Sumário do Artigo

* O objetivo deste artigo é meramente informativo – A AdOpt não presta consultoria jurídica nem nos responsabilizamos por medidas que possam ser adotadas por terceiros.

Resumo: Todas as informações importantes sobre a Lai Geral de Proteção de Dados – LGPD: o que é, por que ela existe, como funciona, quando entra em vigor, a quem se aplica, multas previstas, passos para adequação e seus princípios legais.

Bem-vindos!

Esse texto foi feito para que você consiga entender a lei como um todo, dos preceitos básicos até a adequação, suas etapas, e com isso se preparar para as mudanças. Dentro de cada tópicos, ou sub tópico, eu fiz questão de elencar outros artigos mais avançados que te ajudam a aprofundar nos temas isoladamente.

Obs.: O artigo funciona como um grande repositório compilado de tudo o que lemos, sabemos e registramos para nossos leitores e clientes. No sumário abaixo você poderá acessar cada seção individualmente.

Ah! Como estamos sempre atualizando e subindo novos conteúdos aqui, você vai reparar que ele sempre tem coisa nova!

Abs. e bons estudos!


O que é a Lei Geral de Proteção de Dados – LGPD – Lei 13.709/18?

A Lei Geral de Proteção de Dados, conhecida como a “GDPR Brasileira” é uma lei sancionada durante o governo Temer em Agosto de 2018. Ela estabelece os parâmetros para coleta, armazenamento, tratamento e compartilhamento de dados pessoais.

A Lei Geral de Proteção de Dados (LGPD) é uma legislação brasileira que regula a forma como dados pessoais são usados. A lei serve tanto para dados físicos quanto para dados digitais, obtidos pela internet.

Como Surgiu a LGPD?

Com o crescimento dos gigantes de tecnologia, como Google, Facebook e Amazon, Apple, etc. Os dados pessoais de seus usuários e clientes tonaram-se cada vez mais valiosos, pois, seriam a chave de contato e conhecimento sobre o comportamento e os padrões de consumo destas pessoas.

Você já parou pra pensar que a base de usuários de um Facebook é maior que a população de muitos países no mundo? Que dentro desse universo privado, e 100% controlado, não há uma legislação vigente, internacional e todos são “tratados igualmente”, para além dos tratados internacionais, ou qualquer ordem diplomática.

Junte isso tudo aos mais de 50 milhões de perfis no Facebook manipulados por uma empresa, dando origem ao escândalo da Cambridge Analytica, amplificou-se o debate público sobre privacidade e uso de dados. A forma como empresas obtêm dados e compartilham com terceiros, se apoiando em autorizações mascaradas, passou a ser questionada.

Todos deixam seus rastros pela internet: dados de login, senhas, idade, localização, preferências, gostos pessoais, opiniões políticas e religiosas, cartões de crédito e até nossos rostos. A todo momento as pessoas compartilham essas informações – mas, às vezes, não estão cientes disso.

Nesse cenário de debates e inseguranças a respeito de privacidade, o Brasil seguiu uma tendência mundial e criou a Lei Geral de Proteção de Dados. Essa medida fará com que todas as empresas sejam obrigadas a se ajustar – e, caso não o façam, as penalidades são gravíssimas.

Riscos Diplomáticos tinham sua origem nos Dados Pessoais

Logicamente que o que chamamos de legislação interna, seriam exatamente os Termos de Uso da plataforma e sua política de privacidade. Contudo, será que esses termos de fato fazem jus aos direitos dos cidadãos em seus países? Como que um país, infinitamente menor que o Facebook (em população e até mesmo orçamento) poderia proteger os dados dos seus?

Não seria esse um risco de proporções diplomáticas, e internacionais? O Facebook tem mais poder que o presidente do seu país?

Pensando agora na Amazon. Qual o impacto dela no comércio e empreendedores locais, caso ela opte por adentrar um novo mercado?  A megalomania do maior e-commerce do mundo não para de adentrar novos mercados e países, com um preço extremamente controlado e competitivo, e os padrões de entrega e atendimento ao cliente que para muitos negócios locais é um sonho operacionalmente falando.

Aqui temos mais um risco, o econômico. Se os dados gerados na internet me deixar saber que você esqueceu um tênis no carrinho de um e-commerce, ou que tem interesse em culinária, qual o poder que eu tenho nas minhas mãos seu eu vendo tênis, ou itens de cozinha globalmente?

Isso pra exemplificar apenas 2 quesitos. Poderíamos adentrar o jogo das comunicações, tendo todos os dispositivos (Apple a Android), os servidores que rodam todas essas tecnologias digitais (AWS, Oracle, Microsoft). E até mesmo a saúde, é só ler o exemplo do tênis acima, com um remédio emergencial, ou de uso contínuo. Será que uma farmacêutica tem interesse nesses dados?

Enfim, não à toa que em 2017 a Revista The Economist declarou que os dados seriam o novo petróleo. E assim como todo recurso escasso e valioso, temos uma corrida por ele. As legislações entram em vigor, e a regra internacional tende a ser “meu pirão primeiro”, enquanto for tudo “terra de ninguém”

Justamente neste contexto de empresas crescendo em uma velocidade impressionante, junto com a tecnologia por elas criadas, e a ineficácia de uma legislação forte, que protegesse os cidadãos de um pais para além dos termos de uso das Big Techs, como são conhecidas, nasce então, em 25 de Maio de 2018 para os cidadãos na união européia, a GDPR (General Data Protection Regulation).

Por que a LGPD existe?

É comum que empresas tenham formulários em seus sites coletando e-mails e informações para enviar ofertas e conteúdo personalizado aos clientes e prospects. E-commerces exigem suas informações básicas para que as compras sejam feitas: nome, sobrenome, e-mail, endereço e todos os dígitos do seu cartão de crédito.

Qual é o problema disso? Nenhum, se você trabalha de forma ética. É, inclusive, o que um negócio precisa para levar suas ofertas e satisfazer seus clientes. Mas, após escândalos, como o da Cambridge Analytica, as pessoas passaram a se preocupar mais com a própria privacidade e como seus dados são usados de formas questionáveis (e perigosas) por algumas empresas.

  • Por que a Empresa X está coletando dados?
  • Quais dados ela coleta?
  • Com que finalidade ela utiliza as informações pessoais dos clientes?
  • Com quem eles compartilham esses dados?

A LGPD, que entrou em vigor em 2020, tornará essa relação entre pessoas físicas e empresas mais justa e aplicará multas que vão de 2% do faturamento até 50 milhões de reais. As pessoas saberão quais dados estão sendo coletados e por quê. As empresas, interessadas nesses dados, darão essas informações, tornando o trabalho ético e transparente.

Mas, para entender melhor a legislação brasileira e suas implicações para CPFs e CNPJs, é necessário olhar para uma lei anterior: a GDPR, lei europeia criada em 2016.

Um direito nunca antes visto por um cidadão.

A General Data Protection Regulation (GDPR), em português Regulamento Geral de Proteção de Dados, é um regulamento de direito europeu. Esse regulamento foi feito em 2016 e implementado em 2018.

É importante destacar que, desde que o uso de dados passou a ser relevante na Europa, por volta da década de 80, esse assunto começou a ser discutido. Antes da GDPR surgir, a União Européia já contava, desde 1995, com a Data Protecion Directive que visava a proteção dos dados pessoais.

A GDPR entrou em vigor em um período turbulento, repleto de escândalos e casos de mau uso de dados pelas empresas. Dessa forma, aumentou a pressão para que outros países aderissem e criassem legislações com a mesma finalidade.

Pela primeira vez na história um cidadão europeu poderia entrar em QUALQUER empresa, para perguntar se ela tinha dados dele, ou sobre ele e pedir que os mesmos fossem a ele entregues de maneira formal, ou até mesmo exigir que fossem deletados, sem prejuízo de outras legislações. Sob risco de uma multa pesada contra a empresa que esse pedido não fosse atendido e cumprido.

Usando uma palavra da moda, o cidadão foi empoderado como nunca antes.

A GDPR então revolucionou os mercados como um todo, pois, independente do local onde você atuasse ela protegeria seus cidadãos para além das fronteiras. Como assim? Se um cidadão europeu acessar um site brasileiro, este site está obrigado a tratar os dados do cidadão nos moldes da GDPR, ou em uma lei equivalente local.

Aqui começou o reboliço, pois, nenhum país tinha – há época, tal legislação. Logo, a própria GDPR já anteviu isso e falou que nesse caso, se não houvesse, ou se a legislação fosse menos rígida nos termos de direitos de privacidade, a GDPR iria sobrepor a legislação local, naqueles termos.

Com a LGPD, o Brasil entra para uma lista de cerca de 100 países que contam com normas adequadas de proteção de dados. Esse passo é importante também para relações comerciais internacionais, tendo em vista que países que seguem a lei só fazem parcerias com quem segue as mesmas diretrizes de segurança e privacidade.

A reação global a uma nova legislação tão rígida.

Você consegue visualizar então, a pressão que isso fez em todos os países que negociavam, vendiam ou acessavam os dados dos cidadãos europeus?

Logo então começaram a surgir legislações locais que eram quase que um CTRL-C, CTRL V da GDPR para também proteger seus cidadãos e tentar equilibrar o mercado. Cada país também teve sua interpretação não apenas na parte teórica, mas, poderia também observar o que estava acontecendo no mercado interno da Europa com as empresas de lá, que já enfrentavam as mudanças no dia-a-dia delas.

Multas e mais multas contra Google, e Facebook, etc foram aplicadas e bilhões de euros foram repassados até que tecnologias e processos fossem devidamente adequados. E até hoje trabalhasse muito para que o mercado “acostume” com essa situação e saiba navegar esse mar, agora, completamente demarcado.

Sem uma legislação equivalente, você poderia ser excluído.

Enfim, esse é contexto que forçou diversos países a terem a sua própria lei de privacidade. (Até a Coréia do Norte tem uma lei de privacidade, acredite) Logo, o Brasil rapidamente tomou a iniciativa de criar a Lei Geral de Proteção de dados – LGPD, para que já pudesse argumentar a favor dos seus. Desde a sua criação em 2018, até hoje ela teve um tempo de adaptação do mercado para que as empresas de adequassem, período esse que encerrou em Agosto de 2020, deixando apenas as multas para que entrem em vigor em Agosto de 2021.

A quem se aplica a Lei?

Segundo os artigos primeiro e terceiro da lei, a LGPD se aplica a qualquer pessoa física ou jurídica de direito público ou privado, desde que:

  • O tratamento dos dados ocorra no Brasil;
  • Tenha como objetivo a oferta de bens ou serviços em território nacional; e
  • A coleta dos dados tenha sido feita no Brasil.

Ou seja, estrangeiros que entrem em contato com empresas brasileiras e forneçam seus dados também devem ter a privacidade respeitada de acordo com a lei.

A que não se aplica a Lei?

E a quem a lei não se aplica?

Segundo o quarto artigo, a lei não se aplica a pessoas naturais que usem dados para fins pessoais e não-econômicos. Também não se aplica a dados utilizados com finalidades exclusivamente jornalísticas, artísticas, acadêmicas e assuntos de segurança pública e defesa nacional, bem como investigações e ações penais.

Mas, para entender melhor em quais casos a lei se aplica e em quais não se aplica, precisamos entender os princípios por trás do regulamento, que é baseado na GDPR.

Os Princípios da Lei Geral de Proteção de Dados – LGPD

O sexto artigo da Lei Geral de Proteção de Dados específica dez princípios nos quais se baseia a norma. Esses são os mesmos princípios da GDPR. É importante entendê-los porque é neles que a lei se apoia e, os conhecendo, você saberá como agir e como não agir.

São eles:

  1. Finalidade: Os dados coletados só podem ser tratados com objetivos legítimos e especificados aos donos desses dados. Nenhuma empresa pode coletar uma informação com uma finalidade e utilizá-la para outra finalidade. Na prática: Se você coletou um e-mail dizendo que enviaria conteúdo informativo sobre moda, você não pode enviar ofertas de roupas.
  2. Adequação: O tratamento dos dados deve se adequar à finalidade. Nenhum dado pode ser usado de uma forma que não tenha sido previamente informada. Na prática: Se você coletou informações para disparar e-mails, informando isso ao titular, você não pode enviar conteúdo para ele pelo Facebook.
  3. Necessidade: As empresas só devem coletar informações que sejam necessárias para o objetivo delas. Na prática: Se você deseja enviar conteúdo informativo por e-mail, por que você pediria o endereço físico de uma pessoa? Isso não se adequaria ao princípio de necessidade
  4. Livre acesso: Todo usuário deve ter acesso fácil e gratuito para saber como uma empresa usa seus dados e qual é a duração desse tratamento. Na prática: Um cliente pode revisar as informações dele tratadas por você e decidir excluir algumas que não queira mais compartilhar.
  5. Qualidade dos dados: Esse princípio garante que os dados tratados serão exatos, atualizados e relevantes. Na prática: Se um titular nota que seus dados estão desatualizados, pode solicitar alterações.
  6. Transparência: A transparência garante aos titulares dos dados informações de fácil acesso sobre os dados mantidos, como são tratados e quem os trata. Na prática: Se um cliente receber um e-mail seu com uma oferta, ele pode perguntar com qual objetivo esse e-mail foi disparado para ele e quais foram os critérios usados, bem como quem foi o responsável pelo tratamento de dados.
  7. Segurança: De acordo com esse princípio, empresas devem proteger as informações que são concedidas a elas. Na prática: Se um cliente, para comprar em sua loja, fornece dados sobre seu cartão de crédito e código de verificação, você deve garantir que essas informações sejam protegidas e mantidas em sigilo, de forma que não vazem nem facilitem fraudes.
  8. Prevenção: De acordo com esse princípio e o anterior, toda empresa deve adotar medidas para prevenir o mau uso de dados. Na prática: Sua empresa será penalizada se esses dados forem transmitidos a outras empresas.
  9. Não discriminação: Nenhum dado pode ser usado para fins discriminatórios ilícitos ou abusivos. Na prática: Se uma empresa trata dados de classe social e utiliza isso para realizar campanhas oferecendo vantagens para pessoas de classe social superior, a empresa será penalizada.
  10. Responsabilização e prestação de contas: Toda empresa deve ser responsabilizada pelos dados que obtém e mostrar quem são os agentes que protegem tais dados. Na prática: Sua empresa deve ter uma documentação que comprove como os dados são obtidos e protegidos, de acordo com a LGPD.

Mas, sabendo quais são os princípios por trás da lei e como você deve agir de acordo com eles, surge uma pergunta: em quais circunstâncias os dados podem ser utilizados?

O que configura Coleta de Dados na Lei Geral de Proteção de Dados LGPD?

O ato direto ou indireto, online ou off-line de ser ter acesso aos dados pessoais dos cidadãos brasileiros.

O que são Dados Pessoais na LGPD?

Toda “informação relacionada a pessoal identificada ou identificável”. Ou seja, o dado é considerado pessoal quando ele permite a identificação, direta ou indireta, da pessoa natural por trás do dado, por exemplo: nome, sobrenome, data de nascimento, seus documentos pessoais (como CPF, RG, CNH, Carteira de Trabalho, Passaporte e título de eleitor, Carteira de Reservista), endereçs, telefones, e-mails pessoais, cookies e endereço IP.

A LGPD também nos define os dados pessoais sensíveis, aqueles que se referem à: “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Por seu potencial ainda maior de identificação e até mesmo qualificações lesivas e discriminatórias, o tratamento desses têm regras ainda mais rígidas.

Mas, e os dados anonimizados ou criptografados?

É importante destacar que quando temos um dados seu, mas, que não permite a identificação direta ou indireta, temos o chamado Dado Anonimizado. Várias empresas utilizam então de criptografia para ter os seus dados todos anonimizados, evitando assim riscos ainda maiores em caso de vazamentos, por exemplo.

Isso serve para toda interação de coleta de dados, online ou off-line, direta ou indireta.

Qualquer pessoa já seria um titular dos dados LGPD?

Qualquer pessoa física, sim. É importante destacar, porém, que as Pessoas Jurídicas tem uma legislação específica que regula os seus dados e os tipos de informações sensíveis, ou que devem ser públicas.

Logo, você enquanto contratado de uma determinada empresa, quando age em nome desta, por exemplo envia um e-mail pela empresa. Tais dados e informações, são consideradas parte da Pessoa Jurídica.

Justamente por isso, seus e-mails da empresa, número de telefone, cadastro do colaborador, etc não são dados pessoais seus, e possuem uma legislação própria, paralela à LGPD.

Contudo, o seu CPF, RG, Carteira de Trabalho, etc –  que a empresa usa e processa para te contratar, ou para te vender um produto ou serviço, esses são seus, e estão cobertos pela Lei Geral de Proteção de Dados – LGPD.

Como a LGPD afeta o meu dia-a-dia como cidadão?

Inúmeros são os exemplos: ao responder pesquisas de satisfação em troca de brindes, ao dar seu CPF na farmácia pelo desconto, acesso ao seu cadastro dando a data de nascimento na sua loja preferida, identificar-se e tirar uma foto para entrar em um edifício comercial… Todas estas ocasiões configuram uma coleta de dados pessoais, algumas sensíveis (pesquisas de institutos com menção de raça, opção sexual e religião) e estão sob a alçada de controle da LGPD. Com isso, as empresas devem acelerar a revisão de todos os seus processos internos, pois, qualquer empresa com 1 cliente, ou 1 funcionário cadastrados, por exemplo, já poderiam ser questionados pelos cidadãos livremente.

Justamente por isso, em tempos onde o Big Data com seus inúmeros bancos de dados espalhados pelo mundo e pelas nuvens, são uma moeda valiosíssima, as empresas estão estudando inúmeras maneiras de não apenas poderem manter as suas operações rondando livremente, mas, também e conformidade diminuindo os riscos.

Direitos dos titulares dos Dados

A Lei Geral de Proteção de Dados garante alguns direitos aos titulares dos dados. É importante saber disso porque 1) sua empresa precisa saber como proceder e quais direitos respeitar; 2) seus próprios dados também são compartilhados com empresas.

São 10 direitos:

  1. Ter a confirmação de que os dados estão sendo utilizados;
  2. Ter acesso aos dados;
  3. Poder corrigir e atualizar dados fornecidos;
  4. Solicitar anonimização dos dados, impedindo que sejam identificados como indivíduo;
  5. Solicitar que os dados sejam transferidos a outra organização;
  6. Pedir a eliminação completa dos dados (de forma irreversível);
  7. Ser informados sobre compartilhamento de dados entre organizações, caso seja necessário de acordo com o que está previsto em lei;
  8. Ser informados sobre a possibilidade de não-consentimentos e quais as consequências de não consentir um dado;
  9. Revogar o consentimento por completo, de forma livre e gratuita;
  10. Solicitar as motivações por trás de uma decisão. Por exemplo, caso uma empresa de empréstimos valide o crédito de um cliente a partir de um banco de dados, o cliente pode perguntar quais foram os critérios e quais dados usados para essa decisão.

Mas agora vamos a um dos pontos de maior atenção: quais são as penalidades às empresas que não se adequarem a esse conjunto de leis?

Qual a penalidade ou multa da LGPD?

A LGPD prevê seis sanções administrativas, ou penalidades. Caso empresas e organizações não obedeçam por completo o que diz a lei, estarão sujeitas às multas e medidas, que são de acordo com a gravidade da infração.

Veremos quais são essas seis multas:

  1. Advertência. Essa advertência virá com um prazo para a empresa se adequar e se corrigir. Se isso não for feito dentro do prazo, haverá penalidade.
  2. Multa simples em cima do faturamento. Essa multa pode ser de até 2% do faturamento da pessoa jurídica. O limite é de 50 milhões de reais por infração.
  3. Multa diária. Essa multa terá como limite também 50 milhões de reais.
  4. Publicização da infração. Neste caso, a infração se torna pública e os prejuízos à imagem da empresa podem ser enormes.
  5. Bloqueio dos dados pessoais. Essa sanção administrativa impede que as empresas utilizem os dados pessoais coletados até que a situação se regularize.
  6. Eliminação dos dados pessoais. Essa última penalidade obriga a empresa a eliminar por completo os dados coletados em seus serviços.


Mas, muita calma nesta hora!

A ANPD – Autoridade Nacional de Proteção de Dados ainda vai informar muita coisa à respeito disso, e não temos uma jurisprudência ampla sobre o tema ainda. Todo cuidado é pouco, mas, ainda estamos no início desse capítulo.

Aqui mais um artigo sobre as multas pra te ajudar

O que é a Autoridade Nacional de Proteção de Dados ANPD?

A ANPD é o órgão do governo federal responsável pela aplicação e execução da LGPD no Brasil. Sua função não se limita apenas em desenvolver regulamentos voltados ao fomento da cultura de proteção de dados pessoais, promovendo adaptações e ajustes para o mercado, mas também auditar empresas e, inclusive, aplicar multas e outras sanções administrativas em casos de desconformidades em relação à LGPD.

Este órgão se insere na esfera federal dos poderes, estando vinculado ao gabinete da Presidência da República, não sendo, por enquanto, completamente independente.

Por onde começar a adequação à LGPD na minha empresa?

Independente do porte da sua empresa atenha-se a dois pontos de vista que podem te nortear para todo o restante. O olhar Operacional e o viés de uma Cultura de Privacidade. Eles não são necessariamente a sua tábua de salvação, mas, novamente, um excelente começo! Tais óticas, serão o cerne das demais etapas necessárias e deles então, consegue-se “deduzir”e mensurar as coisas, de acordo com tamanho da sua empresa e setor.

Lembre-se, o seu primeiro desafio pode sim ser a adequação, mas, o próximo será a manutenção desta adequação. Por isso, não basta ter a melhor planilha de controle, se a cultura da empresa não favorece a manutenção desta. Abaixo elencamos algumas tarefas que vão te ajudar a entender mais à fundo os passos que você deverá cumprir, seja de maneira independente ou com uma consultoria terceira contratada.

Algumas tarefas que quando vistas sobre a ótica Operacional e de Cultural, vão te ajudar na adequação da empresa:

– Desenvolver Processos que te ajudem no mapeamento e gestão de todos os dados que você controle ou opere. Transparência e Consciência de que os dados são agora guardados pela lei, e que “da Portaria ao Presidente” todos têm responsabilidades.

– Revisar os Processos da Empresa, trazendo a corresponsabilidades para as áreas de modo a elencar a passagem de bastão e os contratos, responsabilidades internas e externas que cada área responde.

– Data Mapping / Inventário de Dados sempre atualizado que facilite a consulta sempre que necessário.
(aqui você pode aprofundar neste assunto)

– Análise de riscos e segurança para eventuais vazamentos. Tanto nos ambientes online quanto off-line, quais são os riscos de vazamento. Isso deve ser mapeado e elencado no seu controle.

– Listagem de ferramentas e pontos de contato entre pessoas e dados. Qual a sua responsabilidade e como ela reflete nos seus fornecedores e tecnologias que você trás, ou participa da operação destes como fornecedor?

– Análise dos principais contratos internos e externos e as necessidades de adequação. Direito de imagem, contratos trabalhistas, garantias, pós-venda. Toda relação contratual (base legal da LGPD) precisa ser repensada como risco e/ou oportunidade de acessar e processar esses dados.

– Alinhamento das expertises necessárias para que a LGPD seja implementada de maneira ampla e que transborde a importância deste olhar, focado nos dados pessoais e seus riscos, ao longo do dia. Você já deve ter percebido que a LGPD tem um caráter multi-disciplinar. Quem são as melhores pessoas ao seu redor, ou no seu time para te ajudar nestas novas rotinas?

– Legislações paralelas e complementares que são reforçadas ou sobrescritas pela LGPD. Consulte advogados, conselhos regionais e entenda como o seu setor está respondendo às diretrizes da LGPD.

– Inserir no dia-a-dia da empresa uma preferência por planejamentos e processos adequados, que priorizem a privacidade dos titulares independente da área e/ou departamento.

– Delegue aos gestores de áreas a corresponsabilidade e a guarda dos dados pessoais que transitem nos seus departamentos. Eduque, reforce, abra canais de dúvidas para que todos – TODOS da empresa tenham essa consciência.

– Assim como o as leis fiscais da obrigação e direito a Nota Fiscal, e depois a possibilidade de CPFs nas NFs. exigiram muitas mudanças em departamentos específicos, refletindo segurança a toda a empresa, assim também outros departamentos antes isentos, carregam essa responsabilidade em seus processos. Transmita ao marketing, por exemplo, que as suas ações tem um peso diferente agora e que todos contam com a responsabilidade deles.

– Então pense sempre no longo prazo, em como criar rotinas e corrigir erros de modo a estanca-los e não empurrar pra frente!

– Entendendo os princípios do Privacy By Design – Insira isso nos valores e fortaleça uma cultura de privacidade.

– Entendendo o modelo de negócios e as bases legais para a sua empresa, e dos seus clientes. Toda a cadeia está amarrada e é corresponsável quando esse dado é transmitido. Guarde seus processos, e traga austeridade para os demais envolvidos.

Enfim, essa é uma listagem bastante ampla que esperamos ajudar a te nortear no tamanho do desafio de uma adequação. Sim é grande, e sim dá trabalho, mas, é necessário não apenas na ótica empresarial mas, principalmente quando nos colocamos no lugar dos titulares que também somos.

12 novos processos de uma empresa adequada à LGPD

Agora que você entende os princípios por trás da LGPD, já deve ter pensado em várias maneiras de se adequar à norma. Todas as empresas estão fazendo ajustes para se adaptar às melhores práticas de acordo com o regulamento.

Para te ajudar, listamos aqui 12 medidas práticas para sua empresa coletar dados de acordo com o regulamento: 

  1. Identifique todos os tipos de informações coletadas por sua empresa, online e offline. Com quem elas são compartilhadas? Como são usadas? Por quanto tempo ficarão armazenadas? Responder essas perguntas é o primeiro passo.
  2. Garanta que os dados coletados são realmente essenciais para as operações que realiza em seu negócio. Não colete dados desnecessários – não está de acordo com a lei e, mesmo que estivesse, seria um desperdício de recursos para sua empresa.
  3. Nomeie um encarregado para proteção de dados. Dependendo do tamanho de suas operações, esta pode ser uma nova função a ser negociada com algum de seus colaboradores.
  4. Tenha uma política de privacidade acessível e específica sobre todos os procedimentos de utilização de dados pessoais. Certifique-se de que na política de privacidade conste também o motivo para o tratamento de dados.
  5. Informe a todos os seus clientes com antecedência sobre as alterações nos termos de uso e políticas de privacidade.
  6. Treine os colaboradores de sua empresa responsáveis pelo tratamento de dados e garanta que todos estejam atualizados com a LGPD.
  7. Exija o consentimento do dono dos dados coletados de forma clara e sem ambiguidades. Ele não pode ter dúvidas acerca do que está fazendo – e é sua tarefa tirar essas dúvidas por meio da sua comunicação.
  8. Disponha de mecanismos para comprovar que o titular dos dados realmente consentiu o tratamento de dados e que comprove também a revogação do consentimento, caso ocorra. Esses dois procedimentos são chamados de OPT-IN e OPT-OUT, respectivamente.
  9. Disponha de mecanismos para obter consentimento dos responsáveis legais pelos dados de menores de idade, caso tenha clientes dessa faixa etária.
  10. Disponibilize, de forma simples e de fácil acesso, meios para que os titulares dos dados possam solicitar a exclusão de seus dados.
  11. Informe os clientes caso seus dados sejam compartilhados com terceiros, sempre especificando quem são esses terceiros e qual o motivo dessa ação.
  12. Providencie a eliminação de dados pessoas assim que atingirem a finalidade do tratamento. Se um cliente se inscreveu para receber ofertas de um produto específico, e esse produto não mais existe, garanta que os dados serão eliminados e não utilizados para outros fins.

Com essas informações em mãos, você está preparado para se adequar à Lei Geral de Proteção de Dados. Para te ajudar ainda mais, criamos uma ferramenta que te dirá se seu site está adequado. Você pode acessar a ferramenta clicando aqui.

Transparência um valor que transborda mercados e CNPJs.

No tópico acima eu listei diversas tarefas que vão te ajudar na adequação.

Mas, de nada vale se a transparência não falar alto e for amarrada em todas estas etapas. Logicamente o seu porte e o seu mercado impactam diretamente o nível de transparência que já lhe são previamente exigidos.

Por exemplo: À primeira vista não pressupomos transparências contábeis de um restaurante. Assim com não buscamos o quadro de limpeza da cozinha, de um escritório de Advocacia. Contudo, no quesito Dados Pessoais e, acima de tudo Dados Pessoais Sensíveis, ambas têm uma responsabilidade – ainda equivalente, diante da LGPD. Pois, a maneira como coletam, tratam e operam esses dados podem oferecer riscos segundo a lei. E, quando falamos de uma multa proporcional ao tamanho da nossa empresa (2% do faturamento bruto) todo cuidado é pouco.

Ou seja, antes mesmo de querer se esquivar da sua responsabilidade ou justificar o seu porte, mercado. Sempre no coloquemos na ótica do titular, que também somos quando saímos de trás do balcão, e tenhamos o respeito para com os dados que nos são confiados.

LGPD – CCPA – GDPR um comparativo

Quando fazemos uma análise histórica é fácil compreendido que a GDPR foi a pioneira neste campo e influenciou todas as demais, quando criada em 2016. Os textos todos são públicos e estão abertos para a consulta na internet por todos nós.

Elencamos então, aqui, os principais pontos de semelhanças e diferenças:

Diferenças:

  1. Território em que cada um é válido.
  2. A quais titulares de dados se aplica a lei.
  3. A definição de dado pessoal.
  4. Quem trata os dados.
  5. Venda de dados pessoais.
  6. Multas e penalidades

Semelhanças:

  1. Transparência sobre o uso de dados.
  2. Poder de atualizar e excluir dados.
  3. Autoridade Responsável.

Neste link um maior detalhamento de cada um dos pontos acima.

Qual o Prazo de Adequação da LGPD?

Hoje a lei já está em vigor desde a Agosto de 2020, tendo apenas o início das multas e penalidades determinado para Agosto de 2021. Ou seja, se você ainda não começou você á está atrasado, pois, em média uma empresa leva 18 meses para se adequar.

Quer algumas dicas?
– Neste artigo mesmo vá para a seção: Por onde começar a adequação à LGPD na minha empresa? Nela temos vários questionamentos que poderia começar a tentar responder, seja pela adequação independente ou via consultorias, por exemplo.

– Nesse link aqui, preparamos uma série de textos que são praticamente um e-book de introdução que também te ajudam no tema.

Como entender a jurisprudência e multas da LGPD?

Muito há que se fazer ao decidir para que tenhamos uma jurisprudência madura de fato. A cada decisão amparada pela LGPD, dada pelos juízes e desembargadores… ou, a cada recurso que cita a LGPD em sua defesa, cria-se uma nova oportunidade para a nossa compreensão.

Contudo, Ainda não temos muitas definições sobre isso (Fev.2021), pois, a ANPD ainda está estabelecendo seus processos e diretrizes operacionais. Tão logo tenhamos a ação e multa(s) direta(s) da ANPD teremos esses registros para eventuais consultas.

Vale a pena acompanhar essas decisões no https://lgpdnews.com/ pois sempre nos dão um acompanhamento atualizado das novidades da LGPD.

Como funciona uma auditoria da ANPD, pela LGPD?

Ainda não temos muitas definições sobre isso (Fev.2021), pois, a ANPD ainda está estabelecendo seus processos e diretrizes operacionais. Tão logo tenhamos a ação direta da ANPD teremos esses registros para eventuais consultas.

Como funciona a adequação à LGPD?

Isso depende muito do seu tamanho como empresa, do mercado que atua, e da sua compreensão de lei. Sem falar na a maturidade dos processos da sua empresa para os novos processos e rotinas que a LGPD trás consigo.

– Neste artigo mesmo vá para a seção: Por onde começar a adequação à LGPD na minha empresa? Nela temos vários questionamentos que poderia começar a tentar responder, seja pela adequação independente ou via consultorias, por exemplo.

O que são as bases legais da LGPD?

Sem “advogues” ou tentando te dar uma resposta perfeitamente técnica. As Bases Legais da Lei Geral de Proteção de Dados – LGPD, são os motivos e razões, amparadas pela LGPD, pelas quais as empresas não só podem, como devem ter acesso aos eventuais dados dos titulares para bem executarem as suas funções.

É essencial que você as entenda no detalhe, e principalmente encontre a base legal que permita a manutenção direta, ou ajustada das atuais operações da sua empresa.

Abaixo então as 10 Bases Legais da Lei Geral de Proteção de Dados – LGPD.

  1. Consentimento do Titular.
  2. Legítimo Interesse.
  3. Obrigação Legal.
  4. Cumprimento de Políticas Públicas.
  5. Órgãos de Pesquisa.
  6. Execução de Contratos.
  7. Exercício de Direitos.
  8. Proteção à Vida.
  9. Tutela da Saúde.
  10. Proteção ao Crédito.

Inúmeras são as discussões e aprofundamentos para cada uma delas.

Separamos este artigo aqui que compila dos descritivos para você começar a se aprofundar em cada uma delas.

Qual a Base Legal mais popular da LGPD?

Certamente as Bases Legais mais populares da LGPD são: Consentimento e o Legítimo Interesse pela facilidade com que se pode tentar justificar o acesso ou uma eventual necessidade pelo Dado Pessoal, manifesta na relação comercial entre empresa e titular do dado (eu e você).

Mas, temos que tomar muito cuidado pela subjetividade pela qual podemos considera-las no embasamento de nossa coleta, tratamento, etc. Se acordo com o Artigo 8 da LGPD o Consentimento não pode ser genérico, subjetivo ou viciado. Então certifique-se de que os consentimentos coletados sejam detalhados e 100% válidos em conformidade com a Lei.

Neste artigo, temos um detalhamento muito bom Desmistificando a Base Legal do Legitimo Interesse.

O consentimento é a melhor base legal da Lei Geral de Proteção de Dados – LGPD?

Há quem defenda essa tese, mas, ele não é tudo!

Um Consentimento viciado, pode inválidar tudo…

Já existem estudos comparando o consentimento com os chamados “Contratos de Adesão”, os famosos “Li e Aceito”dos contratos que nunca lemos, e que facilmente são quebrados pelos advogados da outra parte, principalmente por não haver: Clareza, Opções de tomar uma decisão customizada para aquela pessoa/ocasião, entre outras.

Se esse for o seu caso, e você só enxergue no consentimento a Base Legal para uso dos dados pessoais, consulte um Advogado especialista na LGPD, para que te ajude nas etapas de comunicação, coleta, armazenamento e gestão destes consentimentos.


Falta Bastante para encerrar esse assunto.
Por hora é isso que temos, mas, volte em alguns dias e certamente teremos mais conteúdos para te ajudar na adequação e estudos!

Show Full Content

About Author View Posts

João Bruno
João Bruno

Co-Founder, DPO e COO da AdOpt.

Comments

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Back
Close
Close