Como a Lei Geral de Proteção de Dados impacta na sua empresa?

O que é a Lei Geral de Proteção de Dados?

A Lei Geral de Proteção de Dados ou LGPD foi sancionada em 2018 no Brasil, pelo ex-presidente Michel Temer. Ela tem como principais objetivos evitar o uso indevido, comercialização e vazamento de dados pessoais. Ela teve origem no PLC 53/2018, que foi aprovado no Plenário do Senado em julho de 2018.

Porém, foi só no ano de 2020 que a Lei 13.709/2018 entrou em vigor no país, norteada por princípios éticos, de transparência e prestação de contas no caso de instituições. Vale ressaltar que a legislação se aplica também para as empresas com sede no exterior, que realizam o tratamento e coleta de dados ou que os produtos e serviços sejam realizados ou ofertados em território nacional. Alguns dos princípios que baseiam a LGPD são:

?respeito à privacidade.

?direitos humanos.

?cidadania, liberdade de expressão, de informação, de comunicação e de opinião.

?inviolabilidade da intimidade, da honra e da imagem das pessoas.

?livre concorrência e defesa do consumidor.

A lei só não se aplica da mesma forma em casos de obtenção de informações pelo Governo Federal para garantir a segurança pública, defesa nacional e repressão de infrações penais. Em casos de coletas de dados para fins particulares e não econômicos, acadêmicos, jornalísticos e artísticos, a LGPD também não se aplica. Nesses cenários, existe uma legislação específica.

Os órgãos públicos podem compartilhar os dados que têm acesso entre si, desde que respeitem os princípios previstos na lei que regulamenta esses processos. Porém, as informações não podem ser repassadas para instituições privadas, a menos que seja em casos como cadastros disponíveis publicamente ou execução de políticas públicas de forma descentralizada.

A legislação da LGPD é inovadora, uma vez que, até então, ainda não existiam leis que se aprofundassem nas questões relacionadas as informações pessoais difundidas pelos meios digitais. Esse aprofundamento é importante tanto para pessoas físicas quanto para jurídicas, que carregam dados de tantas pessoas em suas plataformas.

Antes da Lei Geral de Proteção de Dados, o Brasil já tinha a Lei 12.965/2014, conhecida como o “Marco Civil da Internet”. Ela entrou em vigor em 2018 com o objetivo de garantir acesso à internet para os brasileiros como forma de cidadania e garante ainda que os dados e informações dos cidadãos só devem ser disponibilizados mediante ordem judicial. O Marco Civil da Internet também auxilia no processo de regular os meios digitais, a privacidade e os dados pessoais dos usuários, com artigos como:

"Art. 10.  A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas".

Os artigos da Lei Geral de Proteção de Dados são divididos em categorias para orientar tanto os usuários quanto os detentores dados. São algumas dessas seções:

?Dos Requisitos para o Tratamento de Dados Pessoais

?Do Tratamento de Dados Pessoais Sensíveis

?Do Tratamento de Dados Pessoais de Crianças e de Adolescentes

?Do Término do Tratamento de Dados

?Do Tratamento de Dados Pessoais pelo Poder Público

?Da Transferência Internacional de Dados

?Da Responsabilidade e do Ressarcimento de Danos

?Da Segurança e do Sigilo de Dados

As organizações devem seguir as orientações estabelecidas pela lei no que diz respeito aos direitos humanos, coletivos e individuais de cada pessoa cujas informações estão em seus domínios.

"Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito".

As empresas já devem ficar atentas aos prazos e se adequar às normas da LGPD. Demonstrando responsabilidade e transparência quanto aos dados pessoais de seus colaboradores e clientes, por exemplo, as organizações conseguem garantir vantagem no mercado competitivo e se destacar  além de, claro, evitar problemas judiciais e financeiros. Venha entender melhor o que a legislação diz sobre que descumpre as regras e o que pode acontecer.

LGPD em vigor: quais as punições por infrações?

"Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo", é o que diz a legislação na seção III, denominada "Da Responsabilidade e do Ressarcimento de Danos"

Se um indivíduo sentir que seus dados pessoais foram violados por uma empresa, ele pode fazer denúncias. A Lei Geral de Proteção de Dados garante punições, desde advertências a multas de 2% do faturamento - com limite de até R$ 50 milhões - por dia e proibição parcial ou total das atividades relacionadas a tratamento de dados.

Por isso, é importante entender o que cada termo da legislação significa para evitar prejuízos para o seu negócio. Essas multas e infrações são aplicadas a cada vez que a empresa agir de forma incompatível com a LGPD. Ou seja, se 10 usuários denunciarem a instituição por desrespeitar a lei, ela sofrerá com 10 punições.

Primeiro, é importante entender o que são considerados dados pessoais. De acordo com a LGPD, são informações que permitem a identificação de uma pessoa. Além dos dados pessoais, existem os "dados sensíveis". Estes são informações ainda mais delicadas e que possam causar algum tipo de discriminação, como raça, etnia, religião, opiniões políticas, saúde ou vida sexual, por exemplo.

E quais são as regras para tratar e coletar dados? O tratamento dessas informações acontece, geralmente, por meio de titulares, mas existem outras formas. Algumas delas são para:

? Estudos acadêmicos

? Proteção de vida do titular ou de terceiros como dependentes, por exemplo

? Tutela de saúde

Nesses casos, é importante que haja o consentimento dos indivíduos, o que pode ocorrer por escrito ou outros meios, desde que fique claro que a pessoa em questão está ciente de que seus dados estão sendo fornecidos e para quais finalidades. As empresas devem ter esse cuidado com a transparência durante o tratamento de dados: não só explicar qual informação está sendo utilizada, mas também para que ela está sendo utilizada.

Quanto aos direitos dos titulares dos dados, a LGPD também tem regras claras para orientar os cidadãos e as empresas. Se o titular quiser revogar o consentimento dos dados fornecidos, ele pode fazê-lo a qualquer momento. Além disso, os titulares podem, quando quiserem, solicitar a revisão do consentimento do tratamento de dados automatizado, quando estes são utilizados.

Essa revisão pode acontecer em casos de concessão de crédito, contratação de serviços, disponibilização de conteúdo e informações nas redes sociais e até em processos seletivos. Quando isso acontecer, a empresa deve apresentar quais são os critérios utilizados em cada procedimento adotado para o tratamento dos dados. Se não estiver satisfeito, o cliente pode revogar o consentimento, como dito anteriormente.

O cliente pode, ainda, solicitar que a empresa confirme a existência do tratamento de dados e saber quais informações a instituição tem sobre ela. Se preferir, também pode ser pedida a correção, eliminação e portabilidade de registros. Se a organização precisar utilizar as informações de seus colaboradores ou clientes para outros fins, eles precisam ser informados e consentir novamente.

Existem regras específicas da LGPD para a coleta e o tratamento de dados de menores de idade. As crianças e adolescentes não podem autorizar o uso dessas informações, sendo assim, um dos pais ou responsáveis precisa fazer o consentimento. Vale ressaltar que serviços como jogos e aplicativos infantis na internet não podem pedir dados das crianças, como o acesso à lista de contatos, localização, microfone e câmera.

Essa medida é essencial para garantir a segurança e privacidade dos menores de idade nos meios digitais. Porém, se houver alguma situação de inconvenientes na internet, o sigilo de alguns dados dos pais pode ser quebrado para contatá-los e alertá-los do incidente em questão.

O órgão responsável por fiscalizar se a Lei Geral de Proteção de Dados e aplicar as punições adequadas para as empresas que descumprirem a legislação é a Autoridade Nacional de Proteção de Dados (ANPD), que é vinculada à Presidência da República.

A Lei Geral de Proteção de Dados e outras leis e resoluções complementares

A LGPD não funciona sozinha. Pelo contrário, ela está em consenso com outras leis e resoluções vigentes para garantir que os direitos humanos, individuais e coletivos não sejam violados por instituições públicas ou privadas. Várias delas já tratavam do assunto de proteção de dados e se complementam.

O Código de Defesa do Consumidor é uma das resoluções complementares à Lei Geral de Proteção de Dados. Ele já está em vigor há mais de 30 anos e define regras para diferentes relações de consumo: civil, administrativa e penal. As empresas que tratam e coletam dados de seus consumidores são as principais afetadas pelo CDC e LGPD. Os titulares das informações, nesses casos, costumam ser as pessoas que consomem bens ou serviços das instituições.

As normas do Código já determinavam o direito dos consumidores do acesso às informações que a empresa tem em seu cadastro, como fichas de dados pessoais e históricos de consumo. Um dos parágrafos do artigo 43 do CDC diz que "§ 3º O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas".

Sendo assim, as duas legislações se complementam, de modo a garantir mais segurança e privacidade para os titulares. Ambas preveem a proteção do consumidor e a comunicação mais clara e direta por parte das empresas.

Outra lei que está relacionada à LGPD e tem como objetivo defender a transparência e proteção com os dados de usuários é a Lei de Acesso à Informação. A LAI tem como foco as instituições públicas, sejam elas municipais, estaduais ou federais, garantindo que qualquer pessoa física ou jurídica tenha acesso a informações sobre esses órgãos.

Estão contempladas nessa lei, também, as sociedades com economia mista, desde que os governos municipal, estadual ou federal tenham algum controle,  direto ou indireto, dos recursos públicos da empresa. Assim, todas as instituições que se encaixam nessa categoria devem fornecer em seus sites oficiais informações de interesse público.

Para complementar e garantir que a Lei de Acesso à Informação funcione de forma adequada, a LGPD utiliza regras para que os órgãos públicos deixem claro a maneira de tratamento de dados dos cidadãos, aumentando, ainda mais, a transparência e segurança. Quando as duas leis entram em concordância, a população tem seus direitos garantidos.

Cuidados e dicas para solicitar e fazer uso dos dados de usuários

Além de entender o que é a Lei Geral de Proteção de Dados, os empreendedores precisam conhecer ferramentas, softwares e sistemas de proteção aos dados dos usuários. O primeiro passo é definir de que forma o processo de obtenção e tratamento de informações vai ser feito.

A definição desse procedimento deve ser clara e simples e todos os profissionais que são responsáveis pelas atividades devem passar por um treinamento para fazê-lo da forma adequada. Além disso, é importante elaborar um documento, como um Termo de Consentimento para Tratamento de Dados Pessoais, que deve ser fornecido e detalhado para o titular dos dados.

O consentimento do uso dos dados pela empresa deve ser registrado pelo usuário, por escrito ou por meio de alguma plataforma que permita identificá-lo. Se esse é um procedimento que o empreendedor já adotava antes da LGPD entrar em vigor, uma dica é renovar o consentimento desses usuários mais antigos de acordo com as novas normas e regras da legislação. Esses contratos devem ser revisados e entregues não apenas para usuários, como também fornecedores e funcionários.

Treinar os colaboradores da empresa acerca da Lei Geral de Proteção de Dados e a importância de se preservar e proteger os dados e privacidade dos titulares também é essencial para que as normas sejam seguidas corretamente. Os empreendedores devem deixar claro para seus funcionários sobre as punições legais que a empresa pode sofrer caso os procedimentos não sejam seguidos.

Outro procedimento que precisa ser adequado à LGPD é a retenção e descarte de dados. Para isso, uma dica é criar uma política que oriente os funcionários a seguirem um passo a passo padrão, sempre com base nos requisitos determinados pela lei. Alguns dos pontos a serem seguidos são inserir:

?  Tabela atualizada contendo informações como o tempo de armazenamento dos dados.

?  Procedimento de backup para os dados que estão em sistemas.

?Passo a passo para descartar documentos com dados - sejam eles digitais, como computadores e HDs, ou físicos, como papeis e pastas. Junto ao passo a passo, é importante detalhar como as informações dos titulares vão ser excluídas ou "anonimizadas".

Todo procedimento que envolve o tratamento de dados pessoais deve ser incluído em um registro. Nele, as empresas devem detalhar toda a operação, com informações como nome de quem está fazendo o tratamento, para que fim os dados estão sendo coletados, quais estabelecimentos ou terceiros vão receber os dados e por quanto tempo os dados ficarão sob domínio da empresa.

A empresa deve estar preparada para o risco incidentes envolvendo os dados pessoais de seus usuários. Por isso, outra dica é elaborar um Plano de Gestão de Incidentes. Nele, os colaboradores devem ter acesso a diretrizes sobre como agir diante de problemas com segurança e privacidade.

Uma gestão de incidentes eficiente começa identificando o problema para depois agir, monitorar, avaliar a situação e, se for o caso de violação, reportar para as autoridades responsáveis. Elaborado o plano, o gestor deve reunir os setores responsáveis pela execução de cada procedimento e treiná-los regularmente.

Outros cuidados que as empresas devem ter para estarem em conformidade com a LGPD é implementar soluções para aumentar a segurança nos meios digitais, que são os que mais sofrem invasões de hackers. Afinal, o processo de tratamento dos dados também diz respeito ao armazenamento deles.

É importante ressaltar que não são apenas os sistemas e recursos que estão na empresa que devem passar pela checagem de segurança: se os colaboradores acessam esses sistemas de seus smartphones e computadores pessoais, deve-se checá-los e adequá-los também.

O passo mais simples e conhecido por quase todo usuário de internet é a instalação de um antivírus eficiente. É o antivírus que garante mais segurança contra o acesso de hackers e fazem varreduras regularmente para identificar elementos que possam colocar em risco os dados que estão no dispositivo utilizado.

Controlar quem tem acesso aos dados dos titulares é outra medida que reduz os riscos de invasões e ainda facilita o processo de apuração e investigação, caso necessário.  Para isso, é importante manter um histórico com os acessos, logins e atividades da rede.

A criptografia é outra alternativa que tem sido utilizada cada vez mais pelas empresas para proteger a privacidade de seus titulares. Ela é uma forma de criar códigos e mudar o formato do conteúdo, impedindo a invasão de terceiros. A criptografia pode e deve ser utilizada tanto internamente quanto em processos externos da empresa.

Se o sistema utilizado pela instituição permite que o usuário crie senhas, um cuidado a se ter é quanto as senhas que são criadas. O software pode exigir senhas cada vez mais fortes e seguras como medida de proteção. Incluir letras maiúsculas e minúsculas, números e símbolos é a forma mais tradicional e simples de tentar driblar os hackers.

Além desses cuidados, as empresas também devem ter atenção aos cookies. Eles são identificadores que o navegador ou dispositivo gera sobre a página, como o website da empresa, gerando informações sobre perfil do usuário. As páginas que utilizam cookies para obter dados para análise, como o tempo que o usuário ficou no endereço, o que ele fez, entre outras.

Eles devem estar de acordo com a LGPD, pois, ao reunir informações sobre as preferências e hábitos de uma pessoa, garantem a identificação dela e configuram dados sensíveis.

Mas onde ficam os dados pessoais coletados? Uma dica básica para o empreendedor é evitar colocar essas informações sigilosas em nuvens públicas ou sites com livre acesso. Esse cuidado é importante porque essas redes contam com o acesso de usuários que não se identificam, sendo mais fácil para hackers se infiltrarem e conseguirem os dados de forma ilegal.

Como relacionar LGPD e o marketing digital?

O marketing digital é uma ferramenta de aproximação da empresa com seu público por meio das novas tecnologias. Ele faz uso de recursos como o Big Data, que é justamente o armazenamento e análise de dados para se obter melhores resultados. O Big Data é um conjunto de técnicas para transformar o grande volume de informações de uma instituição.

É a partir de recursos como o Big Data que o marketing digital se estrutura para elaborar estratégias de presença online com o consumidor. As principais moedas de troca do marketing digital são as informações que os titulares passam sobre eles mesmos. Desde um simples endereço de e-mail para assinar uma página a um cadastro completo para fazer uma compra, esses dados são armazenados e devem ser tratados de acordo com as normas da Lei Geral de Proteção de Dados.

O primeiro passo que a empresa deve fazer é mapear os dados e o fluxo de informações captadas pelo marketing digital. A partir dessa estratégia, é possível encontrar ferramentas que auxiliem no processo de filtragem, organização e atualização dos documentos.

Um dos principais pontos a serem analisados pelo marketing digital quando se trata da LGPD é o consentimento e autorização dos dados pelos usuários quando eles são coletados. Ao criar formulários online, por exemplo, as empresas não podem mais simplesmente captar os dados das outras pessoas.

Agora, com a nova legislação, o titular precisa assinalar uma opção clara e explícita que afirme que ele está consentindo a coleta daquelas informações. Entre as especificações, também deve ter a duração do tratamento e o livre acesso ao contrato quando o titular solicitar.

Além disso, esses formulários precisam explicitar para que os dados estão sendo coletados. As empresas precisam, então, solicitar apenas os dados que serão utilizados para aquela finalidade. Essa é uma estratégia que também vai ajudar os profissionais a administrarem as informações que a empresa tem, sem excessos.

Documentos como políticas de privacidade são a alternativa mais simples e comum para relacionar a LGPD e o marketing digital, especialmente aquele aplicado em websites. É fundamental que cada ponto desse documento seja claro e contenha todos os detalhes para que o usuário entenda o que está fazendo.

Outro passo importante é adotar profissionais especializados em aplicar o marketing digital de acordo com a legislação vigente. É importante ter um colaborador para se responsabilizar pelos processos de tratamentos de dados, outro para coletar os dados e até uma equipe que crie estratégias para se preparar para possíveis crises envolvendo ciberataques e exposição de informações pessoais.

Estar preparada para crises coloca a empresa um passo à frente no mercado de trabalho. Afinal, por mais preparo e segurança, nenhuma organização está 100% protegida dessas ações.

O marketing digital pode adotar estratégias diferentes para fazer o titular dos dados se sentir mais seguro com a política de transparência. Mensagens periódicas podem ser enviadas para os usuários, explicando as políticas de privacidade e lembrando a periodicidade das informações sob domínio da empresa, por exemplo.

O marketing de conteúdo terá muitos benefícios com a Lei Geral de Proteção de Dados em vigor. Com a legislação, as empresas terão mais organização sobre os dados recebidos de titulares e, assim, poderão direcionar melhor os seus conteúdos e alcançar mais pessoas, de forma mais efetiva.

As campanhas e os anúncios nas redes sociais, por exemplo, devem ser sempre segmentados para o público. Eles são feitos com base nos dados fornecidos pelos usuários e, muitas vezes, as redes sociais são meios que controlam os dados pessoais do titular, mudando as responsabilidades da empresa.

De acordo com a LGPD, as empresas controladoras dos dados dos usuários são aquelas que tomam as decisões referentes ao tratamento das informações. Já as empresas operadoras de dados, realizam o tratamento em nome das controladoras. Os encarregados são aqueles que exercem o papel de ponte de comunicação entre os titulares, o controlador e a Autoridade Nacional de Proteção de Dados.

Em casos como campanhas do Facebook Lead-Ads, por exemplo, tanto a empresa quanto o Facebook são consideradas controladoras dos dados, visto que ambas geram o cadastro com dados pessoais dos usuários. Assim, deve-se haver transparência e clareza sobre o processo de tratamento de informações dos dois lados.

Entender como a Lei Geral de Proteção de Dados impacta na sua empresa previne erros, garante mais eficiência para o marketing digital e ainda cria uma relação de mais segurança e transparência por parte dos usuários, sejam eles colaboradores ou consumidores. É um passo essencial para se dar, principalmente com a expansão dos meios digitais.

Conheça mais sobre a Lei Geral de Proteção de Dados em https://youtu.be/-ziciyDjxDI

Esperamos que tenha gostado do conteúdo. Acesse outros conteúdos disponíveis no nosso site e redes sociais. Até a próxima!