GED e Serviços

LGPD – Lei Geral de Proteção de Dados para o consumidor

O que é LGPD? Você sabe o que realmente essas quatros letras deverão significar no ponto de vista dos usuários? Listamos alguns pontos da Lei quem devem ser considerados para que o seu principal objetivo seja alcançado.
Gustavo Azevedo
Gustavo Azevedo
Postado em 24 de outubro de 2019 - Atualizado em 8 de outubro de 2020
homem clicando em um cadeado, representando a segurança da LGPD

O que é LGPD? Você sabe o que realmente essas quatros letras deverão significar no ponto de vista dos usuários? Listamos alguns pontos da Lei quem devem ser considerados para que o seu principal objetivo seja alcançado.

A LGPD entrou em vigor 24 meses após a sua publicação no Diário Oficial da União, ou seja, a partir de agosto de 2020. As empresas têm um prazo de 2 anos para adequar-se as imposições legais previstas na “normativa”.

Definições de critérios para tratamentos dos dados, mecanismos de acessibilidade da informação ao usuário, rotinas de eliminação dos dados pessoais, padrões claros de automatizações e utilização dos dados, dentre outros: tudo isso precisará ser estabelecido e claramente disponibilizado a favor do usuário até o início do 2º semestre do próximo ano. Entenda mais a seguir!

O que é LGPD?

A Lei Geral de Proteção de Dados, LGPD, é a Lei nº 13.709/2018. Seu objetivo é desenvolver um cenário com segurança jurídica, oferecendo um padrão de normas e práticas a fim de assegurar a proteção igualitária, dentro e fora do Brasil, dos dados pessoais de toda pessoa que se encontre no Brasil.

Para compreender o que é LGPD, é importante compreender a definição de dados pessoais, ou seja, são informações que possibilitam a identificação, direta ou indireta, de uma pessoa que esteja viva, como CPF, nome, endereço, gênero, data/local de nascimento, localização por meio de GPS, endereço de IP, hábitos de consumo, retrato em fotografia, histórico de pagamentos e outras coisas.

Não interessa se a sede empresarial se situa dentro ou fora do Brasil, se o conteúdo processado envolve pessoas que estão no território brasileiro (mesmo que não sejam brasileiras), a LGPD é aplicável. Conforme a lei, é possível o compartilhamento de dados com outros países, inclusive organizações internacionais, desde que sigam protocolos de segurança.

A LGPD já está em vigor?

homem mexendo com caneta em um diagrama com dados seguros: isso é o que é LGPD

A LGPD está em vigor desde setembro de 2020. Para se adequar à nova lei, um passo importante é criar um Comitê de Segurança da Informação que se responsabilize por uma análise detalhada dos procedimentos internos atuais e dos dados recebidos.

É recomendado fazer um mapeamento cuidadoso sobre o tratamento dispensado aos dados e sobre todo o ciclo de vida na organização. Isso significa saber o destino deles, onde ficam armazenados, que pessoas têm acesso, se os dados são compartilhados com terceiros no país ou fora dele.

Depois dessa avaliação, o gestor pode mensurar o grau de maturidade dos processos empresariais e quais os riscos que envolvem. Após identificar as falhas, fica mais fácil realizar procedimentos que tornem a movimentação e a gestão de dados completamente segura, seja para a empresa, seja para os consumidores.

Quais os motivos para a nova legislação de proteção de dados?

Sabendo o que é LGPD, fica fácil identificar bons motivos para sua instituição e para toda empresa cumpri-la corretamente. Recentemente ocorreram importantes acontecimentos relacionados ao vazamento de dados por empresas que detêm, em sua natureza de negócio, a captação dos dados pessoais de usuários.

Esses acontecimentos agilizaram os trâmites legais que levaram à aprovação da LGPD, por exemplo o escândalo de privacidade do Facebook — em que a empresa Cambridge Analytica utilizou de dados dos usuários para que pudessem executar estratégias mais segmentadas e assertivas na eleição de Donald Trump em 2016.

Em 2019, o Google, por meio do seu assistente virtual, confirmou que consegue escutar conversas de seus usuários, as quais são utilizadas, segundo a empresa, para melhorias das suas aplicações, aterrorizando àqueles que prezam pelo total sigilo dos seus dados.

Notícias de vazamentos de dados inundaram os veículos de comunicação em 2018 e no início de 2019, proporcionando um ambiente propício para votações de projetos de lei com grande apoio popular.

É comum que toda empresa solicite dados de seus clientes no momento em que se cadastram ou efetivam alguma compra. Os dados, em alguns casos, não permanecem apenas no Big Data, no banco de dados da empresa. Muitos deles, de natureza confidencial, podem acabar comercializados sem a devida autorização dos consumidores.

Essa prática gera diversos transtornos, como: spams, malas-diretas, telefonemas indesejáveis e outros contatos efetuados por empresas que o consumidor não conhece, a quem nunca forneceu informação alguma, nem demonstrou nenhum tipo de interesse.

Com a nova lei, a situação muda radicalmente. O dono dos dados deverá dar sua autorização clara para o compartilhamento deles e a empresa que não seguir as determinações legais poderá pagar multas de até R$ 50 milhões.

A LGPD comentada e suas principais definições

dados em um computador

A Lei nº 13.709/2018, correspondente à LGPD, regula atividades de tratamento de dados pessoais e também altera os artigos 7º e 16º do Marco Civil da Internet. E ela, basicamente, estabeleceu definições e nomenclaturas para classificar perfis de usuários e padrões de informações existentes nos processos de captação de dados.

Desta forma, juridicamente, “tornam-se claras as responsabilidades e formas de tratamento destes dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, protegendo os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Foi lançado um guia virtual da LGPD muito conveniente para esclarecer as empresas e os consumidores em geral. Ele dividiu a lei (que se compõe de 65 artigos) em diferentes temas e teceu comentários sobre cada um. Vamos analisar alguns deles.

Conceitos (artigos 5, 6 e 10)

Esse artigo identifica três tipos de dados, que são:

  • dados pessoais, que são aqueles que podem levar à identificação de uma pessoa (nome completo, CPF, filiação, telefone, endereço e assim por diante);
  • dados pessoais sensíveis, que podem ser utilizados com intenção prejudicial e discriminatória (raça/etnia, opinião política, religião, sexualidade, dados biométricos ou genéticos, inclusive o DNA e a biometria);
  • dados anonimizados, que são dados pessoais ou pessoais sensíveis que deixam de se associar de forma direta a uma pessoa (por exemplo, o dado sensível referente à raça se torna um dado estatístico representando o percentual de pessoas dessa raça que trabalham em uma empresa).

Há muitos outros conceitos no artigo 5, como: banco de dados (local digital/físico que armazena os dados pessoais); titular (o dono dos dados); controlador (decide quais dados serão tratados, de que forma e com qual objetivo); tratamento (toda e qualquer ação realizada sobre os dados pessoais do titular, desde a coleta até a exclusão do banco de dados ou anonimização).

Compartilhamento de dados (artigos 24, 26, 27, 28 e 30)

Da parte do poder público, o compartilhamento de dados pessoais só pode ocorrer com a finalidade de executar políticas públicas. Isso significa que se requer uma justificativa efetiva para o compartilhamento.

O poder público também não pode compartilhar dados pessoais com empresas privadas a não ser em dois casos: prevenção a fraudes ou utilização de dados disponíveis publicamente.

Para entender bem como se constitui o poder público, deve ser lido o artigo 24.

Eliminação dos dados (artigo 16)

Concluído o tratamento, os dados pessoais devem ser eliminados. Só não é requerida essa eliminação quando a permanência desses dados é necessária para o cumprimento de obrigações legais da parte do controlador (como compliance).

Os órgãos de pesquisas não se sujeitam a essa obrigação, mas os dados devem ser anonimizados. A transferência dos dados a terceiros é permitida se o titular solicitar e/ou se forem cumpridas determinadas diretrizes. Caso anonimize os dados, o controlador, mesmo que não seja um órgão de pesquisa, pode manter os dados (fins estatísticos, por exemplo).

Os principais direitos com a LGPD

Depois de saber o que é LGPD e as suas definições, é importante identificar os direitos do titular. O usuário ou consumidor tem garantidos por meio da LGPD os seguintes direitos ao disponibilizar suas informações em qualquer plataforma para qualquer pessoa ou empresa:

  • Confirmação explícita da existência de tratamento das informações.
  • Acesso aos seus dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a Lei Geral de Proteção de Dados.
  • Portabilidade dos dados a outro fornecedor de serviço ou produto sem ônus.
  • Eliminação dos dados pessoais tratados quando desejar e exigir.
  • Informação das instituições (públicas ou privadas) com as quais o utilizador realizou uso compartilhado dos dados.
  • Informação – clara – sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Revisão por pessoa natural de decisões automatizadas.
  • Revogação do consentimento do uso dos dados pela instituição.
  • O usuário tem o direito de cobrar em relação aos seus dados contra a empresa perante a autoridade nacional.
  • Opor-se ao uso dos dados pelo utilizador em caso de descumprimento aos itens da LGPD.

Pelo lado das instituições ou utilizadores, existem mecanismos previstos na LGPD que acercam o direito do utilizador de se adequar em tempo a qualquer exigência do usuário. Por exemplo, em caso de impossibilidade de atendimento ágil da revogação do usuário pela utilização dos dados, onde o utilizador poderá comunicar (se comprovado for) que não é um agente de tratamento de dados, apontando o real utilizador (se existir). Ou também apontar as razões de fato ou de direito que impedem a adoção imediata da providência.

Alguns podem julgar que o Inbound Marketing será prejudicado pela nova lei e pelos direitos do titular. Será apenas necessário tomar alguns cuidados para lançar a campanha:

  • obter consentimento explícito dos titulares para a coleta dos dados pessoais de um lead;
  • coletar apenas os dados necessários para alcançar finalidades concretas.

É verdade que haverá mais limitações para empresas do setor de marketing, mas ainda assim, há possibilidades diferentes de desenvolver um bom trabalho.

Para compreender mais sobre os direitos do titular, leia os comentários do Guia da LGPD aos artigos 4, 6, 9, 15, 17, 18, 19, 20, 21, 22, 42, 45, 51, 60, 63 e 64.

A atuação do Ministério Público

martelo do ministerio publico

A LGPD provocará mudanças profundas nas estruturas organizacionais das instituições privadas e públicas, demandando extenso trabalho de fiscalização e controle. A Unidade Especial de Proteção de Dados e Inteligência Artificial do Ministério Público do Distrito Federal e Territórios (MPDFT) foi a primeira iniciativa nacional dedicada exclusivamente à proteção dos dados pessoais e da privacidade dos brasileiros.

O MPDFT já instaurou ações contra Uber e, mais recentemente, contra a Netshoes em casos de vazamento de dados pessoais de usuários.

O MP do Distrito Federal indicou que somente na capital de São Paulo, 500 mil consumidores passaram por exposição indevida devido a uma empresa de BH. E o órgão confirmou que muitos consumidores foram vítimas no país todo por causa dessa mesma empresa.

O Ministério Público elaborou um material para orientar as pessoas. Trata-se do Roteiro de Atuação: Sistema Brasileiro de Proteção e Acesso a Dados Pessoais, editada pela Câmara do Consumidor e da Ordem Econômica do Ministério Público Federal. Vale a pena conferir seu conteúdo.

Como garantir a proteção e uso dos dados pelas empresas

Fato é que todos estão buscando se adequar a normativa que transformará o modo como as empresas vem utilizando (de maneira eficiente, diga-se de passagem) os dados dos seus usuários. Garantir que suas informações pessoais não caiam em mãos erradas ou em centrais de telemarketing e consultorias de crédito não será uma tarefa usual a todos.

Agora, será preciso mais do que nunca, se relacionar com instituições que comprovam sua idoneidade por meio da clareza e transparência das informações, com parcerias sólidas e igualmente idôneas e seguras.

As empresas que não cumprirem as normas, estão sujeitas a penalidades altas. Mas, conforme o Serasa Experian, 85% das empresas brasileiras alegam que não se sentem preparadas ainda para assegurar os direitos e os deveres relacionados ao tratamento dos dados pessoais.

A certificação LGPD

A certificação LGPD Foundation foi criada para confirmar o conhecimento da empresa a respeito da Lei Geral de Proteção de Dados. Para receber a certificação, é preciso responder a 40 questões de múltiplas escolhas sobre o tratamento oferecido aos dados pessoais conforme a LGPD.

O exame é feito no formato Computer Based Testing (CBT). Isso permite conhecer o resultado do exame logo depois que ele é feito.

Agora, você já sabe o que é LGPD. Esta lei apresenta diversas vertentes que precisam ser detalhadamente consideradas, tornando-a o maior marco legislativo digital da história do país. É necessário também, além de garantir a segurança dos dados, manter um gerenciamento de documentos eficaz, que assegure a integridade deles.

Para lhe ajudar, confira nosso material gratuito sobre gestão de documentos ou aprenda na prática com esse texto.

Ligamos para você