LGPD: tudo o que você precisa saber sobre a lei de regulamentação de dados pessoais

Escrito por humanos

A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709, de 14 de agosto de 2018, coloca o Brasil no rol dos países que possuem lei de regulamentação de dados específica para a proteção das informações pessoais dos consumidores.

Aqui, ela é considerada uma evolução do Marco Civil da Internet, visto que altera suas premissas e torna a regulação mais exigente.

Essa nova legislação impõe uma profundas transformações na forma como as empresas coletam, processam e armazenam os dados pessoais de seus consumidores.

Em boa medida, ela está alinhada com a GDPR (General Data Protection Regulation), lei de regulamentação de dados européia que entrou em vigor no mesmo ano.

Mas, afinal, como a LGPD impacta as operações de sua empresa? O que é necessário para estar em compliance? Continue a leitura para descobrir!

O que é a LGDP e a quem se aplica?

A LGPD é uma lei de regulamentação de dados que estabelece regras detalhadas para coleta, uso, tratamento e armazenamento de informações pessoais.

Em suma, ela afeta todas as relações nas quais dados pessoais sejam coletados, tanto no ambiente digital, quanto fora dele. Isso inclui, dentre outras, relações entre clientes e fornecedores de produtos e serviços, empregado e empregador, etc.

Segundo o art. 3°, a lei de regulamentação de dados aplica-se a qualquer operação de tratamento realizada no território nacional (ou mesmo fora dele), independentemente do local onde os agentes de tratamento estão sediados ou onde os dados estão localizados, desde que:

  • a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços no território brasileiro;
  • a atividade de tratamento tenha por objetivo o tratamento de dados de indivíduos localizados no território brasileiro;
  • os dados pessoais objeto do tratamento tenham sido coletados no território brasileiro.

IMPORTANTE

A LGPD regulamenta o tratamento de informações relacionadas às pessoas físicas apenas. Ou seja, não se aplica aos dados de pessoas falecidas e de pessoas jurídicas. Tanto organizações do setor público quanto do privado estão sujeitas à lei. Além disso, a LGPD regulamenta o tratamento de dados pessoais realizado por qualquer meio, dentro ou fora da internet, utilizando ou não meios digitais.

Quer saber mais sobre a LGPD? Ouça agora mesmo o episódio do Algar Talks:

https://open.spotify.com/episode/4GAutdnen4kAGSf7Dq0cnp?si=A5TYa87RTt-ZmLAwmdpemQ&dl_branch=1

Quais os objetivos da LGPD?

A lei de regulamentação de dados tem dois objetivos principais:

  • Garantir à pessoa física total controle sobre seus dados pessoais;
  • Garantir a segurança dos dados pessoais.

Além disso, é possível afirmar que a lei visa a proteger o direito à privacidade, estabelecendo diretrizes para que as empresas não venham a cometer excessos.

Em uma época em que o Big Data está no centro das estratégias empresariais, esta regulamentação é muito importante, pois impõe limites e estabelece parâmetros visando à segurança das informações.

O que são dados pessoais e como coletá-los de forma legal?

Como você pode notar, os dados pessoais são o objeto principal da lei de regulamentação de dados. Mas, o que vem a ser isso, do ponto de vista legal?

São considerados dados pessoais todas as informações que permitem a identificação de uma pessoa, como nome, profissão, formação, endereço, CPF, RG, estado civil, etc.

Segundo determinação da LGPD, as empresas só podem efetuar a coleta desses dados mediante o consentimento expresso do indivíduo. Além disso, a empresa precisa informar para qual finalidade os dados serão coletados.

Quais os princípios da lei de regulamentação de dados?

Enquanto o Marco Civil da Internet apenas permite o tratamento de dados pessoais mediante a obtenção de consentimento do titular deles, a LGPD estabelece dez princípios para o tratamento das informações. São eles:

1. Finalidade

O tratamento de dados pessoais só pode ser feito para propósitos legítimos e estes devem estar explícitos para o titular das informações. Ou seja, sua empresa pode utilizar os dados para publicidade, contanto que isso seja deixado claro para o usuário.

2. Adequação

A empresa não pode dizer ao usuário que fará uso dos dados para publicidade e utilizá-los de outra forma no backstage. Em outras palavras, as finalidades informadas ao titular devem corresponder ao tratamento dado aos dados.

3. Necessidade

A manipulação de dados pessoais deve estar limitada ao mínimo necessário para realizar as finalidades informadas.

4. Livre acesso

Os titulares devem ter a consulta facilitada e gratuita sobre as informações relacionadas ao tratamento dos dados, bem como garantia de sua integridade.

5. Qualidade dos dados

Também deve ser garantido aos titulares que seus dados sejam exatos, claros e atualizados, de acordo com a finalidade de seu tratamento.

6. Transparência

Os titulares possuem o direito a informações claras, precisas e facilmente acessíveis, não somente sobre a forma de realização do tratamento como sobre os respectivos agentes de tratamento.

7. Segurança

Devem ser utilizadas medidas para proteger os dados pessoais de acesso não autorizado e de destruição, perda ou alteração, seja acidental ou ilícita.

8. Prevenção

Além da segurança, devem ser adotadas medidas para prevenir a ocorrência de danos – segurança da informação – em virtude do tratamento de dados pessoais.

9. Não discriminação

Dados pessoais não podem ser utilizados com objetivos discriminatórios ou abusivos.

10. Responsabilização e prestação de contas

A empresa deve adotar medidas eficazes e capazes de comprovar o cumprimento e a eficácia das normas de proteção de dados.

Controlador e operador: qual a diferença?

A lei de regulamentação de dados introduz duas importantes figuras, as quais possuem responsabilidades distintas.

Segundo descrito na própria lei, o controlador é a…

pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Ou seja, o controlador é o detentor do direito de uso dos dados pessoais, a quem a pessoa físico consentiu o uso dos dados.

No entanto, nem sempre a empresa faz todo o tratamento de dados localmente. Por diversos motivos, como maior segurança, flexibilidade, escalabilidade e redução de custos, muitas empresas optam por realizar o armazenamento e processamento dos dados na nuvem. Aí surge a figura do operador.

Segundo a lei, o operador é a…

pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

No entanto, operadores e controladores são considerados igualmente agentes de tratamento e ambos devem seguir as disposições legais.

Em seu artigo 50, a lei de regulamentação de dados faz o seguinte destaque:

Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Portanto, se sua empresa utilizar qualquer serviço de terceiros no tratamento de dados pessoais, é de suma importância que todos tenham o compromisso de seguir as normas estabelecidas pela LGPD.

Caso contrário, todos podem responder judicialmente pelas práticas que vão contra ao estabelecido pela lei.

Qual o prazo para adequação?

Até o momento, a lei de regulamentação de dados está prevista para entrar em vigor em agosto de 2020. No entanto, um projeto de lei pretende prorrogar a data de vigência por mais dois anos.

Independentemente disso, é de suma importância adequar seus processos à LGPD o quanto antes, visto que essa é uma importante medida para garantir a segurança dos dados.

Vale lembrar que o vazamento de dados pessoais pode ser altamente prejudicial para a imagem da empresa e impactar negativamente sua relação com clientes e fornecedores.

Quais as consequências da não adequação à lei de regulamentação de dados?

Em razão das infrações às normas da LGPD, os agentes de tratamento de dados estão sujeitos às seguintes penalidades:

  • recebimento de advertência indicando um prazo para que as devidas medidas corretivas sejam adotadas;
  • multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência (o que pode manchar a reputação da empresa);
  • bloqueio dos dados pessoais ligados à infração até que a situação seja regularizada.

Como se adequar à LGPD?

Existem diversos pontos que devem ser observados para que os organizações estejam em compliance com a lei de regulamentação de dados.

Empresas maiores, por exemplo, deverão contar com a figura do Encarregado de Proteção de Dados, um profissional que terá a função implementar boas práticas e garantir a seu cumprimento no dia a dia.

Além disso, essa será a pessoa que irá representar a empresa junto à ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável por fiscalizar o cumprimento da lei.

Também é primordial que haja investimento em cibersegurança, como antivírus, criptografia, firewall, etc. Nesse sentido, a nuvem é um fator indispensável, visto que agrega muito mais segurança no armazenamento de dados.

Por fim, vale destacar que a ei de regulamentação de dados vem para complementar e consolidar os direitos que antes estavam esparsos em diferentes normas que tratavam direta ou indiretamente do tema de proteção e privacidade de dados pessoais.

Não se adequar a essa nova lei pode trazer diversos custos para a corporação. Por isso, dê uma olhada na legislação completa e  certifique-se de que sua empresa não está cometendo irregularidades e correndo risco de sofrer alguma penalidade.

Agora que você conhece tudo o que precisa saber sobre a Lei Geral de Proteção de Dados, aproveite para ler sobre os 5 problemas de comunicação empresarial mais comuns e como resolvê-los!

empresas

 

Avalie este post

Deixe um comentário