A Lei Geral de Proteção de Dados (LGPD) estabelece regras claras sobre como as empresas e organizações devem coletar, armazenar, tratar e compartilhar os dados pessoais dos indivíduos. Com a lei em vigor desde setembro de 2020, os princípios da LGPD garantem a proteção dos direitos e privacidade dos titulares dos dados.
Dessa maneira, o tratamento de dados pessoais deve ser feito de forma ética, transparente e segura. As empresas que não cumprirem as diretrizes estão sujeitas a advertências, multas e a proibição, parcial ou total, das atividades relacionadas ao tratamento de dados.
Neste artigo, você vai aprender do que trata a legislação e quais são os princípios da LGPD.
Saiba mais sobre a LGPD, na prática, e como seu negócio pode se adequar à lei!
Antes de tudo, entenda que a Lei Geral de Proteção de Dados (LGPD) é a Lei nº 13.709/2018. Seu objetivo é assegurar a proteção igualitária dos dados pessoais de toda pessoa presente no país. Assim, se estabelece um cenário com segurança jurídica, no qual as organizações devem seguir um padrão de normas e práticas.
Independente se a sede empresarial se situa dentro ou fora do Brasil, se o conteúdo processado envolve pessoas que estão no território brasileiro (mesmo que não sejam brasileiras), a LGPD é aplicável. Conforme a lei, é possível o compartilhamento de dados com outros países, inclusive organizações internacionais, se seguirem protocolos de segurança.
Para compreender amplamente o que é LGPD, é importante entender de antemão a definição de dados pessoais: são informações que possibilitam a identificação, direta ou indireta, de uma pessoa que esteja viva.
Por exemplo: CPF, nome, endereço, gênero, data/local de nascimento, localização por meio de GPS, endereço de IP, hábitos de consumo, retrato em fotografia, histórico de pagamentos e outras coisas.
Antes conhecer os princípios da LGPD, entenda os fatos levaram à implementação da lei.
Definitivamente, a grande razão para isso foram as ocorrências de vazamento de dados por parte das empresas que as detêm, o que agilizou os trâmites legais para a aprovação da lei.
O escândalo de privacidade do Facebook é um exemplo: a empresa Cambridge Analytica utilizou de dados dos usuários para que pudessem executar estratégias mais segmentadas e assertivas na eleição de Donald Trump em 2016.
Posteriormente, em 2019, o Google confirmou que consegue escutar conversas de seus usuários, as quais são utilizadas, segundo a empresa, para melhorias das suas aplicações. Como consequência, aqueles que prezam pelo total sigilo dos seus dados ficaram aterrorizados.
Enfim, essas notícias de vazamentos de dados inundaram os veículos de comunicação em 2018 e no início de 2019. Assim, criou-se um ambiente propício para votações de projetos de lei com grande apoio popular.
É comum que toda empresa solicite dados de seus clientes no momento em que se cadastram ou efetivam alguma compra. Eventualmente, os dados não permanecem apenas no Big Data, isto é, no banco de dados da empresa. Muitos deles, de natureza confidencial, podem acabar comercializados sem a devida autorização dos consumidores.
Essa prática gera diversos transtornos, como spams, malas-diretas, telefonemas indesejáveis e outros contatos efetuados por empresas que o consumidor não conhece, a quem nunca forneceu informação alguma, nem demonstrou nenhum tipo de interesse.
Apesar disso, a situação muda radicalmente com a lei. Afinal, o dono dos dados deverá dar sua autorização clara para o compartilhamento deles, e a empresa que não seguir as determinações legais poderá pagar multas de até R$ 50 milhões.
A Lei Geral de Proteção de Dados, além de regular atividades de tratamento de dados pessoais, também altera os artigos 7º e 16º do Marco Civil da Internet. Basicamente, a lei estabelece definições e nomenclaturas para classificar perfis de usuários e padrões de informações existentes nos processos de captação de dados.
Dessa forma, juridicamente, “tornam-se claras as responsabilidades e formas de tratamento destes dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público, ou privado, protegendo os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.
Inclusive, foi lançado um guia virtual da LGPD muito conveniente para educar as empresas e os consumidores em geral. O manual dividiu a lei (que se compõe de 65 artigos) em diferentes temas e teceu comentários sobre cada um. Veja alguns deles.
O artigo 5 identifica três tipos de dados:
Além desses, há muitos outros conceitos no artigo 5, como:
Da parte do poder público, o compartilhamento de dados pessoais só pode ocorrer para executar políticas públicas. Isso significa que se requer uma justificativa efetiva para o compartilhamento.
Do mesmo modo, o poder público não pode compartilhar dados pessoais com empresas privadas, a não ser em dois casos: prevenção a fraudes ou utilização de dados disponíveis publicamente. Tais informações constam no artigo 24.
Conforme o artigo 16, uma vez concluído o tratamento, os dados pessoais devem ser eliminados. A eliminação dos dados não é necessária quando a sua permanência é exigida para o cumprimento de obrigações legais por parte do controlador, como é o caso do compliance.
Os órgãos de pesquisas não estão sujeitos a essa obrigação, mas eles devem anonimizar os dados. Portanto, se o titular solicitar e/ou se determinadas diretrizes forem cumpridas, os órgãos podem transferir os dados a terceiros. Caso anonimize os dados, o controlador, mesmo que não seja um órgão de pesquisa, pode mantê-los para fins estatísticos, por exemplo.
A Lei Geral de Proteção de Dados estabelece uma série de diretrizes fundamentais que devem ser seguidas na coleta e tratamento de dados pessoais. A seguir, você vai conhecer os 10 princípios da LGPD. Confira!
Os dados pessoais devem ser coletados para finalidades específicas, legítimas e explícitas, e não podem ser utilizados de forma incompatível com essas finalidades.
O tratamento de dados deve ser adequado ao cumprimento da finalidade para a qual eles foram coletados.
A coleta de dados deve se limitar ao necessário para o cumprimento da finalidade pretendida, evitando a obtenção de dados excessivos, irrelevantes ou desnecessários.
Os titulares dos dados têm o direito ao acesso facilitado e gratuito às informações sobre o tratamento de seus dados, de forma transparente e compreensível.
Os dados pessoais devem ser precisos, relevantes, atualizados e, quando necessário, corrigidos, levando em consideração a finalidade do tratamento.
As organizações devem fornecer informações claras, precisas e acessíveis sobre o tratamento de dados pessoais.
As empresas devem adotar medidas de segurança técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, perdas, alterações, destruição ou qualquer forma de tratamento inadequado.
As medidas para prevenir a ocorrência de danos aos titulares dos dados, como vazamentos ou violações de segurança, devem ser implementadas.
Não se pode utilizar o tratamento de dados pessoais para discriminar os titulares com base em raça, etnia, religião, opinião política, orientação sexual ou quaisquer outros aspectos.
As organizações são responsáveis por garantir o cumprimento da lei e devem ser capazes de comprovar a conformidade com as obrigações e princípios da LGPD.
Após saber o que é a Lei Geral de Proteção de Dados e as suas definições, é importante identificar os direitos do titular. O usuário ou consumidor tem garantidos por meio da LGPD os seguintes direitos ao disponibilizar suas informações em qualquer plataforma para qualquer pessoa ou empresa:
Para compreender mais sobre os direitos do titular, leia o nosso e-book exclusivo sobre a LGPD!
É fato que a LGPD provoca mudanças profundas nas estruturas organizacionais das instituições privadas e públicas, demandando extenso trabalho de fiscalização e controle.
Assim, a Unidade Especial de Proteção de Dados e Inteligência Artificial do Ministério Público do Distrito Federal e Territórios (MPDFT) foi a primeira iniciativa nacional dedicada exclusivamente à proteção dos dados pessoais e da privacidade dos brasileiros.
Como resultado, o MPDFT já instaurou ações contra Uber e, mais recentemente, contra a Netshoes em casos de vazamento de dados pessoais de usuários.
O MP do Distrito Federal indicou que, somente na capital de São Paulo, 500 mil consumidores passaram por exposição indevida por causa de uma empresa de BH. O órgão confirmou, ainda, que muitos consumidores foram vítimas no país todo por causa dessa mesma empresa.
Desse modo, o Ministério Público elaborou um material para orientar as pessoas. Trata-se do Roteiro de Atuação: Sistema Brasileiro de Proteção e Acesso a Dados Pessoais, editado pela Câmara do Consumidor e da Ordem Econômica do Ministério Público Federal. Vale a pena conferir seu conteúdo.
Os princípios da LGPD são claros e cabe às empresas a adoção de medidas que garantam seu cumprimento. Ao segui-las, a organização melhora sua reputação. Caso contrário, ela pode enfrentar penalidades altas.
Instaurar uma cultura organizacional voltada para o assunto pode ser um primeiro passo. Essa transformação engloba a criação de uma política de segurança da informação e proteção de dados, que deve ser compartilhada entre todos os funcionários e ser aplicada a todas as etapas que envolvam dados pessoais do consumidor.
Além disso, é importante definir um comitê de segurança da informação na empresa. Forme uma equipe multidisciplinar, composta por uma pessoa de cada departamento.
Dessa forma, cada uma dessas pessoas pode contribuir com questionamentos relacionados ao tratamento de dados no seu setor, além de difundir a cultura para seus colegas do departamento.
A empresa também deve realizar um mapeamento do ciclo de vida dos dados tratados em cada setor. Além disso, é fundamental realizar um levantamento de riscos envolvendo o tratamento de dados na empresa.
Ao avaliar as informações obtidas nesse mapeamento e levantamento, inicia-se a elaboração de um plano de ação, definindo atividades a serem realizadas, prioridades e prazos.
Enfim, a execução do plano envolve a adaptação de processos internos, implementação de medidas de controle de segurança da informação, entre outros. Tudo isso deve ser documentado.
Algo que pode ajudar a sua empresa é a certificação LGPD Foundation, que foi criada para confirmar o conhecimento da organização a respeito da Lei Geral de Proteção de Dados.
Para recebê-la, é preciso responder a 40 questões de múltipla escolha sobre como tratamos os dados pessoais de acordo com a LGPD. O formato do exame é Computer Based Testing (CBT), o que permite aos candidatos conhecerem o resultado do exame logo após a sua conclusão.
Em conclusão, podemos considerar a Lei Geral de Proteção de Dados como o maior marco legislativo digital da história do país. Além disso, é necessário, além de garantir a segurança dos dados e conhecer os princípios da LGPD, manter um gerenciamento de documentos eficaz, que assegure a integridade deles.
>> Para isso, acesse nosso artigo sobre gestão documental e dicas para manter a organização dos arquivos!
Dê o primeiro passo para alavancar os resultados do seu negócio
