Provavelmente, você já ouviu falar ou sabe o que é LGPD, certo? A Lei Geral de Proteção de Dados (LGPD) é um assunto que vem sendo bastante discutido nos últimos anos.
Isso porque a LGPD é uma lei que estabelece regras para empresas sobre o tratamento de dados pessoais de clientes, colaboradores, fornecedores e qualquer outro titular que entregue os seus dados para a empresa.
Para saber mais sobre a Lei Geral de Proteção de Dados e como ela impacta as empresas e os seus clientes, continue a leitura deste artigo!
O que é LGPD?
A Lei Geral de Proteção de Dados (LGPD), como é popularmente conhecida a Lei 13.709/2018, é a principal lei do Brasil no que se refere ao tratamento de dados pessoais, nos meios físicos e digitais, por parte de pessoa física ou, pessoa jurídica de direito público ou privado.
Em outras palavras, a LGPD é uma lei que preza pela proteção dos dados pessoais e proíbe o uso indevido desses dados. Por isso, a lei determina que empresas, públicas e privadas, cumpram uma série de medidas em relação à coleta, armazenamento, compartilhamento e tratamento dos dados para garantir a privacidade e a liberdade dos clientes e usuários do seu negócio.
Quando a LGPD foi criada e quando entrou em vigor?
Sancionada em agosto de 2018, pelo então presidente Michel Temer, a Lei Geral de Proteção de Dados só entrou em vigor no dia 18 de setembro de 2020.
Inicialmente, o texto previa um prazo de 24 meses, após a sanção da lei, para as empresas se adequarem à lei e para que multas pudessem ser aplicadas em caso de descumprimento. Entretanto, por conta da pandemia da Covid-19, a Autoridade Nacional de Proteção de Dados (ANPD) postergou o início das sanções administrativas para 1º de agosto de 2021.
Modificação na LGPD em 2022
Recentemente, a ANPD publicou a Resolução CD/ANPD nº 2 que diz respeito à regulamentação da aplicação da lei para agentes de tratamento de pequeno porte. Em outras palavras, microempreendedor individual (MEI), microempresas, pessoas físicas, pessoas jurídicas de direito privado e startups.
Com essa resolução, a LGPD ficou mais simples para os agentes de pequeno porte. Isso porque algumas exceções começaram a ser aplicadas para as pequenas empresas, como é o caso do:
- Aumento do prazo para atender às solicitações de titulares sobre o tratamento dos seus dados pessoais;
- Desobrigatoriedade de um encarregado de Proteção de Dados;
- Criação de um guia de orientação sobre segurança da informação para pequenas empresas.
Qual o objetivo da LGDP?
Segundo as disposições preliminares da própria lei, o principal objetivo da Lei Geral de Proteção aos Dados é “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.
Ou seja, a LGPD realmente tem o objetivo de preservar os dados pessoais dos indivíduos, garantindo-lhes liberdade e privacidade.
Quando a LGPD deve ser aplicada?
A LGPD deve ser aplicada em qualquer operação de tratamento de dados, seja ela realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, desde que o tratamento dos dados seja utilizado para oferta ou fornecimento de bens ou serviços.
Em relação à aplicação da lei é importante pontuar duas questões:
- Desde que os dados sejam tratados no Brasil, a lei pode ser aplicada independente do país ou a sede da empresa que detém os dados;
- Quando o tratamento de dados é realizado por pessoa física, a lei não se aplica se o objetivo for exclusivamente particular ou não econômico.
A LGPD é obrigatória para todas as empresas?
Muitas pessoas têm dúvidas se precisam se adequar às exigências da Lei Geral de Proteção de Dados. Alguns porque são MEI, outros porque não têm site e tratam dados apenas em ambiente físico, entre outros motivos.
Independente do tamanho ou formato da empresa, todas as instituições, seja órgão público ou empresa privada, precisam cumprir o que é determinado pela LGPD e se responsabilizar com todas as etapas do processamento de dados dos seus clientes.
Entretanto, como vimos, em 2022 a LGPD se tornou mais flexível para pequenas empresas. Mas isso não significa que elas não precisam se adequar ao que é exigido pela lei.
Quais os tipos de dados são considerados na LGPD?
Segundo a lei, existem três tipos de dados:
- Dado pessoal: qualquer informação relacionada à pessoa física, seja ela identificada ou identificável;
- Dado pessoal sensível: dados vinculados a pessoa que se referem a questões pessoais, como etnia ou raça, religião, opinião política, vida sexual, saúde, etc;
- Dado anonimizado: dados onde o titular (pessoa a quem se referem os dados pessoais) não pode ser identificado no momento do tratamento dos dados, por razões técnicas. Por exemplo, crianças ou adolescentes por serem menores de idade.
O que a Lei Geral de Proteção de Dados proíbe?
De forma geral, a LGPD proíbe o uso ou o tratamento indiscriminado de dados pessoais para práticas ilícitas, ou abusivas. Para exemplificar algumas situações que é vedado o tratamento ou compartilhamento de dados pessoais, trouxemos os exemplos abaixo:
- Mediante vício de consentimento;
- Com objetivo de obter vantagem econômica;
- Entre controladores de dados pessoais sensíveis ligados à saúde com objetivo de obter vantagem econômica;
- Entre operadores de planos de saúde para a prática de seleção de riscos, de modo a dificultar a contratação de qualquer modalidade do plano;
- Transferência de dados dos órgãos públicos para instituições privadas, com exceção de casos que exigem a transferência para fins específicos determinados pela Lei nº 12.527.
A LGPD permite a venda de dados para terceiros?
O compartilhamento de informações pessoais sem o consentimento do titular dos dados e visando lucro ou vantagem econômica é extremamente proibido pela LGPD.
Quem é responsável por fiscalizar a LGPD?
O órgão responsável por certificar que a legislação está sendo cumprida é a Autoridade Nacional de Proteção de Dados (ANPD).
Em caso de descumprimento da lei, os membros da ANPD são autorizados a aplicar sanções administrativas às empresas. Dentre as sanções determinadas pela LGPD estão:
- Advertência com prazo para resolução dos problemas identificados;
- Multa simples de até 2% do faturamento da empresa, seja ela pessoa jurídica de direito privado, grupo ou qualquer outro modelo de empresa;
- Multa diária, com limite máximo de até 50.000.000,00;
- Bloqueio ou eliminação dos dados pessoais a que se refere a infração;
- Proibição parcial ou total das atividades de tratamento de dados.
Além dos profissionais da ANPD, as empresas também possuem agentes de tratamento de dados. Em primeiro lugar tem o controlador, a pessoa que toma as decisões referentes ao tratamento dos dados. Em seguida, o operador, que realiza o tratamento determinado pelo controlador.
Importância de aplicar a LGPD na sua empresa
Diante do aumento na produção de dados, principalmente na internet, muitas empresas estão fazendo investimentos em segurança da informação de modo a garantir a maior proteção dos seus dados.
Uma das medidas que garantem mais segurança e transparência no tratamento dos dados é justamente a adequação da empresa ao que é determinado pela Lei Geral de Proteção de Dados, uma vez que a LGPD busca garantir o armazenamento, o processamento e o tratamento dos dados de maneira mais segura.
Além disso, existe também uma questão jurídica onde empresas que não cumprem o que é determinado pela LGPD podem sofrer sanções administrativas severas, a depender do grau das infrações.
Como implantar a LGPD na sua empresa?
Implementar a Lei Geral de Proteção de Dados em uma empresa é um processo que exige bastante planejamento. Mas, para facilitar o seu processo de implementação, trouxemos algumas dicas:
- Estude tudo sobre a lei: leia na íntegra da Lei 13.709 e preste atenção em cada artigo da lei. Caso tenha dúvidas, busque a ajuda de um especialista na área;
- Monte um comitê responsável pela implementação da LGPD: selecione profissionais de diversos setores da empresa para fazer parte do comitê e trabalhar para que todos os setores fiquem de acordo com as exigências da lei;
- Mapeie os dados na sua empresa: identifique e reúna todos os dados disponíveis na empresa a fim de analisá-los junto a equipe para fazer a gestão de riscos de TI e identificar o ciclo de vida, os níveis de seguranças e os riscos de vazamento daquelas informações;
- Atualize as documentações: revise as normas e diretrizes da empresa para garantir que elas estejam adequadas às mudanças propostas pela nova lei;
- Garanta a segurança das informações: desenvolva um plano de segurança das informações para reforçar a cibersegurança da empresa e diminuir o risco de vazamento dos dados.
Como explicar a LGPD para os seus colaboradores?
Para que a implementação da Lei Geral de Proteção de Dados seja bem sucedida, é importante que todos os colaboradores entendam a importância das mudanças que estão sendo feitas. Por isso, é necessário realizar treinamentos com os funcionários, em especial aqueles que lidam diretamente com dados pessoais, para que eles conheçam o tema e tirem dúvidas acerca da legislação.
Quais os impactos da LGPD na sua empresa?
A implementação da LGPD traz uma série de mudanças para as empresas. Abaixo, listamos as principais mudanças:
Comunicação com o cliente
A comunicação com o cliente precisa ser feita mediante autorização prévia, de acordo com os seus objetivos. Por exemplo, para enviar newsletter aos clientes, é preciso que eles autorizem o recebimento desse conteúdo.
Coleta e análise de dados
Assim como o envio de comunicação ao cliente, a lei agora determina que a coleta de dados pessoais precisa do consentimento do usuário. Da mesma maneira, a lei estabelece que a análise dos dados deve ser feita com base nos critérios de finalidade, adequação, necessidade, segurança, etc.
Mudança na rotina dos colaboradores
A LGPD altera a rotina de diversas empresas, não apenas aquelas de tecnologia que trabalham com diferentes tipos de banco de dados e utilizam os utilizam para venda. Isso porque todas as empresas armazenam um grande volume de dados pessoais.
Portanto, é importante que as empresas treinem os seus colaboradores para novos procedimentos que devem garantir maior segurança no armazenamento de dados.
Custos de implementação
A implementação da LGPD pode ter um custo alto, dependendo de quantas mudanças serão necessárias na empresa. Por isso, é importante fazer um alinhamento estratégico entre o TI e negócio para tentar otimizar os custos sem deixar de se adequar à nova legislação.
Quais os impactos da LGPD na vida dos usuários da internet?
Para os usuários da internet, principalmente das redes sociais, os impactos da LGPD podem ser sentidas no dia a dia de maneira sutil.
A primeira mudança se dá na parte de termos de uso. Agora, os usuários têm acesso a termos de uso completos e bem explicativos.
Termos de uso vagos não são mais aceitos pela LGPD.
Uma outra mudança é nas ações de remarketing que utilizam o rastreamento de cookies para mapear a jornada do cliente e impactar usuários. Agora, é preciso avisar ao usuário sobre a política de cookies para receber publicidades e o usuário precisa dar o aceite para ser impactado com essas ações.
Em resumo, para os usuários da internet, as coisas parecem não ter mudado tanto. Entretanto, quem trabalha com redes sociais percebe que a coleta e o processamento dos dados passou por grandes mudanças.
O que a LGPD diz quando há vazamento de dados e ataques cibernéticos?
Conforme o §7 do art. 52, em casos de vazamentos individuais ou de acessos não autorizados aos dados, a primeira medida é a conciliação direta entre controlador e titular. Caso a conciliação não dê certo, o controlador pode sofrer sanções administrativas como determina a lei.
O que fazer quando uma empresa não protege os seus dados?
Caso você tenha os seus dados vazados, o primeiro passo é trocar todas as suas senhas, até mesmo das contas que não foram vazadas. Logo em seguida, você deve reunir as provas do crime.
Com as provas reunidas, abra um boletim de ocorrência em uma delegacia de crimes cibernéticos e acione a Autoridade Nacional de Proteção de Dados para investigar como ocorreu o vazamento.
Conclusão
Apesar de ser uma lei recente, a LGPD já vem provocando mudanças positivas no que envolve o armazenamento e o tratamento de dados pessoais. Para os próximos anos, a expectativa é que o tratamento de dados seja cada vez mais cauteloso, já que as empresas estarão mais familiarizadas com a LGPD.
Se você quer saber mais sobre a Lei Geral de Proteção de Dados, conheça a graduação em Sistemas de Informação da XP Educação e qualifique-se para as necessidades do mercado em relação à cibersegurança.