de mantê-los no cadastro da empresa no momento em que desejar.

Ademais, ele também poderá solicitar informações a todo instante sobre o que está sendo feito com os dados oferecidos e deverá ser atendido prontamente, com uma consulta facilitada e gratuita que permita o seu livre acesso.

Por outro lado, se houver qualquer adversidade que coloque em risco a segurança dessas informações, a empresa deverá retratar-se com o cliente, explicando o que houve e comunicando o ocorrido. E não é só isso. Nessas situações, a Agência Nacional de Proteção de Dados (ANPD) deverá ser informada, a fim de comprovar a legitimidade e a ética com as quais a organização vem trabalhando.

Dados deverão ser eliminados pela empresa

Por fim, uma vez que o tratamento dos dados tenha sido finalizado e não haja mais necessidade de retê-los, eles deverão ser eliminados pela empresa e só poderão ser conservados, segundo o artigo 15, para:

I. cumprimento de obrigação legal ou regulatória pelo controlador;
II. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III. transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei;
IV. uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Dessa forma, prezando por uma boa prática, tendo ciência de como proceder diante dos dados do titular e garantindo, assim, sua segurança e privacidade, não há motivos para que as empresas se preocupem com todas as mudanças previstas para o próximo ano.

Aqui, o objetivo é proteger o consumidor, evitar incômodos e ter a certeza de que ele estará resguardado de qualquer adversidade que os vazamentos podem trazer. Não há qualquer intenção de prejudicar as organizações e companhias, portanto, tudo o que precisa ser feito é manter uma abertura íntegra e moral, compreendendo o espaço do outro e os direitos que ele possui, assegurados pela Constituição.

Ademais, vale a pena lembrar que essa nova lei pode trazer inúmeros benefícios tecnológicos e representar um avanço muito grande nesse segmento para o país, causando uma verdadeira revolução digital, que pode acarretar a vinda de novos recursos, a especialização dos colaboradores, a oferta de vantagens para os departamentos de tecnologia das empresas e, acima de tudo, uma mudança social.

Tendo isso como um conceito cada vez mais presente, todos precisarão estar preparados para o futuro. Os impactos, evidentemente, vão ocorrer em diferentes escalas na sociedade. Contudo, chegou a hora de aliar-se aos softwares, mostrar que as empresas e os clientes podem se unir pelo bem de todos e fazer a diferença.

Ficou com alguma dúvida sobre a lei e precisa de ajuda para sua empresa? Entre em contato conosco!

Sobre o Autor

Consultor em Melhoria de Processos na ProMove. Doutor em Engenharia de Sistemas e Computação pela Universidade Federal do Rio de Janeiro (2010), Mestre em Engenharia de Sistemas e Computação pela Universidade Federal do Rio de Janeiro (2003) e graduado em Ciência da Computação pela Universidade Federal da Bahia (2000). Possui experiência em melhoria de processos, gerência de projetos e coordenação de equipes de consultoria. É consultor na implantação de processos aderentes aos modelos de qualidade CMMI e MPS. Atuou na concepção/desenvolvimento de um framework na linguagem .Net. É certificado ITIL v3 Foundation. É instrutor credenciado dos cursos de capacitação do modelo MPS. É implementador credenciado do modelo MPS para Software e MPS para Serviços. É avaliador líder experiente do modelo MPS para Software e Serviços. É avaliador líder do modelo CERTICS.