A LGPD, sigla para Lei Geral de Proteção de Dados, está tirando o sono de muitos empresários e gestores, que viram várias regras sobre a manutenção de informações de seu negócio mudarem, com aplicações já sendo executadas em 2020.
Recentemente, recebemos um aumento significativo nas perguntas sobre o tema, e organizamos este breve artigo para responder às dúvidas mais comuns, orientando sobre os possíveis caminhos a serem tomados para manterem seus negócios e os dados de seus clientes e colaboradores devidamente protegidos. Confira!
O que é a LGPD?
A LGPD surge no Brasil como um acompanhamento à GDPR, o Regulamento Geral de Proteção de Dados Europeu. A norma europeia surgiu como uma resposta à utilização considerada predatória de informações de pessoas, a partir de bancos de dados, buscando definir conceitos no segmento e, acima de tudo, prevenir que o uso inadequado dessas informações ocorresse.
A LGPD acompanha boa parte dessas premissas. Além de definir a relação entre dados pessoais e dados sensíveis – que são informações que podem ser interpretadas para identificação individual ou discriminação individual, respectivamente – determina os cuidados necessários com os dados e as potenciais punições para quem os desrespeita.
Em outras palavras, apesar da transição um pouco acelerada, a boa notícia é que há uma boa dosagem de regulamentação a ser seguida. Se as regras forem acompanhadas corretamente, a tendência é que as empresas não tenham qualquer tipo de problema – motivo pelo qual as ações preventivas são cada vez mais buscadas.
O que muda com a Lei Geral de Proteção de Dados?
A principal mudança da LGPD é gerar uma camada de proteção aos direitos dos titulares dos dados e, por consequência, reconhecer a existência desses direitos que, se desrespeitados, podem gerar consequências graves para quem o faz.
Fale com um advogado especialista.
Obrigação de consenso é o ponto central
A grande mudança tem a ver com o consenso do titular dos dados, e consequência disso pode ser compreendida facilmente na rotina de todos nós.
Aquela chamada telefônica de um número desconhecido, aquele e-mail que insiste em ser enviado sem nunca termos solicitado ou aquela mala direta de empresa estariam todos irregulares, sob a ótica da LGPD.
Em outras palavras, se o usuário não permitiu aquela interação, ela não pode ser feita.
Recolhimentos de dados autorizados e justificáveis
Para além da questão a autorização, as empresas e instituições só podem recolher e manter dados que sejam justificados para a relação com aquele usuário. Isso quer dizer que não se pode guardar um conjunto de dados que não tenham demonstração de onde sejam utilizados, em caso de fiscalização.
O objetivo disso é reduzir a circulação de dados pessoais e sensíveis de cada indivíduo, expondo-o menos ao uso irregular no caso de vazamento de dados.
Como deve ocorrer o tratamento de dados pessoais sensíveis de acordo com a LGPD?
Toda empresa deve contar com um Comitê de Segurança da Informação, que será responsável pelo mapeamento do uso dos dados e pelo desenvolvimento dos novos métodos, já adequados às exigências da Lei Geral de Proteção de Dados. Este comitê, seja ele múltiplo ou não, deve ter uma pessoa encarregada pelos cuidados com os dados.
Essa pessoa é uma espécie de gerente, corresponsável com a própria empresa pelo correto tratamento dos dados. Também será essa pessoa a designada a realizar quaisquer esclarecimentos com a Agência Nacional de Proteção de Dados, responsável por buscar o cumprimento da LGPD.
Para além de estabelecer os encarregados, pode-se apontar que os esforços das empresas e instituições podem ser focados em duas frentes. A primeira é a respeito da manutenção e tratamento dos dados já existentes, e a segunda é a estratégia de recolhimento e manutenção de dados futuros.
Dados já mantidos
Algo importante a se notar sobre a Lei Geral de Proteção de Dados é que ela não diz respeito exclusivamente aos novos dados obtidos pela empresa a partir de seu vigor, em agosto de 2020. Pelo contrário: ela retroage à manutenção dos dados que as empresas já possuem.
Essa é uma mudança muito relevante, pois empresas com um histórico longo podem conter todo o tipo de informações sobre seus clientes, e podem até mesmo incluir estratégia de comunicações que não contam com a devida autorização do usuário.
Neste sentido, é necessário mapear e readequar todas as antigas práticas, e realizar a correção dos dados presentes, sejam elas pela exclusão de informações não relevantes, ou pelo envio de confirmações de autorização para estes contatos anteriores. A não realização deste procedimento já é passível de multa, e a lei já vigora exigindo sua aplicação
Ligue agora e agende uma reunião.
Dados a serem recolhidos no futuro
Quanto à adoção de novas práticas, os responsáveis de cada empresa também deverão estruturar um plano de ação condizendo com as exigências da LGPD. Para este caso, a cobrança é ainda mais incisiva, uma vez que a obtenção de novos dados já deveria seguir a Lei Geral de Proteção de Dados que está em vigor.
Além disso, é necessário que as empresas tenham um plano de comunicação no caso de vazamento de dados próprios, de forma a comunicar a seus clientes ou usuário que seus dados estão sob risco de se tornarem acidentalmente públicos, e que possam se proteger das consequências.
Quais as sanções estabelecidas?
Engana-se quem pensa que a punição para o descumprimento da LGPD seja meramente simbólica. As multas pecuniárias podem atingir até 2% do faturamento bruto da empresa, ou 50 milhões de reais, a depender da gravidade do descumprimento.
Há o aspecto indenizatório do descumprimento. Se o objetivo da lei é proteger dados pessoais e dados sensíveis e uma empresa, por maus procedimentos, permitir que esses dados venham a público, ou os utilize de forma inadequada, as pessoas prejudicadas poderão pedir para si uma indenização própria, de valor a ser estabelecido de acordo com o caso concreto.
Perguntas frequentes sobre a LGPD
Dadas todas as novidades da LGPD, é natural que várias dúvidas continuem mantidas para empresas e operadores responsáveis que ainda estão em momento de transição. Por isso, nossa equipe preparou uma seção rápida de perguntas e respostas com o intuito de facilitar a fixação de conceitos e características fundamentais da lei. Confira:
Quem será responsável pela fiscalização das regras da LGPD?
A fiscalização de todas as aplicações, bem como a definição de eventuais desrespeitos à Lei Geral de Proteção de Dados é a Autoridade Nacional de Proteção de Dados, a ANPD.
Se o nome for inédito para você, não há motivos para surpresa. A ANPD foi criada pela própria LGPD, como parte da estruturação necessária para colocar em prática as previsões trazidas pela nova lei. Também caberá à ANPD a elaboração de novas diretrizes e interpretações a respeito da lei, tornando-se uma espécie de guardiã da proteção de dados.
Para pessoas ou empresas que queiram denunciar uma irregularidade à LGPD observada em alguma situação, o contato poderá ser feito tanto de forma direta com a ANPD em seu site, quanto para o Ministério Público, que levará a denúncia adiante em proteção aos cidadãos.
Fale com um advogado especialista.
A LGPD também se aplica a empresas estrangeiras?
Todas as empresas que atuem em território brasileiro deverão aplicar os cuidados referentes à LGPD na captação e tratamento de seus dados, sem exceção. O mesmo é válido para empresas brasileiras que atuem no exterior, que deverão seguir as leis locais para o tratamento de dados.
O que significa “dados pessoais?”
Embora fale-se em dados pessoais em praticamente todos os lugares, desde a difusão das redes sociais, seu conceito nem sempre é claro o suficiente para que pessoas e empresas possam tomar atitudes no sentido de sua proteção. Na prática, não é tão difícil assim:
Dado pessoal é toda informação, conjunto de informações e partes de informações que identifiquem ou possam identificar um indivíduo.
É importante entender que essa identificação nem sempre precisa culminar no nome. Informações como endereço, contatos, números de documentos e até mesmo data de nascimento que possa ser cruzada com outra informação e apontada para o indivíduo são considerados dados pessoais.
O que significa “dados pessoais sensíveis”?
Ainda mais graves que os dados pessoais, em termos de vazamento de dados, são os dados pessoais sensíveis, como o próprio nome sugere. Os dados pessoais sensíveis são aqueles que vão além da mera identificação de quem é uma pessoa, possibilitando estruturar um perfil, com características que possam ser utilizadas para outros fins.
Contemplam o conjunto de informações sensíveis as questões étnico-raciais, religião, posicionamentos políticos ou sociais, associação a organizações específicas, pontos de vista diversos, sexualidade, informações genéticas e biométricas e, também, dados relacionados à saúde. Quando estes dados sensíveis podem ser associados aos dados pessoais, identificando o indivíduo, se tornam um risco verdadeiro para a segurança informacional daquela pessoa, e são o tipo mais grave de exposição.
Minha empresa não é do meio digital. A LGPD se aplica a ela?
Definitivamente. É importante ter em mente que a LGPD não é exclusiva para empresas que atuam no meio digital. Um exemplo caraterístico pode ser feito para duas lojas que vendam o mesmo tipo de produto, com a diferença de que uma se trata de um e-commerce, e a outra é uma loja exclusivamente física.
Assim como no e-commerce, a loja física terá informações de compras, cadastros de clientes, informações de pagamentos por cartão e uma série de outros dados armazenados em seus sistemas internos, que também podem ser violados e utilizados de forma inadequada. Exatamente como na versão virtual, estes dados devem se adequar completamente aos termos da LGPD, sob os mesmos riscos de penalidades que já mencionamos ao longo deste artigo.
Preciso ter procedimentos para o tratamento de dados não obtidos na internet?
Em complementação à pergunta anterior, é importante deixar claro que a LGPD trata da Proteção de Dados – quaisquer que sejam as fontes destes dados. Todos os cuidados exigidos na lei se aplicam desde os sistemas mais nativos da internet na mesma medida que se aplicam aos registros analógicos – mesmo que estejam naquele bom e velho caderninho!
Obviamente, há uma diferença de ameaça em potencial entre uma coisa e outra. Mesmo assim, é importante ter procedimentos de proteção destes dados, de forma que eles não se tornem uma fonte potencial de violação de informações pessoais de clientes.
Ligue agora e agende uma reunião.
O que é a anonimização dos dados?
Trata-se do ato de tornar todos os dados anônimos, no sentido de não poderem ser utilizados para apontar um indivíduo específico. Em outras palavras, é o conceito que parte do pressuposto de que, caso alguém tenha acesso indevido aos dados de uma certa empresa, essa pessoa não conseguirá rastrear individualmente quem são os indivíduos referentes àqueles dados, pois estão anonimizados. É um procedimento necessário para a segurança dos usuários.
O que significa a “revogação do consentimento”?
A revogação de consentimento é um direito garantido pela LGPD, no qual o indivíduo que consentiu com a coleta de seus dados pode solicitar a retirada deles de forma definitiva, de maneira que qualquer informação de seu uso em certo serviço seja totalmente anonimizada.
Quais as penalidades para o descumprimento da LGPD?
Como já mencionado ao longo do texto, as penalidades podem ir desde uma advertência comum, divulgação do problema e tomada de ação para corrigir o problema relacionado aos dados violados, até multas significativas. As multas podem atingir até 2% do faturamento anual da empresa violadora, até o limite máximo de 50 milhões de reais por infração cometida.
É a ANPD que determinará a gravidade da penalidade, com base na gravidade da violação, na existência de reincidência e das atitudes tomadas pela organização em relação à proteção dos dados.
Além disso, é importante considerar que a ANPD é responsável pela multa de caráter administrativo, referente à infração em si. Os indivíduos diretamente prejudicados pelo vazamento de dados ainda terão a possibilidade de pleitear por uma indenização particular.
Como o Advogado ou um Escritório irá atuar?
As orientações a respeito da LGPD devem ser feitas com uma mescla de equipes técnicas: parte formada pelos responsáveis por setores de tecnologia na empresa, e parte formada pelo escritório de advocacia que orientará a respeito dos cuidados e ações.
Idealmente, o próprio escritório fará parte da capacitação do Comitê responsável pela gestão destes dados, e deve atuar sempre preventivamente, de forma a evitar as multas que possam vir da inadequação do uso dos dados.
Precisa de orientação? Procurando um Advogado Especializado em direito digital?
Entre em contato e agende uma consultoria especializada!
___________________________
Artigo escrito por advogados especialistas do escritório Galvão & Silva Advocacia. Inscrita no CNPJ 22.889.244/0001-00 e Registro OAB/DF 2609/15.
Conheça nossos autores.
Atualizado em 23 de agosto de 2023
Deixe um comentário ou Sugestão: