Com a popularização das identidades online, as informações pessoais — tudo aquilo que pode ser relacionado a uma pessoa identificável — passaram a ser regulamentadas em leis, como a Lei Geral de Proteção de Dados.
Mas com quase um terço das empresas ainda se adaptando à LGPD, a própria mudança de hábitos e a adoção da lei tornaram-se um desafio. A lei começou a vigorar em 18 de setembro de 2020, e as multas passaram a ser aplicadas em 2021.
Muitas dúvidas ainda surgem sobre a adoção das regras, as políticas previstas na lei e as medidas para proteção dos dados. A ideia do texto é contar as principais informações sobre LGPD e os cuidados que os microempreendedores e os gestores de PMEs (Pequenas e Médias Empresas) devem ter para não ferirem a lei. Boa leitura!
QUAL É O PAPEL DA PRIVACIDADE DOS DADOS?
Originalmente, privacidade se ligava apenas à ideia de estar privado de alguma coisa. O termo tem origem no verbo “privar”, relacionando-se com a casa ou com a família, além de se opor à noção de público.
O conceito começou a ganhar corpo depois da Revolução Francesa, e a demanda por um espaço individual surgiu com as necessidades materiais da Revolução Industrial. Hoje, a privacidade é definida no artigo 5 da Constituição de 1988.
Mas a internet trouxe a realidade da coleta de dados em alta escala. Termos como cookies, carteiras digitais, políticas de privacidade, aplicativos de celular, spywares e phishing passaram a fazer parte do vocabulário das pessoas.
O QUE É A LEI GERAL DE PROTEÇÃO DE DADOS?
A Lei Geral de Proteção de Dados é um marco que afeta vários setores ao colocar em pauta a preservação de dados pessoais. A ideia é cuidar da privacidade das pessoas, a partir da proteção de informações pessoais e sensíveis.
Por isso, define como os dados devem ser tratados pelas empresas, com foco em garantir segurança. Os dados pessoais são as informações que permitem que os usuários sejam identificados.
Isso inclui nome, documento de identificação, telefone, data e local de nascimento, endereço, localização, renda e por aí vai. Alguns dos usuários ainda requerem mais atenção, como os menores de idade.
COMO A LEI GERAL DE PROTEÇÃO DE DADOS FUNCIONA?
A Lei Geral de Proteção de Dados define que seus dados só podem ser colhidos e usados por uma empresa se você consentir. Isso significa que a marca deve ser transparente e cumprir regras.
A ideia é trazer mais clareza sobre quais dados podem ser usados, além de garantir que as empresas cuidem das informações a partir de regras específicas. Assim, as pessoas passam a ter mais controle sobre como seus dados pessoais são tratados.
Isso passa pela coleta, pelo armazenamento, compartilhamento e uso. Vale ter em mente que a Lei não proíbe as empresas de coletar os dados, mas define uma base legal sobre o assunto.
COMO SURGIU?
Em 2018, a União Europeia fez valer a GPDR (Regulamento Geral de Proteção de Dados), que serviu de modelo para todo o mundo ao definir padrões sobre o processamento de dados pessoais. A legislação também explora a transferência de dados para fora da UE (União Européia).
Mesmo o Reino Unido, que não é mais um membro da UE, adotou a ideia e reproduziu a lei de forma idêntica a partir de 2021. Com essa inspiração, surgiu a brasileira Lei Geral de Proteção de Dados.
Ela foi aprovada em um “terreno vazio”. O Brasil não tinha nenhuma lei específica sobre o assunto, e qualquer problema de proteção de dados precisava aparar-se nas disposições do Marco Civil da Internet e na Lei de Acesso à Informação.
POR QUE A PROTEÇÃO DOS DADOS É IMPORTANTE?
A legislação sobre a proteção de dados ganhou corpo com a popularização de escândalos como o da Cambridge Analytica — quando dados pessoais dos milhões de usuários do Facebook foram colhidos sem seu consentimento para publicidade política.
Isso fez com que os usuários cobrassem transparência na forma com que as gigantes da tecnologia lidam com seus dados. O mesmo passou a valer para empresas pequenas, criando a demanda que deu origem às leis de proteção aos dados.
A popularização de câmeras, Wi-Fi gratuito, gravadores de voz e máquinas de pagamento incentivou a disseminação de dados e fez com que a privacidade se tornasse ainda mais restrita.
QUAIS SÃO OS DETALHES DA LEI?
A Lei Geral de Proteção de Dados trabalha para proteger a livre formação de personalidade de cada um. Embora as informações digitais sejam protagonistas nos vazamentos, a legislação também se aplica aos dados físicos.
A LGPD foi sancionada em 2018 e passou a valer em 2020. Aqui, a ideia de que o cidadão é o titular dos próprios dados passou a valer pela primeira vez. Por isso, também são responsáveis pelo ciclo, que vai desde a coleta até a exclusão.
A lei incentiva o uso de um ambiente controlado para os dados e define protagonismo do dono dos dados. As empresas ficam sujeitas a algumas regras, que você vai conhecer nos próximos tópicos.
COMO FUNCIONA A LEI EUROPEIA QUE SERVIU DE MODELO?
A GPDR faz parte da lei de privacidade da União Europeia e simplifica a regulação para transferência internacional de dados. Assim como a LGPD, a GPDR identifica quais dados são sensíveis.
A lei ganhou atenção das empresas europeias. Mas também desperta investimentos nas que estão fora da UE e que negociam com clientes europeus. Embora os dados passassem a ocupar uma legislação protetora, parte da comunidade de usuários criticou o excesso de avisos.
Várias empresas tentaram driblar o risco de infringirem a lei, comunicando pedidos de consentimento de dados, o que fez com que os usuários tivessem que lidar com uma série de e-mails e pop-ups.
QUAIS SÃO OS ATORES ENVOLVIDOS NA LGPD?
A Lei Geral de Proteção de Dados conta com algumas definições de atores. O “Titular de Dados” é o dono, o usuário do qual os dados são colhidos. É obrigatório consentimento para usá-los.
O “Controlador” é a empresa que cuida dos dados do usuário. As empresas que requisitam os dados enquadram-se nessa categoria. Caso as informações passem por uma empresa intermediária, essa é chamada de “Operador”.
Mas o LGPD ainda traz outro ator, responsável por servir como um canal de comunicação entre as outras figuras. É o “Encarregado”, que cuida dos esclarecimentos e orientações.
QUAIS SÃO OS PRINCÍPIOS?
A LGPD trabalha com alguns princípios. Isso inclui adequação, necessidade, finalidade, qualidade de dados, segurança, transparência, e por aí vai. O da finalidade, por exemplo, diz que você só pode colher os dados se existir algum propósito legítimo e informado pelo titular.
O da adequação, por sua vez, define que o processamento carece estar adequado ao uso originalmente informado pelo titular. Já o da necessidade limita o tratamento a apenas o necessário para a finalidade informada pelo titular.
O do livre acesso incentiva a clareza, enquanto o da qualidade dos dados define que as informações sejam bem armazenadas e atualizadas. O da transparência dá ao usuário o direito de saber o que as empresas fazem com seus dados.
QUAL É A IMPORTÂNCIA DE CUMPRIR A LGPD?
A importância do cuidado com os dados cresceu nos últimos anos e fez com que o assunto passasse pela fiscalização governamental. Para garantir o cumprimento da lei, a LGPD também conta com a Autoridade Nacional de Proteção de Dados
Isso fez com que as empresas tivessem de enviar relatórios sobre como cuidam dos dados pessoais para a agência, que analisa o material em busca de irregularidades. Há punições para quem não se adequar, envolvendo multas e indenizações.
A lei exige a elaboração de um plano que define como a coleta e o armazenamento vão ser feitos, assim como os procedimentos de segurança. No caso de informações digitais, os procedimentos para driblar o vazamento e o roubo de dados contam.
COMO MANTER PMES DE ACORDO COM A LGPD?
As ideias para manter as PMEs em conformidade com a Lei Geral de Proteção de Dados variam de acordo com o tipo de dado. Se você tem um site, por exemplo, vai precisar pedir o consentimento do usuário em relação ao uso de cookies.
Os cookies são pequenos blocos de informação criados pelos servidores para armazenar informações. Mas alguns geram preocupações de privacidade, como os cookies de rastreamento de terceiros.
Esses são usados pelos anunciantes como estratégia de venda, para ler o histórico de navegação dos usuários e veicular anúncios relevantes. Para evitar os problemas de consensualidade, existem os avisos de texto posicionados na parte superior ou inferior da tela.
QUAIS SÃO OS CUIDADOS PARA NÃO FERIR A LGPD?
Para os dados vazados acidentalmente, a primeira medida é avisar o titular o quanto antes. Com sinceridade, você pode estabelecer uma relação de confiança com o usuário, que pode pôr em prática medidas de segurança, como troca de senhas ou bloqueio para evitar fraude no cartão de crédito.
A transparência na coleta de informações também conta. Um dado colhido para uma finalidade só pode ser usado para ela. Procure avaliar se a lei permite usar o dado para o fim que você tem em mente.
Para evitar errar, uma medida possível é fazer a coleta apenas exatamente daquilo que você vai usar. Evite dados extras. Difundir as boas práticas de cuidado de dados ainda é importante.
QUAIS SÃO AS CONSEQUÊNCIAS DE NÃO SE ADEQUAR À LGPD?
A Lei Geral de Proteção de Dados é um assunto sério e tem suas penalidades, com multas que chegam aos R$ 50 milhões. A forma de cálculo é 2% do faturamento da marca. Mas as punições não são só financeiras.
O banco de dados pode ser suspenso, assim como a atividade de tratamento de dados. Em casos mais extremos, há a proibição total da atividade. Nesse caso, a empresa ganha restrições judiciais em relação às informações que pode armazenar.
O cenário se torna preocupante para as marcas que não seguem a lei. Muitas empresas ainda não têm clareza sobre os processos ou alegam complexidade nas medidas. Outro problema é a falta de pessoas especializadas.
QUEM PRECISA ADEQUAR-SE À LGPD?
A adoção à Lei Geral de Proteção de Dados deve ser feita por todas as empresas que lidam com o tratamento dos dados de pessoas do Brasil, ainda que sua sede não esteja no país.
Se uma empresa norte-americana coleta os dados de um brasileiro, por exemplo, fazr isso nos moldes da lei brasileira, ainda que o processamento aconteça nos Estados Unidos.
A transferência de dados para fora do país só pode acontecer se o país também contar com mecanismos de proteção parecidos. Se o usuário julgar necessário, a empresa tem a obrigação de apagar seus dados.
COMO A LGPD FUNCIONA PARA CONTRATAÇÕES?
Pessoas contratadas pela sua empresa também fazem parte da LGPD, são titulares e deixam suas informações nas mãos do “controlador” — nesse caso, a marca contratante. Por isso, os funcionários também têm seus direitos.
Na hora de trazer novos profissionais para sua empresa, algumas coisas nos processos seletivos carecem ser repensadas. O ideal é verificar se o dado é compatível com as necessidades da escolha de candidatos, o princípio da adequação.
Isso é importante porque um excesso na solicitação de informações pode trazer problemas com a LGPD. Se você quer contratar um atendente para seu comércio, perguntas sobre estado civil ou filiação partidária podem ser evitadas.
QUAIS SÃO AS NOVIDADES PARA PMES?
A complexidade da LGPD trouxe dificuldades para as empresas, e várias das medidas exigem um investimento com o qual muitas ainda não têm condições de arcar. Isso fez com que uma resolução flexibilizando a lei para PMEs fosse publicada.
Isso inclui várias medidas – por exemplo, a duplicação do prazo para atender às solicitações dos donos dos dados, a simplificação da política de segurança de informação ou a dispensa do DPO (encarregado pelo tratamento de dados).
A manutenção e a elaboração dos registros ainda ficaram mais simples. Você pode atender às solicitações virtualmente ou por qualquer meio que facilite o acesso aos donos dos dados.
EXISTEM EXCEÇÕES PARA AS NOVAS REGRAS?
Embora a flexibilização seja uma demanda atendida, ela tem suas exceções. O tratamento de dados de alto risco é um exemplo. Como dados de crianças, adolescentes ou idosos.
Outro critério é o tratamento em larga escala ou de dados que podem afetar direitos fundamentais. A aposta em tecnologia emergente ou inovadora também aparece entre os critérios.
Mas ainda há uma margem de interpretação no que pode ser considerado dado de alto risco e, por isso, a ANPD vai disponibilizar guias específicos. Outra exceção é para quem tem receita bruta superior ao limite das regras. Em empresas de pequeno porte é R$ 4,8 milhões; em startups, R$ 16 milhões.
O DINHEIRO INVESTIDO EM PRIVACIDADE E PROTEÇÃO DE DADOS RETORNA?
Cada 1 US$ investido retorna US$ 2,70 em proteção de dados e privacidade. Isso aparece no custo de oportunidade provocado pelas indenizações, frutos dos processos movidos por usuários com dados vazados.
Por isso, apenas cumprir a lei raramente é o suficiente. Ainda é necessário adotar medidas eficazes para comprovar o cumprimento das normas e a segurança dos dados. Nesse caso, as marcas têm que prestar contas.
Dependendo do volume de dados, existem ideias proativas que podem ajudar a lidar com possíveis problemas judiciais – por exemplo, a elaboração de relatórios de auditorias para validar os programas de proteção de dados.
QUAIS DIREITOS A LGPD DÁ?
Já que os usuários são os titulares dos dados, eles têm o direito a agir com as próprias informações, ainda que elas estejam com você – por exemplo, a possibilidade de exclusão. Um usuário pode entrar em contato com o encarregado e solicitar o descarte.
A portabilidade é outro direito. Se um usuário quiser, ele pode migrar suas informações de uma empresa para outra. Em vez de preencher toda a cadeia de formulários, basta solicitar a transferência — como no caso do open banking
A LGPD também dá direito à anonimização. Se a empresa tiver a necessidade de usar a informação, deverá remover tudo o que pode tornar o dono identificável. O usuário ainda pode opor-se e simplesmente não ceder os dados.
O QUE MUDOU?
A chegada da Lei Geral de Proteção de Dados trouxe algumas mudanças para as empresas. A obrigação de preparar relatório é uma delas. Aqui, o documento registra as tarefas que dependem do tratamento de dados.
A lei também trouxe a obrigação de responder aos pedidos dos donos dos dados. Nesse caso, a empresa passa a precisar dar acesso aos dados e enviar uma declaração que indique a origem, os critérios e a finalidade.
Para os usuários, a mudança está no surgimento de uma autoridade nacional (ANPD) que represente seus direitos à privacidade, proteção de dados e transparência. A agência cuida da fiscalização e da implementação de sanções.
QUAL É O PAPEL DO ENCARREGADO DE PROTEÇÃO DE DADOS?
O DPO é o porta-voz da proteção das informações em relação a todos os atores. Isso inclui a empresa, os donos dos dados ou a ANPD. Se um usuário tiver uma dúvida ou reclamação, terá de entrar em contato com o encarregado.
O contato e o nome devem ser públicos e acessíveis, expostos em um lugar de fácil acesso. O encarregado também tem atividades internas, entendendo como as informações são coletadas e qual é a segurança do seu armazenamento.
Ele ainda pode formular manuais, relatórios e dar sugestões. Geralmente, conta com duas competências: a jurídica, para entender as demandas da lei; e a de TI, para dar sugestões de segurança.
A LGPD DÁ DIREITO À INDENIZAÇÃO?
A LGPD dá direito à indenização e representação judicial para quem teve seus dados vazados. Mas, nos primeiros anos de LGPD, a média das indenizações é de R$ 2.869. Ainda assim, as orientações são divididas.
Algumas cortes definem a indenização vinculada aos danos morais, e não ao vazamento de dados — criando diferenças nos julgamentos e nos valores. Os casos ainda estão começando a aparecer e há, ainda, debates.
Mas algumas decisões vão na contramão das indenizações. Isso porque condiciona aos danos morais, fazendo com que os usuários que tiveram os dados vazados tenham que comprovar que tiveram algum prejuízo por isso.
POR ONDE COMEÇAR?
Um bom ponto de partida é o RIPD, o Relatório de Impacto à Proteção de Dados. Que é feito para estimar e minimizar os riscos do processamento de informações. Em PMEs, há a possibilidade de terceirizar e solicitar a avaliação.
Aqui, o relatório deve incluir a descrição dos dados, a metodologia da coleta e a análise das medidas para mitigar riscos. Vale ter em mente que a quantidade de trabalho é proporcional ao número de dados colhidos.
Você pode mobilizar a equipe explicando que a LGPD não é só sobre cumprir uma lei. Na prática, a privacidade é um direito. Ter profissionais com noção de TI e capazes de explorar a proteção dos dados pode ajudar.
COMO TRAZER UMA PME PARA O MUNDO DA LGPD?
A adequação pode ser um desafio por causa da quantidade de ações que as empresas são obrigadas a seguir. Isso inclui a revisão dos processos e a obtenção de consentimento. Geralmente, as equipes passam por um processo de conscientização.
Isso significa que os profissionais tratam melhor os dados quando acreditam que são importantes. As soluções para segurança digital também são importantes, já que os ataques hackers tendem a se tornar mais frequentes.
Algumas medidas simples fazem diferença – por exemplo, a proteção com softwares antivírus, a criação de políticas de backup, o duplo fator de autenticação nos logins etc.
A Lei Geral de Proteção de Dados regulamenta o tratamento das informações das pessoas, com foco principal nos dados principais. O regulamento se debruça sobre pontos como processamento, transferência e uso, dando um novo sentido para a privacidade digital originalmente explorada no Marco Civil da Internet.
Por isso, a lei se baseia na consensualidade, assim como a inspiradora GPDR. A lei original de privacidade europeia era de 1995 e estava pouco atualizada para a realidade da coleta de dados em escala na internet.
Além de conteúdos para manter sua empresa atualizada, a Granito conta com textos que exploram opções de pagamento, empreendedorismo e vários outros assuntos. As novidades aparecem na página do LinkedIn. Siga e descubra!
