O que é e como a LGPD impactou as empresas?

A Lei nº 13.709, mais conhecida como LGPD é uma lei brasileira criada para garantir a qualquer pessoa física o direito de acessar, mudar e proteger seus dados pessoais sensíveis.

A sigla LGPD, que significa Lei Geral de Proteção de Dados, estabelece regras para todos que coletam, armazenam e compartilham dados pessoais de terceiros e entrou em vigor em dezembro de 2020.

Segundo a própria LGPD, o objetivo de estabelecer essas regras é garantir:

• O respeito à privacidade
• A autodeterminação informativa
• A liberdade de expressão, informação, comunicação e opinião
• A inviolabilidade da intimidade da honra e da imagem
• O desenvolvimento econômico e tecnológico e a inovação
• A livre iniciativa, a livre concorrência e a defesa do consumidor
• Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
   

De acordo com a LGPD, nenhuma empresa pode possuir informações consideradas sensíveis como nome ou e-mail sem o prévio consentimento do usuário ou cliente. 

Mesmo que obtenha autorização, a empresa terá responsabilidades jurídicas no tratamento desses dados. E caso não respeite a lei, poderá pagar multas que podem chegar a até R$ 50 milhões de reais. 

De forma geral, a LGPD exige que as empresas solicitem autorização do titular dos dados e informem para quais finalidades devem usá-los, tornando a relação entre empresas e usuários mais transparente. 

Porém, desde que a Lei Geral de Proteção de Dados (LGPD) começou a ser discutida muita gente ficou dividida. 

De um lado, a preocupação com os impactos nos negócios (principalmente na internet), do outro, o alívio e esperança de que os dados sensíveis serão manuseados de forma mais responsável e consciente daqui para frente.

Aliás, a preocupação com a privacidade de dados deu um salto nos últimos 10 anos: mais de 50% dos internautas está preocupado com seus dados pessoais, segundo estudo global de segurança da Unisys.

O índice de preocupação dos brasileiros na pesquisa, inclusive, foi maior que o da média mundial (190 contra uma média mundial de 175).

Fato é que desde grandes empresas de tecnologia como o Facebook e Google até assistentes virtuais como a Siri da Apple já tiveram que se explicar diante da justiça por suspeita de usarem informações pessoais de seus usuários de forma inadequada ou eticamente duvidosa.

O problema é que a grande maioria das empresas de tecnologia, além de centenas de startups utilizam dados pessoais como principais ativos de suas ações de marketing e vendas.

A partir de grandes bancos de dados (Big Data e Business Intelligence), essas empresas geram inteligência estratégica e de valor para entregar experiências de consumo e ofertas personalizadas nos diversos canais digitais (redes sociais, remarketing, e-mail, etc).

Do lado do consumidor existe um grande volume de dados pessoais sendo compartilhados muitas vezes de forma inconsciente. Você sabia que, cada um de nós, usuários de internet, costuma compartilhar dados com até 350 empresas diferentes?

Com a LGPD, as empresas passarão a comunicar mais seus consumidores sobre que dados elas vão coletar e como e onde eles serão usados. 

E assim o usuário se tornará mais consciente e tende a perceber o valor de seus dados, ao invés de sair preenchendo formulários e inserindo dados pessoais como endereço, telefone ou CPF por aí. 

LGPD: como surgiu?

A iniciativa da Lei Geral de Proteção de Dados (LGPD) surgiu após a General Data Protection Regulation (GDPR) ser aprovada na Europa e ganhar relevância mundial. 

A LGPD foi criada porque, assim como na Europa, existia a necessidade de regulamentar a forma como as empresas manipulam os pessoais dos cidadãos, principalmente na internet.

Aprovada na União Europeia em 2016 e implementada em 2018, a GDPR se tornou a referência em regulamentação de proteção de dados no mundo.

A GDPR impõe diversas obrigações para empresas que operam na Europa, como pedir autorização para usar os dados dos usuários, informar de forma clara para quais finalidades eles serão coletados e reportar vazamentos às autoridades cabíveis em até 72 horas.

De acordo com a European Commision e a International Association of Privacy Professionals (Iapp) após pouco mais de 1 ano de GDPR foram realizadas mais de 140 mil reclamações às autoridades de proteção de dados por violações à regulamentação e mais de 56 milhões de euros em multas já foram pagos.

Assim como já está acontecendo na Europa, a LGPD forçará as empresas a se aprimorarem na proteção de dados e informações pessoais no Brasil, o que ajudará a fortalecer seus setores de inteligência em segurança da informação (tanto no setor privado quanto público).

É importante lembrar que o país é a segunda maior fonte de ataques virtuais em todo o mundo e registrou uma perda de R$ 32,4 bilhões de reais em prejuízos com crimes virtuais em 2018, segundo um relatório da McAfee.

Os bancos são um dos principais alvos de ataques e sofrem com sites falsos, cartões clonados e tentativas de ataques ou malwares direcionados.

Outro setor bastante afetado pelos ataques é o e-commerce, que vem crescendo ano após ano e atrai a atenção de cibercriminosos por conta do alto volume de transações financeiras.

LGPD: como funciona?

Mas afinal, o que diz a LGPD? E o que a LGPD muda na prática? 

Na prática muda muita coisa, mesmo para quem está acostumado a adotar medidas exigentes de compliance e segurança de dados.

A Lei estabelece regras para o tratamento de informações pessoais sensíveis e punições para quem usar estes dados de forma indiscriminada ou sem a permissão do seu proprietário. 

Por isso, a maioria das empresas precisará revisar grande parte de seus contratos, sistemas e processos para garantir que dados pessoais sensíveis tenham a autorização (consentimento), segurança ao serem manipulados e sejam usados para a finalidade para a qual foram solicitados.

Além de definir o que é um dado pessoal sensível e como fazer o tratamento de dados, ao aplicar a lei, as empresas precisarão contratar ou treinar profissionais qualificados especificamente para cuidar das informações e monitorar como elas serão manuseadas. 

O que são dados pessoais para a LGPD?

No artigo 5º da LGPD, a lei define dados pessoais como as informações relacionadas “à pessoa natural identificada ou identificável”. Ou seja, aquelas capazes de identificar alguém de forma isolada ou em conjunto com outras. 

Exemplos de dados pessoais para a LGPD:

• Nome ou apelido
• RG
• CPF
• Endereço
• E-mail
• Dados de localização
• Endereço de IP
• Cookies
• Identificador de publicidade do telefone

Ficam de fora da lista os dados corporativos como CNPJ, emails profissionais @suaempresa.com.br ou dados ‘anonimizados’ (fonte: Comissão Europeia)

O que são dados pessoais sensíveis para a LGPD?

Segundo o artigo Art. 5º da lei, dados sensíveis são informações que revelam características sobre uma pessoa. Lista de características principais:

• Religião
• Etnia
• Sexo
• Posicionamento político
• Orientação sexual
• Dados bancários
• Filiação sindical
• Dados genéticos e biométricos
• Dados relacionados à saúde

Fonte:  Serviço Federal de Processamento de Dados – Serpro

O que é dado anonimizado?

Segundo o Google, a anonimização é uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa. 

Por isso, a LGPD não considera os dados anonimizados como dados pessoais, ou seja, desde que estas informações não consigam ser associadas a nenhum indivíduo específico, eles podem ser usados.

O que é tratamento de dados para a LGPD?

Para a lei, o tratamento de dados é toda operação realizada com dados pessoais. Confira uma lista de operações que são consideradas como tratamento de dados pela LGPD:

• Coleta
• Produção
• Recepção
• Classificação
• Utilização
• Acesso
• Reprodução
• Transmissão
• Distribuição
• Processamento
• Arquivamento
• Armazenamento
• Eliminação
• Avaliação ou controle da informação
• Modificação
• Comunicação
• Transferência
• Difusão
• Extração

Para que o controle de todos estes processos seja feito de forma adequada, as empresas precisarão contar com três profissionais específicos:

• O Controlador: profissional que vai tomar as decisões sobre tratamento dos dados
• O Operador: responsável por aplicar as decisões sobre o tratamento dos dados
• O Encarregado: que será o intermediador entre o controlador, o proprietário dos dados e a agência do governo que vai fiscalizar a lei.

Vale lembrar que a lei especifica regras sobre o tratamento de dados pessoais de crianças. Para isso a empresa precisará pedir o consentimento de pelo menos um dos pais ou pelo responsável legal.

O que é princípio de consentimento para a LGPD?

Para a LGPD, consentimento é a autorização que uma empresa solicita ao dono do dado para poder usá-lo. Esta autorização deve ser uma “manifestação livre, informada e inequívoca” de que as informações do titular, ou seja, do dono, podem ser tratadas para uma determinada finalidade.

A diferença é que agora é preciso fazer a solicitação de forma mais transparente, clara e objetiva, especificando quais dados serão usados e para quais finalidades. 

A lei é bem categórica ao estabelecer que autorizações genéricas não servem como consentimento. Por isso quanto mais específico você for no pedido de autorização, melhor.

Modelo de Declaração de conformidade com os princípios de proteção de dados pessoais. Fonte: Serpro

Quem vai fiscalizar a LGPD?

A Agência Nacional de Proteção de Dados (ANPD) ligada ao Poder Executivo Federal (Presidente) será a responsável pela fiscalização. 

A forma como será feita a fiscalização ainda não foi definida, porém especialistas afirmam que a ANPD pode atuar em conjunto com outros órgãos do governo. 

O tipo de pena aplicada vai variar de acordo com:

• A gravidade e a natureza das infrações e dos direitos pessoais afetados
• A boa-fé do infrator
• A vantagem econômica auferida pelo infrator e sua condição econômica
• A reincidência
• O grau do dano
• A cooperação do infrator
• A adoção demonstrada de mecanismos e procedimentos para minimizar os danos
• A adoção de políticas de boas práticas e governança
• A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

As penas previstas no capítulo 8 (seção I) para a LGPD são:

• Advertência
• Publicidade da infração
• Bloqueio dos dados até a regularização da atuação
• Eliminação dos dados pessoais que resultaram na infração
• Multa diária
• Multa de até 2% do faturamento da empresa (limitado a 50MM de reais…)
• Proibição do tratamento de dados (a pior das multas, porque pode matar uma empresa, acho pouquíssimo provável que seja aplicada).

LGPD: como se adequar?

Com o prazo de adequação à LGPD batendo à porta começa a corrida contra o tempo: como se adequar à LGPD? Para implementar a LGPD na sua empresa siga o passo a passo: 

1. Crie uma equipe técnica para tomar decisões sobre dados

O primeiro passo é nomear, qualificar ou contratar três profissionais: o controlador, o operador e o encarregado que vão formar a sua equipe de tratamento de dados.

Esta equipe será responsável por atender todas as solicitações sobre o assunto – tanto dos usuários quanto da autoridade reguladora (ANPD).

Alguns especialistas sugerem que um destes profissionais seja o responsável legal para gerenciar todos os dados, principalmente caso haja vazamentos. 

Assim, o ideal é que este profissional tenha conhecimento sobre legislação e boas práticas de proteção de dados, além de acompanhar desde o início a separação dos documentos e o mapeamento dos dados dentro da empresa.

A equipe responsável precisa estar alinhada e atualizada sobre as normas da empresa e manter contato direto com as áreas de tecnologia da informação, administração e finanças e jurídico.

2. Mapeie todas as informações sensíveis que você já tem

Hora de fazer um “Raio-X” de todas as informações e dados que você tem na sua base de clientes, banco de dados, etc. 

Depois de nomear a equipe responsável pelo tratamento de dados, desenhe cada processo da sua empresa e peça para que todas as equipes ou colaboradores listem os dados que costumam manusear durante estas atividades.

Reforce para que não se esqueçam principalmente de mencionar os dados sobre crianças e adolescentes, se você for o caso. Então, crie uma planilha simples de Excel para inserir as informações do mapeamento.

Sugestões de como começar a mapear os dados:

1. Faça uma lista de todos os dados que você armazena de seus colaboradores, clientes e fornecedores (fale com a equipe de RH, marketing, controladoria, financeiro, etc)
2. Verifique como estas informações são coletadas e armazenadas (e se o armazenamento é feito de forma segura)
3. Verifique se estas informações têm autorização (opt-in) de seus donos e a data que foram coletadas
4. Verifique para qual finalidade as informações são coletadas, quem tem acesso a estas informações e porquê

Lembre-se que o mapeamento deve acompanhar as mudanças da sua empresa.

A medida que sua empresa cria novas fontes de coleta, armazenamento e compartilhamento de dados você precisará garantir que estes novos dados também obedeçam às regras.

3. Crie mecanismos para coletar consentimento

De agora em diante o consentimento é rei, por isso você precisa encontrar novas formas para solicitar o consentimento dos dados. 

Toda oferta que você quiser enviar por e-mail, anúncios de retargeting ou qualquer outro tipo de abordagem precisa estar ancorada em uma autorização concedida previamente.

Todo formulário ou box de autorização precisa ter uma linguagem fácil e acessível e o ideal é que não venha pré-marcado.

Se possível crie uma página nova para poder informar de forma específica o tempo, finalidade e abrangência de como os dados do usuário serão usados. 

Veja alguns exemplos:

• Airbnb

• Gympass

• Facebook

Lembre-se que o dono dos dados poderá solicitar a exclusão de seus dados a qualquer momento se ele quiser.

4. Guarde as provas

Como toda lei nova, existe muita coisa que ainda não foi totalmente definida. Por isso documente todos os seus processos sobre tratamento de dados e mantenha-os atualizados.

Existe alguma informação desnecessária na sua base de dados? Então é melhor excluir. Assim você diminui os impactos e riscos de vazamento ou manipulação errada dos dados.

Mas ainda assim, não se esqueça de justificar e inventariar todas as entradas, alterações e saídas de informações.

5. Promova a cultura da segurança e uso responsável de dados

Contar com o apoio dos colaboradores da sua empresa é primordial para conseguir implementar a LGPD de forma bem-sucedida.

Mudar a forma como lidamos com os dados pessoais não é tão fácil quanto parece. É preciso incentivar e promover boas práticas, treinamentos e cursos de formação na sua empresa.

Este alinhamento interno fará toda a diferença em casos de emergência ou de incidentes, pois todos saberão como agir e como tratar os problemas de forma eficaz.