Atualmente, com nosso dia a dia cada vez mais digital e interconectado, as informações pessoais circulam com uma velocidade impressionante e a proteção desses dados tornou-se uma prioridade. Neste cenário, a Lei Geral de Proteção de Dados, ou LGPD, representa um marco significativo no universo da privacidade e segurança de dados no Brasil.
Entretanto, mais de três anos após entrar em vigor, a LGPD ainda é vista como um grande desafio para as empresas brasileiras.
Para auxiliar a compreensão e a adequação da sua empresa, exploraremos os fundamentos da LGPD, seus princípios-chave, suas implicações para empresas no dia a dia do negócio, além de orientações sobre como garantir a conformidade com a Lei.
Neste artigo você vai ver:
O que é LGPD?
Em vigor desde setembro de 2020, a Lei Geral de Proteção de Dados é uma legislação que estabelece regras e diretrizes para a coleta, armazenamento, processamento e compartilhamento de dados pessoais no Brasil.
Criada para garantir a privacidade e os direitos dos cidadãos em relação às suas informações pessoais, a LGPD exige que as organizações ajam de maneira responsável e transparente no tratamento desses dados.
Por isso, é uma legislação abrangente que estabelece regras e diretrizes para o tratamento de dados pessoais no país.Isso envolve obter consentimento claro e específico dos titulares, definir finalidades legítimas para a utilização dos dados, garantir medidas de segurança adequadas e oferecer aos titulares a possibilidade de acessar, corrigir e excluir suas informações.
O não cumprimento da Lei prevê sanções que variam de advertências a multas de até 2% do faturamento anual da organização, limitadas a R$ 50 milhões por infração.
LGPD: para que serve?
Seu principal objetivo é proteger a privacidade e os direitos dos cidadãos em relação às suas informações pessoais, garantindo que as organizações coletem, processem e compartilhem esses dados de maneira adequada e responsável.
Ela foi criada para estabelecer regras claras, garantindo um equilíbrio entre o avanço tecnológico e a preservação da privacidade individual.
Então, podemos dizer que a LGPD serve para diversos fins de:
- Proteção da privacidade: A lei busca preservar a privacidade dos indivíduos, garantindo que suas informações pessoais não sejam utilizadas de forma inadequada ou abusiva.
- Empoderamento dos titulares: Concede aos titulares dos dados o controle sobre suas informações pessoais. Eles têm o direito de saber quais dados estão sendo coletados, para quais finalidades e podem consentir ou não com esse processamento.
- Transparência: As organizações são obrigadas a fornecer informações claras e transparentes sobre como os dados pessoais serão tratados, permitindo que os indivíduos tomem decisões informadas.
- Prevenção de abusos: A legislação visa evitar o uso indevido de informações pessoais para fins de marketing não autorizado, fraudes, discriminação e outros abusos.
- Harmonização com normas internacionais: A LGPD alinha o Brasil a padrões internacionais de proteção de dados, como o General Data Protection Regulation (GDPR) na União Europeia, facilitando negociações e transações internacionais.
- Prevenção de vazamentos e incidentes: A legislação incentiva as organizações a implementarem medidas de segurança eficazes para evitar vazamentos de dados, protegendo assim tanto os titulares quanto a reputação das próprias empresas. Fortalecimento da confiança: A LGPD contribui para a construção de confiança entre consumidores e empresas, melhorando as relações comerciais e promovendo a reputação positiva das organizações.
Quem precisa se adequar à LGPD?
A LGPD se aplica a todas as entidades que realizam o tratamento de dados pessoais no Brasil, independentemente de sua natureza ou tamanho. Isso inclui empresas, órgãos governamentais, organizações sem fins lucrativos e qualquer entidade que lide com informações pessoais. Veja alguns exemplos:
- Empresas: Organizações de todos os setores, como varejo, serviços, tecnologia, saúde, educação, entre outros, que coletam, armazenam, processam ou compartilham dados pessoais de clientes, parceiros comerciais, funcionários etc.
- Órgãos Governamentais: Órgãos do governo que tratam dados pessoais, como cadastros de cidadãos, registros públicos, informações de saúde, entre outros.
- Instituições de saúde: Hospitais, clínicas, consultórios médicos e outras instituições de saúde que lidam com dados de pacientes.
- Bancos e instituições financeiras: Entidades que coletam dados pessoais para fins financeiros, como bancos, empresas de cartão de crédito e seguradoras.
- Educação: Escolas, universidades e outras instituições educacionais que possuem informações de alunos e professores.
- Tecnologia e internet: Empresas de tecnologia, redes sociais, aplicativos e plataformas online que coletam informações pessoais dos usuários.
- Marketing e publicidade: Empresas que realizam campanhas de marketing e publicidade direcionadas, coletando dados de consumidores para segmentação.
- Recursos humanos: Empresas que tratam dados de funcionários, como informações de RH, folha de pagamento, entre outros.
- Fornecedores de serviços: Qualquer fornecedor de serviços terceirizados que tenha acesso a dados pessoais de clientes ou funcionários da empresa contratante.
- Entidades sem fins lucrativos: Ong’s que coletam dados de doadores, voluntários e beneficiários.
- Profissionais liberais: Advogados, médicos, contadores e outros profissionais independentes que mantenham registros de clientes.
- Empreendedores individuais: Microempreendedores individuais (MEIs) que tratam dados pessoais de clientes ou fornecedores.
Resumo LGPD: O que é preciso saber sobre a Lei Geral de Proteção de Dados
Como já dissemos anteriormente, a LGPD é uma legislação bem abrangente com regras e diretrizes bem definidas para o tratamento de dados pessoais no Brasil. Por isso, separamos aqui as principais informações que você precisa saber sobre essa Lei.
LGPD: como funciona?
A LGPD opera sob princípios fundamentais, como a finalidade específica para a qual os dados são coletados, a necessidade do tratamento, a transparência nas práticas, a segurança dos dados e a responsabilização das organizações.
De acordo com a Lei, as organizações devem obter consentimento explícito dos titulares dos dados antes de coletar e processar suas informações pessoais. Além disso, os titulares têm direitos, como o acesso aos seus dados, a correção de informações incorretas, a exclusão de dados desnecessários e a portabilidade para outras plataformas.
Sendo assim, as organizações precisam adotar medidas de segurança apropriadas para proteger os dados contra acessos não autorizados e vazamentos.
Quais são as punições previstas?
As sanções incluem advertências, multas que podem chegar a 2% do faturamento anual da organização, limitadas a R$ 50 milhões por infração. Além disso, pode ocorrer o bloqueio temporário dos dados, até que seja realizada a adequação do tratamento dos dados, e a suspensão parcial ou totalmente das atividades relacionadas ao tratamento de dados.
A publicização das infrações também pode ocorrer, impactando a reputação da organização.
A gravidade da penalidade dependerá da natureza da infração e de seu impacto nos direitos dos titulares de dados. Para evitar essas punições, as organizações devem seguir as diretrizes da LGPD em suas práticas de tratamento de dados.
Recentemente, foi aplicada a primeira multa por descumprimento à LGPD a uma empresa de telemarketing por violação de três artigos da LGPD. A empresa foi investigada por ofertar uma listagem de contatos de WhatsApp de eleitores para fins de disseminação de material de campanha eleitoral.
Constatou-se que o tratamento de dados pessoais denunciado estava ocorrendo sem respaldo legal. Foi apurada, ainda, a falta de comprovação da indicação de encarregado pelo tratamento de dados pessoais pela empresa.
O valor das multas ficou limitado a 2% de seu faturamento bruto, de acordo com o artigo 52, II, da LGPD, totalizando R$14.400,00 aos cofres públicos.
O que é DPO na LGPD?
Na LGPD, “DPO” é a sigla para “Encarregado de Proteção de Dados” em português, ou “Data Protection Officer” em inglês.
O DPO é uma figura crucial dentro das organizações que tratam dados pessoais. Sua principal responsabilidade é atuar como um intermediário entre a organização, os titulares dos dados (as pessoas a quem os dados pertencem) e a Autoridade Nacional de Proteção de Dados (ANPD), entidade reguladora responsável pela fiscalização e aplicação da LGPD.
O DPO tem várias funções e responsabilidades:
- Monitoramento da conformidade: O DPO é responsável por garantir que a organização esteja cumprindo as diretrizes da LGPD. Isso inclui revisar as políticas internas, processos de tratamento de dados e garantir que as ações estejam de acordo com a lei.
- Assessoria: O DPO fornece orientação à organização e aos colaboradores sobre as melhores práticas de proteção de dados, ajudando a evitar possíveis problemas de conformidade.
- Comunicação com titulares de dados: Ele é o ponto de contato para os titulares dos dados que desejam exercer seus direitos, como solicitar acesso ou exclusão de suas informações pessoais.
- Avaliação de impacto à proteção de dados (AIPD): Em certas situações, o DPO deve conduzir avaliações de impacto à proteção de dados para identificar riscos e garantir que os dados sejam tratados de maneira segura.
- Treinamento e conscientização: Cabe ao encarregado dos dados fornecer treinamento interno para garantir que os colaboradores entendam as práticas adequadas de proteção de dados e estejam cientes das responsabilidades da organização.
Vale observar que nem todas as organizações são obrigadas a ter um DPO. A necessidade de nomear um DPO depende da natureza e da quantidade de dados que a organização trata.
Em geral, empresas que lidam com grandes volumes de dados ou tratam informações sensíveis geralmente precisam designar um DPO.
O que é tratamento de dados para a LGPD?
Na Lei Geral de Proteção de Dados, o termo “tratamento de dados” refere-se às atividades realizadas com relação aos dados pessoais. Então, envolve qualquer operação que seja realizada com dados pessoais, desde a coleta até o descarte, de maneira automatizada ou não. A legislação impõe requisitos específicos para cada etapa do tratamento que inclui, mas não se limita a:
- Coleta: A obtenção de dados pessoais, seja diretamente dos titulares dos dados ou de outras fontes.
- Armazenamento: O ato de guardar dados pessoais em um sistema ou dispositivo.
- Processamento: Qualquer operação realizada com os dados, como organização, estruturação, análise, modificação, entre outros.
- Uso: A utilização de dados pessoais para uma finalidade específica, como envio de comunicações, análises de marketing, etc.
- Compartilhamento: A divulgação ou fornecimento de dados pessoais a terceiros, interna ou externamente.
- Transferência: O movimento de dados pessoais entre diferentes localidades, seja dentro do Brasil ou para outros países.
- Eliminação: A exclusão ou destruição de dados pessoais quando não forem mais necessários.
- Combinação: A união de dados provenientes de diferentes fontes para criar um perfil mais abrangente.
- Anonimização: O processo de tornar os dados não identificáveis, de forma que não possam ser vinculados a um indivíduo específico.
O que são dados pessoais para a LGPD?
São considerados dados pessoais todos os dados que, de alguma forma, permitem identificar ou tornar identificável uma pessoa específica. Dessa forma, para a LGPD dados pessoais são informações relacionadas a uma pessoa natural identificada ou identificável, como, por exemplo, nome, sobrenome, endereço, número de telefone, endereço de e-mail, número de identidade, entre outros.
O que são dados pessoais sensíveis para a LGPD?
Além dos dados pessoais, a LGPD também reconhece a existência de dados sensíveis, que são informações mais delicadas, detalhes que podem revelar aspectos sensíveis da vida de alguém, como sua origem racial ou étnica, crenças religiosas, opiniões políticas, saúde, orientação sexual e outros aspectos semelhantes.
A LGPD atribui uma proteção especial a esses tipos de informações, reconhecendo que seu tratamento inadequado pode resultar em discriminação ou riscos significativos para os direitos e a privacidade dos indivíduos.
Para processar dados pessoais sensíveis, as organizações precisam obter um consentimento explícito e específico do titular dos dados, indicando claramente a finalidade para a qual esses dados serão utilizados.
Por que é preciso proteger esses dados?
A proteção dos dados pessoais e sensíveis é de extrema importância devido às implicações significativas que essas informações têm sobre a privacidade, dignidade e segurança dos indivíduos. Afinal, a crescente digitalização e compartilhamento de dados aumentaram os riscos associados ao uso inadequado dessas informações.
Ao proteger os dados pessoais, as pessoas têm o direito fundamental de manter o controle sobre suas informações, evitando o uso abusivo ou não autorizado. Além disso, a proteção de dados sensíveis, como saúde ou orientação sexual, é crucial para prevenir a discriminação e os preconceitos, promovendo ambientes inclusivos e respeitosos.
A proteção de dados também está fortemente ligada à segurança das informações. Vazamentos ou uso inadequado de dados pessoais podem resultar em sérios danos, como roubos de identidade, fraudes financeiras e danos à reputação. Ao garantir que os dados sejam tratados com segurança, as organizações reduzem a exposição a esses riscos, protegendo tanto os indivíduos quanto a si mesmas.
O que é o princípio de consentimento para a LGPD?
O princípio de consentimento é um dos fundamentos essenciais da LGPD. Ele diz respeito à obtenção de permissão clara, informada e voluntária dos titulares dos dados antes que suas informações pessoais sejam coletadas, processadas ou compartilhadas por uma organização.
O consentimento é a maneira de garantir que os indivíduos tenham controle sobre suas próprias informações e possam tomar decisões informadas sobre como seus dados serão utilizados.
A LGPD determina que o consentimento deve ser:
- Livre e informado: Dado de forma livre e voluntária, sem pressão ou coerção. Além disso, os titulares dos dados precisam estar plenamente informados sobre como suas informações serão usadas e para quais finalidades.
- Específico e finalidades claras: Deve ser solicitado de forma específica para cada finalidade de tratamento. Isso significa que as organizações não podem utilizar uma única autorização genérica para diferentes tipos de processamento de dados.
- Reversível: Os titulares dos dados têm o direito de retirar seu consentimento a qualquer momento. As organizações devem garantir que seja tão fácil retirar o consentimento quanto foi dar inicialmente.
- Consentimento expresso: Para dados sensíveis ou para situações que envolvam riscos significativos aos titulares dos dados, o consentimento precisa ser expresso, ou seja, uma ação afirmativa clara, como marcar uma caixa de seleção.
- Crianças e adolescentes: Para dados de crianças e adolescentes, o consentimento deve ser obtido dos pais ou responsáveis legais.
- Prova de consentimento: As organizações precisam manter registros que comprovem que o consentimento foi dado, incluindo informações sobre quando e como foi obtido.
É importante que as organizações sejam transparentes em relação ao uso dos dados, obtenham consentimento de forma adequada e respeitem as decisões dos titulares dos dados em relação ao tratamento de suas informações.
Quem fiscaliza a LGPD?
A fiscalização da LGPD é atribuição da Autoridade Nacional de Proteção de Dados (ANPD), um órgão federal brasileiro criado para supervisionar e garantir a conformidade com as normas estabelecidas pela legislação.
Sua responsabilidade abrange desde a emissão de diretrizes e regulamentos para orientar as organizações sobre as melhores práticas de proteção de dados até a fiscalização das atividades de tratamento de dados realizadas por empresas e instituições.
Além disso, a ANPD tem autoridade para investigar e aplicar sanções em caso de não conformidade, variando de advertências a multas significativas. Sua atuação é essencial para assegurar que os direitos dos titulares de dados sejam respeitados, que as informações pessoais sejam tratadas de forma segura e que as organizações cumpram com suas obrigações legais no âmbito da proteção de dados.
Qual o impacto da LGPD no dia a dia das empresas?
A LGPD tem um impacto significativo no dia a dia das empresas, principalmente no que se refere à forma como elas processam e tratam os dados pessoais.
No setor de marketing e vendas, por exemplo, a coleta e o uso de dados pessoais para estratégias promocionais exigem consentimento explícito dos clientes, resultando em abordagens mais direcionadas e relevantes. No departamento de recursos humanos, a proteção dos dados dos funcionários se torna primordial, com a necessidade de reforçar a segurança das informações pessoais durante o recrutamento, gerenciamento e término de contratos.
Na área de Tecnologia da Informação, a LGPD exige a implementação de medidas de segurança cibernética mais robustas, incorporando práticas de anonimização e criptografia para proteger dados de vazamentos e acessos não autorizados.
As equipes de atendimento ao cliente devem estar preparadas para lidar com solicitações dos titulares de dados em relação a seus direitos, estabelecendo um canal eficiente para respostas adequadas.
Já o setor jurídico e de compliance desempenha um papel vital na interpretação e aplicação da LGPD, desenvolvendo políticas internas, processos de consentimento e avaliações de impacto à proteção de dados.
A inovação e o desenvolvimento de produtos também são impactados, com a necessidade de incorporar a privacidade desde o início, equilibrando a criação de soluções inovadoras com a conformidade legal.
Então, as diretrizes propostas pela LGPD têm um impacto direto em diversos setores das empresas e cada um deles deve adaptar suas práticas para atender aos princípios da Lei, promovendo uma relação mais ética e confiável com os dados pessoais.
LGPD: como se adequar?
Como vimos ao longo do texto, a LGPD possui uma série de exigências e determinações. Por isso, a adequação envolve uma diferentes etapas e medidas que as organizações precisam tomar para garantir o tratamento adequado e legal dos dados pessoais.
Com tantas nuances, recomenda-se buscar orientação legal ou consultoria especializada para garantir uma conformidade efetiva com a legislação. Cada organização pode ter necessidades específicas de adequação à LGPD, dependendo do tipo e volume de dados que tratam.
De toda forma, existem diretrizes gerais que você precisa conhecer e que já pode começar a colocar em prática visando adequação à LGDP.
Conscientização e treinamento
Inicie conscientizando a equipe sobre a LGPD e seus princípios. Treine os funcionários para que todos entendam a importância da proteção de dados e suas responsabilidades em relação à conformidade.
Mapeamento de dados
Identifique quais dados pessoais estão sendo coletados, processados e armazenados em sua organização, bem como os propósitos para os quais são utilizados.
Revisão de políticas
Revise e atualize as políticas de privacidade e termos de uso para garantir que sejam transparentes, claras e incluam todas as informações necessárias conforme exigido pela LGPD. Também é importante estabelecer políticas de retenção de dados para determinar quanto tempo os dados serão mantidos e quando serão excluídos.
Obtenção de consentimento
Implemente procedimentos para obter consentimento explícito dos titulares dos dados antes de coletar e processar suas informações pessoais.
Direitos dos titulares
Estabeleça procedimentos para lidar com os direitos dos titulares, como acesso aos dados, correção, exclusão e portabilidade.
Segurança de dados
Implemente medidas de segurança adequadas para proteger os dados pessoais contra acessos não autorizados, vazamentos e incidentes de segurança.
Encarregado de proteção de dados
Nomeie um DPO quando necessário, especialmente se sua organização lida com grandes volumes de dados ou dados sensíveis.
Avaliação de impacto à proteção de dados
Realize avaliações de impacto à proteção de dados sempre que o tratamento de dados apresentar riscos significativos à privacidade dos titulares.
Gerenciamento de incidentes
Desenvolva planos de resposta a incidentes para lidar com vazamentos de dados e outros problemas de segurança.
Contratos com terceiros
Certifique-se de que contratos com processadores de dados ou outras partes externas estejam em conformidade com a LGPD.
Transferência internacional de dados
Caso sua empresa trabalhe com transferência de dados para o exterior, garanta que os dados pessoais transferidos para outros países estejam em conformidade com as exigências legais de proteção de dados.
Documentação
Mantenha registros detalhados de todas as atividades de tratamento de dados, decisões e medidas implementadas para cumprir a LGPD, incluindo os propósitos, bases legais e medidas de segurança implementadas.
Auditorias internas
Realize auditorias regulares para garantir que as práticas de proteção de dados estejam em conformidade com a LGPD.
Revisão e atualização contínuas
A LGPD é dinâmica, e as regulamentações e práticas podem mudar. Portanto, revise e atualize regularmente seus processos e políticas para se manter em conformidade.
Como alcançar o cliente sem violar a privacidade dele?
Com tantas restrições, com certeza essa é uma dúvida que fica na cabeça de muitos gestores.
Bom, alcançar o cliente de maneira eficaz sem violar sua privacidade requer uma abordagem cuidadosa e ética por parte das empresas.
Primeiramente, é fundamental adotar a transparência como princípio central. Isso significa informar claramente aos clientes quais dados estão sendo coletados, como serão utilizados e com quem serão compartilhados. A partir daí, a coleta de dados deve ser baseada em consentimento voluntário e explícito.
Vale reforçar que as empresas devem obter permissão específica para cada finalidade de tratamento, seja para enviar comunicações de marketing, personalizar experiências ou outros objetivos. Os clientes devem ter a liberdade de optar por receber ou não receber comunicações e também de ajustar suas preferências a qualquer momento.
Exemplo de como alcançar o cliente sem violar a LGPD
Vamos considerar uma empresa de telecomunicações. Para alcançar os clientes e manter um relacionamento sem violar sua privacidade, essa empresa adotou estratégias que respeitam os princípios da LGPD. Veja:
- Consentimento transparente: A empresa busca o consentimento explícito dos clientes para receber comunicações. Ao coletar informações de contato, como e-mail ou número de telefone, ela deixa claro para qual finalidade essas informações serão usadas, fornecendo detalhes sobre os tipos de mensagens que os clientes podem esperar receber.
- Segmentação baseada em preferências: Em vez de enviar mensagens genéricas para todos os clientes, ela segmenta suas comunicações com base nas preferências individuais. Por exemplo, oferecer pacotes de serviços específicos com base no histórico de consumo ou nas necessidades identificadas dos clientes.
- Canais de comunicação flexíveis: A empresa permite que os clientes escolham seus canais de comunicação preferidos, como e-mail, SMS ou notificações no aplicativo. Isso garante que eles tenham controle sobre como desejam receber as informações.
- Permissões de compartilhamento de dados: Como a empresa oferece serviços de valor agregado que requerem compartilhamento de dados, como planos personalizados ou recomendações de produtos, ela garante que os clientes concedam permissões específicas para o uso desses dados.
- Opção de cancelamento: Para facilitar o cancelamento da assinatura de comunicações, cada mensagem enviada inclui um link claro e fácil para os clientes se descadastrarem, respeitando sua escolha de não receber mais mensagens.
- Periodicidade de mensagens: A empresa dá aos clientes a opção de escolher a periodicidade das comunicações, assim limita a frequência das mensagens enviadas e evita a sobrecarga de informações e a irritação dos clientes.
- Proteção de dados: A empresa possui práticas de segurança cibernética robustas, como, criptografia e outras medidas para evitar vazamentos de dados.
- Transparência nas práticas de privacidade: A empresa disponibiliza uma política de privacidade clara e acessível, explicando como os dados são coletados, usados e protegidos. Isso ajuda a construir a confiança dos clientes.
Como sua empresa tem tratado a proteção dos dados?
Desde 2020, as empresas precisam adotar uma abordagem mais cuidadosa e responsável em relação aos dados que coletam e gerenciam, implementando medidas de segurança mais rigorosas para proteger os dados contra vazamentos e acessos não autorizados.
Sua empresa já está adequada à LGPD?
Ao entender que cada dado é mais do que uma simples informação, mas sim uma parte da identidade e da privacidade de cada pessoa, a LGPD ressalta a importância de tratarmos essas informações com o respeito e a cautela que merecem.
Por isso, podemos dizer que a adequação à LGPD não é apenas uma obrigação legal, mas uma oportunidade para as empresas demonstrarem compromisso com a transparência, a segurança e o respeito aos direitos dos clientes.
O caminho para a conformidade é um convite para uma jornada de responsabilidade compartilhada, onde empresas e indivíduos podem se unir para proteger a privacidade, promover a confiança e sustentar a integridade no mundo digital em constante transformação.
Gostou do conteúdo? Continue em nosso blog e veja mais temas importantes para promover a melhoria das estratégias comerciais e crescimento dos resultados do seu negócio. Aproveite para ler: Governança de TI: impulsionando o sucesso empresarial.