Seu negócio envolve dados pessoais de clientes e possíveis compradores? Então a LGPD se aplica a ele.
A LGPD – ou Lei Geral de Proteção de Dados – é uma lei (nº 13.709/2018), que regula o tratamento de dados pessoais pelas empresas.
Hoje, já são mais de 120 países com leis de proteção de dados em vigor.
Sua relevância atualmente é inegável, já que os dados sobre os usuários permitem fazer previsões, montar perfis de consumo, segmentar opiniões, entre outros.
Se você ainda não tinha ouvido falar sobre a LGPD, saiba que é fundamental conhecê-la e implementá-la.
No post de hoje, vamos tratar sobre esse assunto, explicando exatamente o que é, quando se aplica, quais cuidados devem ser tomados pelas empresas em relação à Lei Geral de Proteção de Dados e como implementá-la em seu negócio.
Por que precisamos da LGPD?
Garantir que seus dados não sejam hackeados é bom, mas não é exatamente para isso que a LGPD foi criada.
No ambiente digital, os dados pessoais valem tanto quanto ouro, mas nem todos os usuários sabem disso.
Simplesmente aceitam os termos de uso, permitindo – por exemplo – que aplicativos usem o GPS o tempo todo, indiscriminadamente.
“Não tenho nada a esconder” não é o mesmo que concordar em ser explorado comercialmente, certo?
Algumas empresas usam o histórico de navegação, localização e todo o tipo de ferramenta para ter acesso ao maior conjunto de informações possíveis para fazer alguns tipos de discriminações.
Por exemplo, com base no endereço ou do perfil do usuário, um e-commerce pode alterar os valores dos produtos dependendo do bairro de origem do acesso ou da nacionalidade do usuário.
Nem todos os casos servem para manipulação de anúncios.
Em casos mais perigosos, sem a preservação de dados, uma empresa de seguros de saúde pode vasculhar o histórico de doenças crônicas da família de um indivíduo e discriminá-lo por isso.
É por isso que precisamos dessas leis. Agora vamos para algumas definições:
O que são dados pessoais?
De acordo com o art. 5º,I, são considerados dados pessoais pela LGPD as informações que permitem identificar uma pessoa – ou que podem torná-la identificável. Como:
Dados pessoais de acordo com a LGPD
A LGPD também identifica alguns dados pessoais como mais sensíveis (art. 5º, II). Ou seja, exigem uma proteção maior do que os dados pessoais comuns.
O que são dados pessoais sensíveis para a LGPD
O que é considerado tratamento de dados para a LGPD?
De acordo com a LGPD, é considerado tratamento de dados qualquer operação realizada com os dados pessoais. Como por exemplo:
Tratamento de dados de acordo do LGPD
Princípios da LGPD
O princípio da LGPD é baseado na privacidade desde a concepção (previsto no art. 46 da Lei Geral de Proteção de Dados).
Esta determina que é dever de todas as empresas implementar a privacidade em todas as etapas do projeto, negócio ou sistema (desde a modelagem, passando pela operação e gerenciamento, até o encerramento).
Além desse, outros princípios estão envolvidos na LGPD:
Finalidade – é preciso que o tratamento tenha um objetivo específico e legítimo e apresente um resultado único.
Livre Acesso – o titular dos dados deve – sem custo algum – ter acesso total aos seus dados tratados, sem nenhuma dificuldade.
Necessidade – somente os dados pessoais necessários para a finalidade estabelecida devem ser tratados, sendo descartados aqueles que estiverem além do objetivo.
Adequação – os dados precisam ser tratados absolutamente de acordo com o objetivo informado ao titular.
Qualidade dos dados – os “tratadores” dos dados precisam garantir que estes sejam exatos, claros, relevantes e estar atualizados (sempre respeitando a necessidade e objetivo do tratamento).
Não discriminação – é proibido usar os dados para discriminação abusiva ou ilegal.
Transparência – as informações sobre o tratamento dos dados devem estar sempre claras, precisas e acessíveis aos titulares, incluindo sobre os agentes de tratamento (as pessoas que estão manipulando os dados).
Prevenção – os responsáveis pelo tratamento dos dados devem garantir que estes estejam protegidos contra incidentes, estabelecendo para isso medidas preventivas.
Segurança – os “tratadores” de dados precisam garantir a segurança destes contra acesso não autorizado e contra a quebra de integridade de dados (como perda, alteração, difusão, entre outros. Para isso, devem estabelecer as medidas técnicas e administrativas necessárias para essa proteção.
Responsabilidade e prestação de contas – os agentes de tratamento precisam demonstrar e comprovar que adotam medidas efetivas para cumprir as normas de proteção aos dados pessoais. Incluindo as de segurança da informação – demonstrando que são eficientes.
Na LGDP, o tratamento de dados precisa estar justificado em bases legais
Para cada objetivo, o tratamento de dados precisa estar suportado por uma das bases legais previstas no art. 7º da LGPD. Que são:
Consentimento pelo titular
O titular deve poder determinar o nível de proteção e garantir até que ponto seus dados podem ser explorados.
Também precisa concordar completamente com o objetivo estabelecido pelo tratamento que está informado nos termos de consentimento.
Cumprimento de obrigação legal ou regulatória pelo controlador
Quando o tratamento dos dados é feito para cumprir obrigações legais ou regulatórias e não depende da permissão do titular.
Por exemplo, dados para a nota fiscal (cumprindo as leis fiscais) ou o tratamento dos dados pessoais do trabalhador para Caixa Econômica Federal (para cumprir as leis trabalhistas do FGTS).
Execução de políticas públicas
Como no caso de vacinação, epidemia, pandemia e verificação de qualidade de ensino.
Estudos por órgãos de pesquisa
Em casos de estudos demográficos, como no Censo ou no IBGE. Sendo que, sempre que possível, os titulares dos dados sejam mantidos anônimos.
Execução de contrato
Quando é firmado um contrato, os dados pessoais das partes são necessários e estão liberados.
Exercício regular de direito em processo judicial, arbitral ou administrativo
Em casos de processos, os dados pessoais servem como base legal para produção de provas e para o desenvolvimento do processo em si.
Para a proteção da vida ou da integridade física
No caso onde o objetivo é a proteção da vida ou integridade física (manter a pessoa saudável) os agentes de saúde – como médicos, enfermeiros e agentes sanitários – podem tratar os dados pessoais.
Para a tutela da saúde
O mesmo vale para casos onde o objetivo é garantir a qualidade de vida da sociedade e diminuir os riscos de doenças.
Legítimo interesse
Quando o titular entende o tratamento de dados como razoável e o tratamento faz sentido para ele – sem oferecer nenhum risco de prejuízo a ele.
Nesses casos, a situação precisa passar por um teste de legítimo interesse, para garantir que objetivo do tratamento é válido.
Para a proteção do crédito
Em casos onde o objetivo é manter a economia do país segura e trazer mais benefícios a quem cumpre com suas obrigações, o tratamento de dados também é liberado.
Quais são os direitos do titular de acordo com a LGPD?
A LGPD garante ao titular alguns direitos, de acordo com o art. 18. Entre eles:
Confirmar a existência de tratamento de seus dados pessoais – ou seja, sabe que seus dados estão sendo tratados
Acessar seus dados pessoais – quando seus dados estão sendo tratados, devem poder ter acesso facilitado a eles
Corrigir os dados pessoais – poder editar seus dados, quando não estiverem corretos
Anonimizar, bloquear ou eliminar dados pessoais – devem poder barrar o uso de suas identidades no tratamento de dados, impedir que suas informações continuem sendo tratadas ou apagar seus dados da base de quem está tratando deles
Portabilidade de dados pessoais – transmitir seus dados de uma base para outro fornecedor (mesmo que seja o concorrente) através de uma requisição
Obter informações sobre o compartilhamento de dados pessoais – saber com quem estes dados estão sendo compartilhados
Revogar o consentimento dado – deixar de permitir o tratamento de dados pelo controlador atual.
LGPD e o Código de Defesa ao Consumidor
A LGPD está dentro do Sistema Nacional de Defesa ao Consumidor (art. 45), por isso, os direitos dos titulares dos dados são tratados como os dos consumidores padrão.
Ou seja, na LGPD, os titulares tem direito à presunção de hipossuficiência.
Nesse caso, a hipossuficiência do titular significa não conhecer todas as informações, nem todos os procedimentos envolvidos no processo de tratamento de dados.
Além da inversão do ônus da prova – o titular tem direito de pedir ao juiz que o controlador dos dados forneça as provas para basear os fundamentos da petição dele (justamente por não ter os meios para provar sua condição – a hipossuficiência).
Sem falar que, por estar contida no Sistema Nacional de Defesa do Consumidor, o titular tem o direito à informação e explicação sobre o tratamento dos dados.
A LGPD também pode ser aplicada em outros contextos jurídicos, como nas relações de trabalho.
O que acontece se meu negócio não cumprir o que determina a LGPD?
Se seu negócio não seguir o que determina a LGPD ou não proteger os dados como se deve, tanto a empresa como o controlador/operador de dados são responsabilizados.
Mesmo que o tratamento já tenha sido encerrado.
E quem seria o controlador e operador dos dados pessoais?
No caso, o controlador é a pessoa (física ou jurídica, de direito público ou privado) que é responsável pelas decisões no tratamento dos dados pessoais.
O operador, por outro lado, é pessoa (natural ou jurídica, de direito público ou privado) que faz o tratamento de dados em si, em nome do controlador.
Digamos então que você tenha um negócio que manipula dados pessoais. Sua empresa é o controlador. Já a equipe (ou funcionário), seja contratada ou terceirizada, seria o operador dos dados.
A LGPD determina que – no tratamento de dados – um profissional deve ser identificado como encarregado ou DPO (Data Protection Officer).
Este tanto pode ser uma pessoa física ou jurídica (empresa ou pessoa que possua CNPJ).
As responsabilidades desse profissional serão aceitar as reclamações, tirar as dúvidas dos titulares e responder às autoridades, orientar as empresas e cumprir as determinações do diretor.
O DPO precisa ter sua identidade acessível aos titulares autoridades e seu contato precisa ser de fácil acesso e estar disponível de forma simples, sem causar nenhuma dificuldade a quem quiser entrar em contato com ele.
Sanções
Se sua empresa tiver algum incidente, a ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar as seguintes sanções:
Quando acontecer um vazamento de dados, as empresas devem atuar diretamente junto com os titulares dos dados para reparação (§7º, art. 52).
Se não for feito o acordo, o controlador dos dados sofrerá as penalidades que foram citadas acima.
Aconteceu um incidente de segurança, e agora?
Casa aconteça um incidente de segurança com os dados (art. 48) tratados por você ou sua empresa, e que cause riscos ou prejuízos aos titulares, é preciso:
O que fazer em caso de incidente de segurança com os dados, de acordo com a LGPD
Como fazer para implantar a LGPD no meu negócio?
A LGPD Brasil orienta as empresas a seguir 11 passos para implantar a Lei Geral de Proteção de Dados. São eles:
Como implementar a LGPD na sua empresa
Conclusão
Os dados pessoais tem um valor enorme para as empresas, sendo solicitados para diversos objetivos. Mas, como vimos, estes dados precisam estar suportados por uma base legal e possuir um objetivo.
Este objetivo precisa ser claro para o titular dos dados, que também precisa estar de acordo com esse objetivo.
Ao tratar os dados pessoais, é preciso, ainda, seguir os princípios estabelecidos pela LGPD, entre eles, a garantia de segurança desses dados contra acessos de terceiros e vazamentos.
Cada empresa deve ter, ainda, um profissional responsável pelo esclarecimento do tratamento de dados aos titulares e que responda aos órgãos reguladores.
Em caso de incidentes com esses dados, tanto empresa como operador de dados serão responsabilizados.
Os titulares têm direito a confirmar, acessar, anonimizar, bloquear, eliminar, fazer a portabilidade e revogar o tratamento de seus dados pessoais.
Podem também fazer a portabilidade ou revogar o consentimento do tratamento de seus dados.
A LGPD garante aos titulares também os direitos do consumidor, como pedir aos controladores que forneçam as provas de que precisam para basear seu processo; a alegação de hipossuficiência.
Isto é, não ter todos os conhecimentos sobre o processo de tratamento de dados. Além de ter direito à informação e explicação sobre o tratamento dos dados.
Quando um incidente de segurança acontecer – e causar riscos ou prejuízos ao titular – a empresa poderá sofrer uma advertência com prazo para resolver o problema, ser multada em até 50 milhões de reais e/ou ter o incidente levado a público.
O procedimento a ser seguido em casos de incidentes com os dados é descrever os dados pessoais afetados, avisar ao titular sobre o ocorrido e avisar sobre os riscos envolvidos (justificando a demora, caso não tenha sido informado imediatamente) e informar o que será feito para corrigir a situação.
Uma questão de idoneidade
Seguir a LGPD vai além de somente cumprir a lei e evitar multas e penalidades, é ter respeito e compromisso com seus clientes, demonstrando uma preocupação com a integridade dos seus dados.
Ou seja, mostrar que sua empresa é séria e honesta.
Comments