LGPD: tudo que você precisa saber sobre a lei de proteção de dados

A LGPD (Lei Geral de Proteção de Dados) é uma nova legislação que está chegando ao Brasil para estabelecer algumas normas relacionadas ao uso de dados.

A necessidade da criação da lei surgiu com base em diversos, e sucessivos, escândalos de vazamento de dados os quais tornaram-se rapidamente públicos, atingindo milhares de usuários.

Um desses escândalos mais famosos, e recente, foi o caso do Facebook em que houve o fornecimento de informações de milhares de seus usuários para a empresa Cambridge Analytica.

Diante desses acontecimento, é uma certeza o fato de que a LGPD pode impactar diretamente a utilização dos dados que estão sob os cuidados da sua empresa.

Aprovada pelo Senado, no dia 10 de julho de 2018, a lei entrará em vigor após 18 meses desde a sua aprovação e causará diversas alteração aos seus negócios.

O Senado Federal decidiu por consolidar o PLC 53/18, após incentivo originado pela publicação feita pela União Europeia do seu Regulamento Geral de Proteção de Dados da União Europeia (GDPR).

E assim o PLC, Projeto de Lei Complementar, 53/18 foi consolidado como a Lei Geral de Proteção de Dados brasileira (LGPD).

E para entender tudo o que a LGPD representa para a sua empresa, você precisa saber o que é a LGPD, o que ela determina e como você será impactado.

A LGPD aborda variadas questões e caracteriza-se como um assunto muito profundo. Mas você não deve se preocupar em não entender tais questões, pois apresentaremos tudo o que você precisa saber sobre o tema.

Por isso, continue lendo este artigo e descubra tudo sobre a LGPD e como ela pode, realmente, causar algum impacto em sua empresa e seus negócios.

O que é a LGPD?

A LGPD, ou Lei Geral de Proteção de Dados, é a legislação brasileira que determina uma nova forma para como os dados dos cidadãos podem ser coletados e tratados.

Ela está baseada nos direitos fundamentais de liberdade e de privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico do país.

A LGPD também prevê punições para transgressões que possam vir a acontecer por parte da organização na qual você e sua equipe atuam.

Ela estabelece uma série de regras que empresas e outras organizações atuantes no Brasil terão que seguir.

Essas regras são determinadas com o objetivo de proporcionar que o cidadão tenha mais controle sobre o tratamento dado às suas informações pessoais.

Dentre esses diversos princípios estabelecidos pela LGPD, ganham destaque:

  • Transparência para o uso de dados pessoais e a respectiva responsabilização;
  • Adequação, isto é, a compatibilização do uso dos dados pessoais com as finalidades informadas;
  • Proteção do usuário em toda arquitetura do negócio (privacy by design);
  • Finalidade, determinada e previamente informada aos titulares dos dados coletados;
  • Necessidade, limitação do uso dos dados para atingir a finalidade pretendida e a indispensável exclusão imediata de dados após atingir tal finalidade.

As únicas exceções à aplicação da LGPD são as hipóteses de tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos.

Além daqueles realizados exclusivamente para fins:

  • Jornalístico, artístico ou acadêmico (o que não torna dispensável o consentimento);
  • De segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
  • Dados em trânsito, isto é, aqueles cujo o destino não são os Agentes de Tratamento no Brasil.

A lei é também responsável pela criação dos chamados Agentes de Tratamento de dados pessoais, nas figuras do Controlador e do Operador; eles que podem ser uma pessoa natural ou jurídica, de direito público ou privado.

Ao controlador compete as decisões referentes ao tratamento de dados pessoais, enquanto ao operador, a realização do tratamento em nome do controlador.

A principal obrigação estabelecida pela LGPD, para os Agentes de Tratamento, foi a de manter registros de todas as operações de tratamento.

E tal determinação se deu em decorrência do princípio de prestação de contas incorporado pela LGPD.

O projeto de aplicação da LGPD é muito necessário e relevante para o Brasil.

Afinal de contas, as leis existentes que garantem o direito à intimidade e ao sigilo de comunicações não contemplam o cenário tecnológico atual.

Como consequência, muitas empresas acabam não dando a devida importância ao assunto. E, assim, alegam a não obrigatoriedade legal de seguir protocolos abrangentes para a proteção de dados.

É muito comum também a ocorrência de negligência no tratamento de dados nas esferas governamentais. E o motivo é o mesmo: falta de uma legislação específica.

Por fim, a LGPD visa principalmente combater crimes cibernéticos dos mais variados, como vazamentos de dados e ataques ransomware.

Vale ressaltar que existem diversas suspeitas de vendas de dados através do Serpro, que assim como outros casos motivaram a criação dessa lei, possibilitando acabar com práticas do tipo e punir os responsáveis.

Coleta e tratamento de dados segundo a LGPD

Organizações, públicas e privadas, assim como a sua empresa, só poderão coletar dados pessoais se tiverem consentimento do titular segundo a LGPD.

A solicitação deverá ser feita de maneira clara, passando aos seus consumidores exatamente aquilo que será coletado, para quais fins e se haverá compartilhamento dessas informações.

Caso os dados coletados possuam o envolvimento de menores de idade, as informações relacionadas a essa coleta só poderão ser liberadas por meio do consentimento dos pais ou responsáveis legais.

Se houver mudança na finalidade ou, até mesmo, no repasse dos dados a terceiros, você e a sua equipe, em nome da sua empresa, deverão solicitar um novo consentimento aos seus clientes.

O usuário poderá, sempre que desejar, revogar a autorização existente, assim como pedir também acesso, exclusão, portabilidade, complementação ou correção dos dados.

E, se o uso das informações do seu consumidor levar a uma decisão automatizada indesejada, é direito dele pedir uma revisão humana do procedimento.

Através da LGPD, foi criada uma categoria classificada como “dados sensíveis”.

Essa categoria da LGPD diz respeito a informações como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde e vida sexual.

O uso desses dados será mais restritivo. E, além de ser necessário garantir a devida proteção deles, o uso dos mesmos para fins discriminatórios será devidamente penalizado segundo determinações da LGPD.

E a proteção dos dados deve ser devidamente realizada pela empresa, estando sujeita a punições em caso de não cumprimento desse direito do cidadão.

De modo geral, o objetivo da LGPD é proteger o usuário do uso abusivo e indiscriminado dos seus dados por parte de instituições, públicas ou privadas.

Além de pedir consentimento de maneira clara e atender às demandas sobre manutenção ou eliminação dos dados, você só poderá solicitar os dados que são realmente necessários ao fim proposto.

Com isso, a LGPD permite que o usuário questione se a exigência realizada de determinado dado faz sentido em relação ao destino de uso.

O que a LGPD determina em casos de vazamento de dados?

Agora que você viu como a LGPD define o modelo de coleta e tratamento de dados, vamos falar então sobre o que ela determina em casos de vazamento de dados.

A LGPD estabelece que vazamentos de dados, ou problemas de segurança que comprometem os dados de seus clientes e colaboradores, devem ser relatados às autoridades competentes em tempo hábil.

O cenário relatado será analisado pela autoridade responsável acionada pela organização. Após a análise da situação, as autoridades indicarão para a sua empresa os próximos passos.

Qual a punição para o descumprimento da LGPD?

A punição para casos de descumprimento da LGPD varia de acordo com a situação analisada e da gravidade do cenário em questão.

Primeiramente, as autoridades analisam se houve mesmo, ou não,  um caso de infração da LGPD.

Caso seja comprovada a infração, a LGPD estipula que sua empresa poderá receber desde advertências até uma multa equivalente a 2% do seu faturamento (limitada ao valor máximo de R$ 50 milhões).

Existem também a possibilidade de ter as suas atividades ligadas ao tratamento de dados total, ou parcialmente, suspensas e, responder judicialmente a outras violações previstas pela LGPD, quando for o caso.

A LGPD vale apenas para empresas brasileiras?

O Brasil é um país que possui muitas empresas estrangeiras: elas têm operação em nosso território, mas, originalmente, não são daqui. Você pode estar se perguntando, caso você trabalhe em uma dessas empresas, se a LGPD é aplicável a esse tipo de organização.

A resposta é bem simples: a origem da empresa, ou organização, não é fator de exceção para aquilo que é proposto pela LGPD.

As determinações da LGPD valem para operações de tratamento de dados realizados no Brasil, ou em outro país, desde que a coleta de dados seja feita em território nacional brasileiro.

E isso significa o que para você e o seu negócio?

Significa que se a sua empresa coletar dados de um usuário por aqui, mas processá-los nos Estados Unidos, por exemplo, ela terá que seguir a legislação brasileira.

Ou seja, você e sua equipe deverão seguir a LGPD no momento de processamento e tratamento das informações adquiridas com seu consumidor.

Caso haja necessidade, a sua organização poderá transferir os dados para uma filial ou sede estrangeira.

Porém, a única condição existente que possibilite isso é a seguinte: que o país de destino também tenha leis abrangentes de proteção de dados.

Isto é, a chamada transferência internacional de dados somente será permitida para países, ou organismos internacionais, que proporcionem grau de proteção de dados pessoais compatível com a lei brasileira.

A transferência será permitida apenas nos casos em que o país em questão garanta mecanismos de tratamento equivalentes aos que são exigidos no Brasil pela LGPD e, ainda, assegure a segurança dos dados do seu cliente.

E, por fim, caso os dados não sejam mais necessários, a organização terá que apagá-los, assim como a LGPD determina.

A exceção de tal determinação é se houver obrigação legal, ou outra razão justificável, para a preservação dessas informações.

Qual o órgão responsável pela fiscalização da LGPD?

O projeto da LGPD prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD), entidade está vinculada ao Ministério da Justiça.

Inicialmente, a sua criação foi vetada pelo Poder Executivo, pois implicaria em inconstitucionalidade do processo legislativo por trazer vício de iniciativa (a criação teria que partir do Executivo Federal).

Mas o presidente vigente, posteriormente, sinalizou que concorda com a criação do órgão de administração pública indireta, ANDP, e enviou um projeto de lei para essa finalidade.

Esta entidade tem como responsabilidade fiscalizar e garantir a aplicação da LGPD por parte das organizações públicas e privadas.

A LGPD definiu também a figura do Encarregado, a qual pode ser uma pessoa natural ou jurídica, de direito público ou privado, assim como as figuras do Controlador e do Operador.

O Encarregado atuará como canal de comunicação entre o Controlador e os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).

Os seus agentes de tratamento devem adotar medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Qualquer incidente envolvendo dados pessoais que possam acarretar em risco aos seus titulares deverão ser reportados à ANPD, assim como às próprias vítimas, por meio dos Encarregados, conforme determina a LGPD.

Essa comunicação deverá ser feita em tempo hábil, contendo:

  • A descrição da natureza dos dados pessoais afetados;
  • As informações sobre os titulares envolvidos;
  • A indicação das medidas técnicas e de segurança utilizadas;
  • Os riscos relacionados ao incidente;
  • Eventuais motivos da demora, no caso da comunicação não ter sido imediata;
  • As medidas que foram, ou que serão adotadas, para reverter ou mitigar os efeitos do prejuízo.

Também está prevista a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, segundo determinações da LGPD.

Esse conselho será formado por 23 representantes do poder público e da sociedade civil.

O grupo será responsável por realizar estudos, debates e campanhas referentes ao assunto de segurança cibernética de acordo com a LGPD.

E pode se tornar necessário que, tanto as empresas privadas quanto os órgãos públicos, indiquem um responsável pelo tratamento de dados dentro da organização.

As eventuais solicitações, ou comunicações, referentes a dados e informações pessoais serão tratados prioritariamente com essa pessoa indicada pela empresa.

Com isso, a LGPD visa, através do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, trabalhar com a conscientização digital de empresas como a sua.

Próximos desafios devidos da LGPD

Lembrando que, após a sua aprovação, existe um prazo de 18 meses até que a LGPD entre em vigor no país e, a partir de então, novos passos serão dados.

Com isso, você deve ter dúvidas de como prosseguir com a gestão de dados os cuidados da sua organização.

Afinal de contas, durante esse período, os setores privados e públicos deverão se adequar à lei e muitos obstáculos podem surgir para você e sua empresa.

Então, quais são os próximos desafios e impactos que a LGPD traz para o seu negócio? Preparamos abaixo um conteúdo para você estar pronto para encará-los:

  • Nomeação de um encarregado de proteção de dados para garantir que as determinações da LGPD sejam seguidas pela sua empresa;
  • Realização de uma auditoria dos dados presentes sob seus cuidados para garantir que a LGPD esteja sendo respeitada pela sua equipe;
  • Elaboração de mapa de dados da empresa na qual a gestão de TI e de dados está sob seus cuidados;
  • Revisão das políticas de segurança existente na sua organização, garantindo a melhor prática da LGPD;
  • Revisão de contratos com clientes e fornecedores, respeitando o direito de seus clientes e o seu de acordo com o que é estabelecido pela LGPD;
  • Elaboração de Relatório de Impacto de Privacidade, para que você e sua equipe vejam o progresso obtido com a aplicação da LGPD.

Importância do Relatório de Impacto de Privacidade para a LGPD

Decidimos criar esse subtópico específico sobre a importância do Relatório de Impacto de Privacidade para a LGPD para você entender o quanto ele é impactante para o seu negócio.

Esse relatório é fundamental para o cumprimento da obrigação, definida pela LGPD, dos seus Agentes de Tratamento em manter os registros de todas as operações de tratamento realizadas.

O seu Relatório de Impacto de Privacidade deverá conter, no mínimo:

  • A descrição dos tipos de dados coletados;
  • O fundamento da coleta;
  • A metodologia utilizada para a coleta.

E, visando a garantia da segurança das informações e a análise do controlador com relação às medidas adotadas pela sua empresa, o relatório deverá possuir salvaguardas e mecanismos de mitigação de risco adotados.

Isso tudo resulta na importância de estruturar sistemas de segurança da informação confiáveis que permitam decisões automatizadas nos seus negócios.

Com a LGPD, todas as empresas de pequeno, médio e grande porte serão obrigadas a investir em setores que talvez não recebiam a devida atenção anteriormente.

Assim como a empresa onde você trabalha, todas as organizações terão que investir em cibersegurança e implementar sistemas de compliance efetivos.

A fim de prevenir, detectar e remediar violações de dados estabelecidas pela LGPD, sua empresa poderá trabalhar com diversas soluções, inclusive backup cloud.

Diante de tudo o que expomos aqui, lembre-se que você e sua organização estarão sujeitos a penas jurídicas caso não adotem a política de boas práticas determinada criteriosamente pelo projeto da LGPD.

E, agora que você aprendeu mais sobre a LGPD e o que ela representa para o seu negócio, acesse o site da EcoIT e descubra como podemos auxiliar a sua empresa a lidar com essas mudanças.


Compartilhe com um amigo!