Resumo: Todas as informações importantes sobre a LGPD: o que é, por que ela existe, como funciona, quando entra em vigor, a quem se aplica, multas previstas, passos para adequação e seus princípios legais.

A Lei Geral de Proteção de dados entra em vigor no dia 16 de agosto de 2020, causando mudanças significativas na maneira que as empresas tratam os dados de seus clientes e usuários.

Esse texto foi feito para que você consiga entender a lei como um todo, dos preceitos básicos até a adequação, e com isso se preparar para as mudanças.


Tabela de conteúdo

  1. Introdução
  2. O que é LGPD
  3. Como a LGPD funciona?
  4. Quando a LGPD entra em vigor?
  5. A quem a lei se aplica?
  6. Os Princípios da LGPD
  7. Hipóteses de tratamentos de dados
  8. Direitos dos titulares dos dados
  9. Multas e penalidades da LGPD
  10. Como adequar sua empresa à LGPD?

Após 50 milhões de perfis no Facebook serem manipulados por uma empresa, dando origem ao escândalo da Cambridge Analytica, amplificou-se o debate público sobre privacidade e uso de dados. A forma como empresas obtêm dados e compartilham com terceiros, se apoiando em autorizações mascaradas, passou a ser questionada.

Todos deixam seus rastros pela internet: dados de login, senhas, idade, localização, preferências, gostos pessoais, opiniões políticas e religiosas, cartões de crédito e até nossos rostos. A todo momento as pessoas compartilham essas informações – mas, às vezes, não estão cientes disso.

Nesse cenário de debates e inseguranças a respeito de privacidade, o Brasil seguiu uma tendência mundial e criou a Lei Geral de Proteção de Dados. Essa medida fará com que todas as empresas sejam obrigadas a se ajustar – e, caso não o façam, as penalidades são gravíssimas.

O que é a LGPD? (Lei Geral de Proteção de Dados)

A Lei Geral de Proteção de Dados (LGPD) é uma legislação brasileira que regula a forma como dados pessoais são usados. A lei serve tanto para dados físicos quanto para dados digitais, obtidos pela internet.

Por que a LGPD existe?

É comum que empresas tenham formulários em seus sites coletando e-mails e informações para enviar ofertas e conteúdo personalizado aos clientes e prospects. E-commerces exigem suas informações básicas para que as compras sejam feitas: nome, sobrenome, e-mail, endereço e todos os dígitos do seu cartão de crédito.

Qual é o problema disso? Nenhum, se você trabalha de forma ética. É, inclusive, o que um negócio precisa para levar suas ofertas e satisfazer seus clientes. Mas, após escândalos como o da Cambridge Analytica, as pessoas passaram a se preocupar mais com a própria privacidade e como seus dados são usados de formas questionáveis (e perigosas) por algumas empresas.

  • Por que a Empresa X está coletando dados?
  • Quais dados ela coleta?
  • Com que finalidade ela utiliza as informações pessoais dos clientes?
  • Com quem eles compartilham esses dados?

A LGPD, que entrará em vigor em 2020, tornará essa relação entre pessoas físicas e empresas mais justa e aplicará multas que vão de 2% do faturamento até 50 milhões de reais. As pessoas saberão quais dados estão sendo coletados e por quê. As empresas, interessadas nesses dados, darão essas informações, tornando o trabalho ético e transparente.

Mas, para entender melhor a legislação brasileira e suas implicações para CPFs e CNPJs, é necessário olhar para uma lei anterior: a GDPR, lei europeia criada em 2016.

Como a GDPR influenciou a LGPD

A General Data Protection Regulation (GDPR), em português Regulamento Geral de Proteção de Dados, é um regulamento de direito europeu. Esse regulamento foi feito em 2016 e implementado em 2018.

É importante destacar que, desde que o uso de dados passou a ser relevante na Europa, por volta da década de 80, esse assunto começou a ser discutido. Antes da GDPR surgir, a União Européia já contava, desde 1995, com a Data Protecion Directive que visava a proteção dos dados pessoais.

A GDPR entrou em vigor em um período turbulento, repleto de escândalos e casos de mau uso de dados pelas empresas. Dessa forma, aumentou a pressão para que outros países aderissem e criassem legislações com a mesma finalidade. 

Com a LGPD, o Brasil entra para uma lista de cerca de 100 países que contam com normas adequadas de proteção de dados. Esse passo é importante também para relações comerciais internacionais, tendo em vista que países que seguem a lei só fazem parcerias com quem segue as mesmas diretrizes de segurança e privacidade.

Como a LGPD funciona?

Embora muitas empresas abusem de dados e utilizem cookie pools e práticas questionáveis para seus fins, sabemos que muitas não o fazem por má fé. Mas um pequeno deslize passará a custar caro.

Por isso, a partir daqui, vamos entender melhor as aplicações da lei e de que forma todas as empresas brasileiras deverão se adequar. Vamos ver também quais são as multas e penalidades para os que não souberem adaptar seus negócios à norma.

Mas, antes de mais nada, qual é seu prazo para essas alterações?

Quando a LGPD entra em vigor?

A Lei Geral de Proteção de Dados entra em vigor no dia 16 de agosto de 2020. Até lá, você deve estar a par de todas as boas práticas de acordo com a lei (e neste artigo vamos te dizer como se adequar).

A quem se aplica a lei?

Segundo os artigos primeiro e terceiro da lei, a LGPD se aplica a qualquer pessoa física ou jurídica de direito público ou privado, desde que:

  • O tratamento dos dados ocorra no Brasil;
  • Tenha como objetivo a oferta de bens ou serviços em território nacional; e
  • A coleta dos dados tenha sido feita no Brasil.

Ou seja, estrangeiros que entrem em contato com empresas brasileiras e forneçam seus dados também devem ter a privacidade respeitada de acordo com a lei.

E a quem a lei não se aplica?

Segundo o quarto artigo, a lei não se aplica a pessoas naturais que usem dados para fins pessoais e não-econômicos. Também não se aplica a dados utilizados com finalidades exclusivamente jornalísticas, artísticas, acadêmicas e assuntos de segurança pública e defesa nacional, bem como investigações e ações penais.

Mas, para entender melhor em quais casos a lei se aplica e em quais não se aplica, precisamos entender os princípios por trás do regulamento, que é baseado na GDPR.

Os princípios da LGPD

O sexto artigo da Lei Geral de Proteção de Dados específica dez princípios nos quais se baseia a norma. Esses são os mesmos princípios da GDPR. É importante entendê-los porque é neles que a lei se apoia e, os conhecendo, você saberá como agir e como não agir.

São eles:

  1. Finalidade: Os dados coletados só podem ser tratados com objetivos legítimos e especificados aos donos desses dados. Nenhuma empresa pode coletar uma informação com uma finalidade e utilizá-la para outra finalidade. Na prática: Se você coletou um e-mail dizendo que enviaria conteúdo informativo sobre moda, você não pode enviar ofertas de roupas.
  2. Adequação: O tratamento dos dados deve se adequar à finalidade. Nenhum dado pode ser usado de uma forma que não tenha sido previamente informada. Na prática: Se você coletou informações para disparar e-mails, informando isso ao titular, você não pode enviar conteúdo para ele pelo Facebook.
  3. Necessidade: As empresas só devem coletar informações que sejam necessárias para o objetivo delas. Na prática: Se você deseja enviar conteúdo informativo por e-mail, por que você pediria o endereço físico de uma pessoa? Isso não se adequaria ao princípio de necessidade.
  4. Livre acesso: Todo usuário deve ter acesso fácil e gratuito para saber como uma empresa usa seus dados e qual é a duração desse tratamento. Na prática: Um cliente pode revisar as informações dele tratadas por você e decidir excluir algumas que não queira mais compartilhar.
  5. Qualidade dos dados: Esse princípio garante que os dados tratados serão exatos, atualizados e relevantes. Na prática: Se um titular nota que seus dados estão desatualizados, pode solicitar alterações.
  6. Transparência: A transparência garante aos titulares dos dados informações de fácil acesso sobre os dados mantidos, como são tratados e quem os trata. Na prática: Se um cliente receber um e-mail seu com uma oferta, ele pode perguntar com qual objetivo esse e-mail foi disparado para ele e quais foram os critérios usados, bem como quem foi o responsável pelo tratamento de dados.
  7. Segurança: De acordo com esse princípio, empresas devem proteger as informações que são concedidas a elas. Na prática: Se um cliente, para comprar em sua loja, fornece dados sobre seu cartão de crédito e código de verificação, você deve garantir que essas informações sejam protegidas e mantidas em sigilo, de forma que não vazem nem facilitem fraudes.
  8. Prevenção: De acordo com esse princípio e o anterior, toda empresa deve adotar medidas para prevenir o mau uso de dados. Na prática: Sua empresa será penalizada se esses dados forem transmitidos a outras empresas.
  9. Não discriminação: Nenhum dado pode ser usado para fins discriminatórios ilícitos ou abusivos. Na prática: Se uma empresa trata dados de classe social e utiliza isso para realizar campanhas oferecendo vantagens para pessoas de classe social superior, a empresa será penalizada.
  10. Responsabilização e prestação de contas: Toda empresa deve ser responsabilizada pelos dados que obtém e mostrar quem são os agentes que protegem tais dados. Na prática: Sua empresa deve ter uma documentação que comprove como os dados são obtidos e protegidos, de acordo com a LGPD.

Mas, sabendo quais são os princípios por trás da lei e como você deve agir de acordo com eles, surge uma pergunta: em quais circunstâncias os dados podem ser utilizados?

Hipóteses de tratamento de dados

A Lei Geral de Proteção de Dados prevê dez hipóteses para tratamentos de dados. Se o tratamento feito por uma empresa ou organização não se encaixar em uma dessas hipóteses, será considerado ilegal, sendo passível de multa. Mais à frente veremos quais são essas multas.

Vejamos as dez hipóteses em que dados pessoais podem ser utilizados:

1. Consentimento

É importante que seus clientes forneçam seus dados cientes do que estão fazendo. O consentimento não é fornecido simplesmente com um quadradinho em letras minúsculas dizendo “concordo com os termos de uso”.

Para a LGPD, é importante que todas as empresas mostrem de forma específica (nunca genérica) quais informações querem e com qual objetivo. Para que os dados sejam válidos, é necessário que, após saberem dessas informações, os titulares autorizem o tratamento de seus dados.

Na prática: Você deve ter visto em alguns sites, como este, um “aviso de cookies”. Ele serve para que o visitante decida se quer que seus dados sejam coletados, especificando a finalidade e tendo a opção de aceitar a coleta de todos os dados, de alguns ou de nenhum.

2. Cumprimento de obrigação legal/regulatória

Essa hipótese autoriza o tratamento de dados sem o consentimento do dono desses dados para cumprir uma lei ou norma. 

Como isso pode acontecer?

Na prática: Instituições de ensino sujeitam seus dados ao MEC e os dados individuais dos alunos devem ser mantidos pelo prazo de 100 anos. Durante esse período, os dados podem ser tratados e não podem ser eliminados.

3. Execução de obrigação contratual

Quando uma pessoa pede um empréstimo, é comum que a organização precise fazer uma análise de crédito. Se isto está previsto em contrato, assinado pelo titular dos dados, essas informações podem ser tratadas, cumprindo o contrato.

4. Legítimo interesse

O “legítimo interesse” serve para permitir o tratamento de dados que não entrem em conflito com outras liberdades individuais. Apesar de parecer um termo vago, ele também está na GDPR e serve para não impedir que instituições, como bancos, trabalhem.

Como assim? Imagine o transtorno que seria causado se, para transferir dinheiro para outra pessoa, a pessoa precisasse sempre autorizar o uso de dados dela para recebimento. Esses procedimentos são feitos em um volume enorme diariamente e a hipótese de “legítimo interesse” serve para facilitá-los.

5. Tratamento pela administração pública

A administração pública pode utilizar dados se as informações forem necessárias para executar políticas públicas, desde que estejam previstas em leis, regulamentos ou contratos.

6. Realização de estudos por órgãos de pesquisa

Órgãos de pesquisa podem tratar dados com o objetivo de realizar estudo, mas com um requisito: que esses dados sejam anônimos. Portanto, o conjunto de dados não pode revelar a quem eles pertencem.

7. Exercício regular de direitos

Nesta hipótese, os dados também podem ser tratados sem consentimento. Isto acontecer para que alguém possa fazer valer seus direitos.

Na prática: Digamos que sua empresa mantenha os dados pessoais de um funcionário. Durante o prazo de dois anos, o empregado pode promover uma ação trabalhista contra sua empresa. Para que possa se defender, poderá manter os dados pessoais do ex-funcionário.

8. Proteção da vida ou incolumidade física

Se uma pessoa, por exemplo, passa mal e precisa ser levada ao hospital, é necessário que seus dados sejam utilizados para dar entrada no hospital, contatar os parentes e outros procedimentos comuns. Nesse caso, o tratamento de dados está autorizado.

9. Tutela da saúde

A tutela de saúde é uma hipótese de tratamento de dados exclusiva de profissionais de saúde, serviços de saúde e autoridade sanitária. O que isso significa? O tratamento de dados está autorizado para procedimentos como pesquisas para combate de epidemias de doenças, estudos e levantamentos sobre questões de saúde, entre outros.

10. Proteção do crédito

A hipótese de proteção de crédito, na prática, é para permitir que dados de um devedor sejam compartilhados com o Serasa e cartórios de protesto.

Essas são as dez hipóteses em que dados podem ser tratados. Mas é importante saber que, dentro dessas hipóteses, os titulares têm direitos que devem ser respeitados. Quer saber quais são eles?

Direitos dos titulares dos Dados

A Lei Geral de Proteção de Dados garante alguns direitos aos titulares dos dados. É importante saber disso porque 1) sua empresa precisa saber como proceder e quais direitos respeitar; 2) seus próprios dados também são compartilhados com empresas.

São 10 direitos:

  1. Ter a confirmação de que os dados estão sendo utilizados;
  2. Ter acesso aos dados;
  3. Poder corrigir e atualizar dados fornecidos;
  4. Solicitar anonimização dos dados, impedindo que sejam identificados como indivíduo;
  5. Solicitar que os dados sejam transferidos a outra organização;
  6. Pedir a eliminação completa dos dados (de forma irreversível);
  7. Ser informados sobre compartilhamento de dados entre organizações, caso seja necessário de acordo com o que está previsto em lei;
  8. Ser informados sobre a possibilidade de não-consentimentos e quais as consequências de não consentir um dado;
  9. Revogar o consentimento por completo, de forma livre e gratuita;
  10. Solicitar as motivações por trás de uma decisão. Por exemplo, caso uma empresa de empréstimos valide o crédito de um cliente a partir de um banco de dados, o cliente pode perguntar quais foram os critérios e quais dados usados para essa decisão.

Mas agora vamos a um dos pontos de maior atenção: quais são as penalidades às empresas que não se adequarem a esse conjunto de leis?

Multas e penalidades previstas na LGPD

A LGPD prevê seis sanções administrativas, ou penalidades. Caso empresas e organizações não obedeçam por completo o que diz a lei, estarão sujeitas às multas e medidas, que são de acordo com a gravidade da infração.

Veremos quais são essas seis multas:

  1. Advertência. Essa advertência virá com um prazo para a empresa se adequar e se corrigir. Se isso não for feito dentro do prazo, haverá penalidade.
  2. Multa simples em cima do faturamento. Essa multa pode ser de até 2% do faturamento da pessoa jurídica. O limite é de 50 milhões de reais por infração.
  3. Multa diária. Essa multa terá como limite também 50 milhões de reais.
  4. Publicização da infração. Neste caso, a infração se torna pública e os prejuízos à imagem da empresa podem ser enormes.
  5. Bloqueio dos dados pessoais. Essa sanção administrativa impede que as empresas utilizem os dados pessoais coletados até que a situação se regularize.
  6. Eliminação dos dados pessoais. Essa última penalidade obriga a empresa a eliminar por completo os dados coletados em seus serviços.

Levando em consideração os princípios da lei, sabemos que você não precisará se preocupar com as penalidades. Por isso, preparamos uma lista com 12 medidas práticas para sua empresa se adequar à LGPD.

Como adequar sua empresa à LGPD?

Agora que você entende os princípios por trás da LGPD, já deve ter pensado em várias maneiras de se adequar à norma. Todas as empresas estão fazendo ajustes para se adaptar às melhores práticas de acordo com o regulamento.

Para te ajudar, listamos aqui algumas medidas práticas para sua empresa coletar dados de acordo com o regulamento: 

  1. Identifique todos os tipos de informações coletadas por sua empresa, online e offline. Com quem elas são compartilhadas? Como são usadas? Por quanto tempo ficarão armazenadas? Responder essas perguntas é o primeiro passo.
  2. Garanta que os dados coletados são realmente essenciais para as operações que realiza em seu negócio. Não colete dados desnecessários – não está de acordo com a lei e, mesmo que estivesse, seria um desperdício de recursos para sua empresa.
  3. Nomeie um encarregado para proteção de dados. Dependendo do tamanho de suas operações, esta pode ser uma nova função a ser negociada com algum de seus colaboradores.
  4. Tenha uma política de privacidade acessível e específica sobre todos os procedimentos de utilização de dados pessoais. Certifique-se de que na política de privacidade conste também o motivo para o tratamento de dados.
  5. Informe a todos os seus clientes com antecedência sobre as alterações nos termos de uso e políticas de privacidade.
  6. Treine os colaboradores de sua empresa responsáveis pelo tratamento de dados e garanta que todos estejam atualizados com a LGPD.
  7. Exija o consentimento do dono dos dados coletados de forma clara e sem ambiguidades. Ele não pode ter dúvidas acerca do que está fazendo – e é sua tarefa tirar essas dúvidas por meio da sua comunicação.
  8. Disponha de mecanismos para comprovar que o titular dos dados realmente consentiu o tratamento de dados e que comprove também a revogação do consentimento, caso ocorra. Esses dois procedimentos são chamados de OPT-IN e OPT-OUT, respectivamente.
  9. Disponha de mecanismos para obter consentimento dos responsáveis legais pelos dados de menores de idade, caso tenha clientes dessa faixa etária.
  10. Disponibilize, de forma simples e de fácil acesso, meios para que os titulares dos dados possam solicitar a exclusão de seus dados.
  11. Informe os clientes caso seus dados sejam compartilhados com terceiros, sempre especificando quem são esses terceiros e qual o motivo dessa ação.
  12. Providencie a eliminação de dados pessoas assim que atingirem a finalidade do tratamento. Se um cliente se inscreveu para receber ofertas de um produto específico, e esse produto não mais existe, garanta que os dados serão eliminados e não utilizados para outros fins.

Com essas informações em mãos, você está preparado para se adequar à Lei Geral de Proteção de Dados. Para te ajudar ainda mais, criamos uma ferramenta que te dirá se seu site está adequado. Você pode acessar a ferramenta clicando aqui.

Show Full Content

Comments

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Back
Close
Close