LGPD significa Lei Geral de Proteção de Dados. É uma lei de privacidade de dados revolucionária, estabelecida pelo governo brasileiro, e será aplicável a partir de agosto de 2020.
A lei foi criada seguindo um movimento mundial em torno da proteção das informações sensíveis das pessoas — em maio deste ano, a GDPR, lei europeia que inspirou a LGPD, entrou em vigor atingindo empresas de todo mundo que tratam dados pessoais dos cidadãos europeus.
As penalidades para quem não cumprir os requisitos da LGPD podem ser altas. Para que você não tenha que pagar elas, fizemos um guia completo com tudo que você precisa saber sobre a nova lei. Vamos lá?
O que é a Lei Geral de Proteção de Dados (LGPD)?
A Lei Geral de Proteção de Dados (LGPD) aplica-se automaticamente a todos as empresas que lidam com dados pessoais de clientes. O objetivo é harmonizar o fluxo de dados e reforçar os direitos que os cidadãos brasileiros têm sobre seus dados mantidos e processados pelas organizações.
Agora, multas gigantescas podem ser aplicadas a empresas consideradas culpadas de usar indevidamente dados responsáveis chagando até R$ 50 milhões, ou 2% do faturamento anual da empresa, nos piores cenários.
O regulamento visa dar às pessoas maior poder sobre seus dados e tornar as empresas mais transparentes na maneira como lidam com informações confidenciais.
Por que a LGPD foi redigida?
Até a LGPD entrar em vigor, o único regulamento que governava a proteção de dados era a Diretiva de Proteção de Dados de 1995 do Reino Unido. O mundo mudou drasticamente desde 1995 e novas leis foram necessárias para abordar o mundo moderno, uso da internet e mídias sociais.
Nos últimos 24 anos, as empresas se tornaram mais dependentes da web, sem mencionar o crescimento de empresas dos e-commerces e sites de mídia social. O uso indevido da Internet e de dados pessoais é, portanto, muito maior do que em 1995 e de natureza fundamentalmente diferente.
Para o exemplo mais claro do porquê de novas leis de proteção de dados serem necessárias, é preciso observar como os dados são usados por uma série de plataformas digitais, como Google ou Facebook, que oferecem serviços “gratuitos”. Geralmente, eles são trocados por pagamento na forma de coleta de dados.
O consumidor não está pagando diretamente para isso, mas quando ele usa o mecanismo de pesquisa do Google ou pesquisa no feed de notícias do Facebook, suas ações são registradas e empacotadas como dados para empresas de terceiros. É assim que ele é direcionado para anúncios e e-mails marketing.
No passado, esse tipo de coleta de dados era muitas vezes mascarado por caixas de seleção pouco claras ou botões de aceitação. O consumidor nem se lembrava de concordar com eles e quase certamente não teria lido os termos e condições associados, mas é por isso que recebia e-mails que não estão totalmente de acordo com seus interesses.
Talvez o exemplo mais flagrante de uso indevido de dados tenha sido o escândalo do Cambridge Analytica no Facebook, que dominou as manchetes no início de 2018. Nesse caso, descobriu-se que os dados do usuário foram compartilhados indevidamente com um aplicativo de terceiros, que o utilizou para direcionar usuários com anúncios campanhas que influenciam o resultado das eleições de 2016 nos EUA.
A quem a LGPD se aplica?
Se você acha que não precisa respeitar a legislação da LGPD, é provável que tenha problemas mais cedo ou mais tarde.
A LGPD aplica-se a qualquer organização que opere dados em três casos, sendo:
- quando os dados pessoais forem coletados no Brasil;
- quando os dados sejam relacionados a indivíduos localizados no território brasileiro;
- quando tiver por objetivo a oferta de produtos e/ou serviços ao público brasileiro.
Isso significa que sua empresa precisará estar pronta quando a LGPD entrar em vigor, em fevereiro de 2020, e precisa começar a trabalhar em sua estratégia de conformidade a partir de agora.
O que são dados pessoais, controlador e processador de dados?
A LGPD considera dados pessoais como “toda informação relacionada a uma pessoa natural identificada ou identificável, ou seja, qualquer informação que identifique ou possa identificar uma pessoa, tais como nomes, números, códigos de identificação, endereços.”
Existem dois tipos diferentes de manipuladores de dados aos quais a legislação se aplica: operadores e controladores. As definições de cada um estão estabelecidas no artigo 5.º da Lei Geral de Proteção de Dados.
Um controlador é “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”, enquanto o processador é “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador “.
Há também o conceito de titular dos dados, “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.
O que muda com a LGPD?
Embora os princípios-chave da privacidade de informação ainda se mantenham fiéis à diretiva anterior de direito à vida e individualidade, muitas mudanças foram propostas para englobar o tratamento dos dados na era da internet, são elas.
Aumento do escopo territorial
Indiscutivelmente, a maior mudança no panorama regulatório da privacidade de dados vem com a jurisdição estendida da LGPD, uma vez que se aplica a todas as empresas que processam os dados pessoais coletados no Brasil ou de residentes brasileiros, mesmo que sejam tratados no exterior.
A Lei Geral de Proteção de Dados torna a sua aplicabilidade muito clara: aplica-se ao tratamento de dados pessoais por parte de controladores e processadores no Brasil, independentemente de o processamento ser feito aqui ou não.
Ela se aplica, também, ao tratamento de dados pessoais de titulares no Brasil por um responsável pelo tratamento ou subcontratante não estabelecido no país — quando as atividades dizem respeito a produtos/serviços brasileiros.
Segurança de dados
Outro ponto-chave da conformidade com a LGPD é a segurança de dados. A lei não declara diretamente como você deve proteger os dados e as políticas de segurança exatas, mas reforça a importância de tomar todas as precauções necessárias para evitar uma possível violação.
A empresa deve adotar medidas de segurança com a finalidade de garantir a proteção dos dados pessoais contra acessos não autorizados e situações acidentais, ou até mesmo ilícitas. No caso de incidentes, a lei também dispõe sobre os passos a serem tomados.
Se uma violação de dados ocorreu, você deve contatar as autoridades em prazo razoável, além de entrar em contato com todos os titulares afetados pela violação. Se os arquivos vazados tiverem seus nomes criptografados e você tiver certeza de que nenhum titular foi afetado, só é preciso entrar em contato com as autoridades.
Penalidades em caso de violação
Organizações que violem a Lei Geral de Proteção de Dados podem ser multadas em até 2% do faturamento global anual, ou até R$ 50 milhões (o que for maior). Essa é a multa máxima, imposta para as infrações mais graves, como, por exemplo, não ter o consentimento suficiente do cliente para processar dados ou em caso de vazamento de dados sensíveis.
Demais penalidades:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais correspondentes à infração até a sua regularização;
- Eliminação dos dados pessoais correspondentes à infração.
É importante observar que essas regras se aplicam tanto aos controladores quanto aos processadores — o que significa que as “nuvens” não estão isentas da fiscalização da Lei Geral de Proteção de Dados.
Consentimento ao tratamento dos dados
As condições de consentimento foram fortalecidas, e as empresas não podem mais usar termos e condições longos e ilegíveis. O pedido de consentimento deve ser dado de uma forma clara e de fácil acesso, com o propósito de processamento de dados anexado.
Da mesma forma, o consentimento deve ser distinguível de outros assuntos, e ser fornecido de uma forma compreensível e de fácil acesso, usando linguagem simples. Ou seja, deve ser tão fácil pedir o consentimento quanto fornecê-lo.
Direitos do titular dos dados
Ao titular dos dados, é concedido quatro direitos principais:
Notificação de violação
Sob a LGPD, as notificações de ataques são, agora, obrigatórias quando uma violação de dados é susceptível de “resultar em um risco para os direitos e liberdades dos indivíduos”. A notificação deve ser feita, primeiramente, às autoridades responsáveis. Os processadores também são obrigados a notificar os titulares atingidos, em prazo razoável, após tomar conhecimento de uma violação de dados.
Direito ao acesso
Parte dos direitos expandidos dos titulares de dados delineados pela LGPD é a confirmação do responsável pelo tratamento de dados — se estão ou não processando dados pessoais relativos aos mesmos, e em caso positivo, onde e com que finalidade. Além disso, o responsável pelo tratamento deve fornecer gratuitamente uma cópia dos dados pessoais em formato eletrônico.
Direito de ser esquecido
O direito de ser esquecido autoriza o titular a fazer com que o controlador apague seus dados pessoais, interrompa a disseminação deles e, potencialmente, terceiros suspendam o processamento dos dados. As condições para o apagamento incluem os dados que não são mais relevantes para propósitos originais de processamento, ou um titular de dados que retira o consentimento.
Portabilidade de dados
A Lei Geral de Proteção de Dados introduz a portabilidade, ou seja, o direito de um titular receber os dados pessoais ou pedir a transferência a outro fornecedor de serviço ou produto.
A LGPD só entra em vigor em agosto de 2020, contudo, o quanto antes sua empresa começar a se adequar mais fácil será a adaptação ao cumprimento das normas.
Quer ver mais dicas para garantir conformidade com a LGPD? Assine nossa newsletter e receba muito mais dicas para saber como adequar sua empresa!
Entre em contato
Alta performance e tecnologia de ponta ao seu alcance
Entre em contato com nossa equipe e conheça mais nossas soluções.