Com a “era da informação”, toda a população modificou drasticamente a forma de pensar, agir e trabalhar. Os meios digitais tornaram as práticas cotidianas dos cidadãos brasileiros muito mais dinâmicas. Por isso é fundamental entender o que é a LGPD e como aplicar na sua empresa.
É fácil notar que os dados pessoais são utilizados pelas plataformas digitais de forma tão ampla que sequer podemos definir para onde vai e quem utiliza de fato todas as informações que voluntariamente consentimos. Não é mesmo?
Um exemplo prático é a utilização de dados pessoais por instituições financeiras e operadoras de telefonia. Quantas vezes nos deparamos com ligações de bancos ou companhias telefônicas dos quais nunca fomos clientes?
Várias! Isso significa que os dados pessoais são repassados frequentemente e sequer sabemos quem está de fato acessando, usufruindo e possivelmente transmitindo.
Também podemos salientar as redes sociais. Nós colocamos nossos dados no Facebook, Instagram, LinkedIn, facilmente. E sabemos o que fazem com tais informações? Certamente que não.
Nesse sentido, destaca-se a ocorrência de hackeamento de informações, golpes pelo WhatsApp, invasões em contas digitais de bancos, dentre outras. São crimes cibernéticos (realizados nos meios digitais) decorrentes do mau uso dos dados pessoais.
A partir da vigência da LGPD, alguém será responsabilizado por isso. E pior, pode ser a sua empresa, se não for adequada às novas regras.
Ou seja, agora não será mais possível a coleta de dados por empresas sem que ocorra o planejamento minucioso de tratamento de dados do titular, pois estão regulamentadas diversas sanções que, se não observadas e não forem adequadas conforme dispõe a LGPD, causarão sérios prejuízos às organizações.
Para você entender o que é LGPD e como aplicar na sua empresa, especialmente você que é empresário, não deixe de conferir nosso post a seguir e entenda a necessidade de se adequar às novas normas.
O que é LGPD – Lei Geral de Proteção de Dados Pessoais
A LGPD (Lei nº 13.709, de 14 de agosto de 2018) foi promulgada para proteção das garantias fundamentais de todos os indivíduos, principalmente a liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A lei passou a regulamentar o tratamento físico ou digital de dados pessoais das pessoas naturais, definindo uma série de regras que devem ser observadas.
Tais normas visam principalmente a proteção da privacidade e a segurança dos dados, o que explicaremos com detalhes a seguir.
Vale ressaltar desde logo que todas as empresas sofrerão grandes impactos com a lei, principalmente as que operam digitalmente como a coleta de dados, como muitas startups.
Muitas vezes os dados pessoais do usuário, são o principal produto e a base de informações necessária para desenvolvimento do negócio, como no caso das redes sociais.
Além disso, as startups, assim como outras empresas, coletam e guardam inúmeros dados pessoais em sua trajetória. Agora, deverão lidar com os dados dos consumidores, investidores, fornecedores, funcionários, etc.
Daí, você já pode perceber que a LGPD veio para mudar a utilização dos dados, sendo imprescindível que você conheça e prepare sua empresa.
Qual o objetivo da LGPD?
O principal objetivo da LGPD é garantir proteção da liberdade e privacidade das pessoas físicas, bem como a segurança de seus dados pessoais. Em razão disso, a lei prevê normas para responsabilizar todos os envolvidos na troca e manuseio de informações.
As novas regras visam a proteção dos dados e o impedimento do “mau uso” dos dados pessoais, de forma que a garantir os direitos fundamentais da personalidade, liberdade e privacidade do cidadão.
Por tais razões, apresentamos de forma detalhada como reconhecer os tipos de dados pessoais, como implementar a LGPD na sua empresa e quais são as sanções pelo descumprimento das normas.
Como surgiu a nova LGPD e por que isso é importante?
A LGPD surgiu baseada em uma norma do exterior, você sabia?
Principalmente pela expansão da tecnologia e, considerando o fácil acesso aos dados pessoais dos indivíduos, a União Europeia, atenta a tais fatos, criou a GDPR, no ano de 2016, que entrou em vigor em 2018.
A GDPR – General Data Protection Regulation regulamenta, então, o uso e segurança de dados.
Tal norma se aplica a qualquer empresa, de qualquer lugar do mundo, que processe dados dos cidadãos da União Europeia.
Desta forma, empresas brasileiras que têm atuação no exterior devem se preparar para se adequar às normas regulamentadas tanto pela União Européia quanto pelo Brasil.
A LGPD, portanto, foi regulamentada com base na GDPR, possuindo os mesmos princípios, ou seja, voltados à proteção dos dados pessoais, permitindo que as pessoas sejam donas dos próprios dados, assumindo o controle do uso deles.
Os consumidores terão conhecimento do uso e finalidade dos dados pessoais, devendo consentir com o manuseio das informações, independentemente do meio, se físico ou digital.
A quem se aplica a LGPD?
A Lei prevê que as normas relativas ao tratamento de dados devem ser observadas pelas pessoas naturais e jurídicas, de direito público e privado. Ou seja, todos estão sujeitos à obedecer a norma.
Porém o objetivo é sempre a proteção da personalidade da pessoa natural. Portanto, quando se fala em dados pessoais, são sempre relativos à pessoa física, e não jurídica.
Vale citar algumas exceções, pois a LGDP não se aplica quando os dados são utilizados (tratados):
1) por pessoa natural para fins exclusivamente particulares e não econômicos;
2) para fins exclusivamente jornalístico ou artísticos;
3) para fins acadêmicos, desde que preenchidos os requisitos da lei;
4) para outras hipóteses legais, tais como segurança pública, defesa nacional.
- Tratamento de Dados Pessoais: o que é?
Tratamento de dados é um conceito amplo que inclui qualquer operação realizada com os dados do titular, inclusive a simples coleta, acesso ou arquivamento físico e digital. Titular é a pessoa natural proprietária dos dados.
Alguns exemplos de condutas que correspondem ao tratamento de dados são:
- coleta: ato de recolher dados para algum fim;
- recepção: receber dados;
- transmissão: ato de movimentar os dados entre dois pontos por meio de utensílios digitais telefônicos, elétricos, dentre outros;
- classificação: organizar os dados de forma criteriosa;
- utilização: aproveitamento de dados com finalidade específica;
- distribuição: distribuir dados mediante forma criteriosa;
- arquivamento: manter armazenado o dado com validade expirada ou após o prazo de vigência;
- armazenamento: conservar em local específico o dado;
- eliminação: excluir o dado;
- modificação: alterar o dado.
- Como saber quem é o responsável pelo tratamento?
A lei identifica dois agentes principais que serão responsáveis pelo tratamento dos dados:
- Controlador: é a pessoa ou empresa que está com os dados do titular. Mais tecnicamente, é a pessoa física ou jurídica, de direito público ou privado, com poder de decisão sobre o tratamento dos dados pessoais; e,
- Operador: é a pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento dos dados em nome do controlador. Ou seja, normalmente empresa contratada para prestar algum tipo de serviço ao controlador.
- Quando e para quem a lei brasileira se aplica ao tratamento de dados?
A LGPD aplica-se a qualquer operação de tratamento realizada pela pessoa ou empresa, nacional ou internacional, desde que::
- a operação seja realizada no território nacional;
- a finalidade do tratamento seja de oferta ou oferecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e,
- a coleta dos dados tenha ocorrido em território nacional (para isso se caracterizar, basta que o titular esteja no Brasil).
Quais são os dados pessoais considerados pela LGPD e que você precisa adequar na sua empresa?
A LGPD, para definir os dados pessoais, baseou-se na Lei nº 12.527/2011, que regulamenta os procedimentos a serem observados pelo poder público, com o fim de garantir o acesso a informações.
Segundo essa lei, informação pessoal está relacionada a uma pessoa física, identificável ou identificada.
No entanto, algumas informações pessoais não estão inseridas na proteção legal. Busca-se proteger especialmente aquelas que possam violar o direito de personalidade de qualquer indivíduo.
A LGPD acompanhou a regulamentação da lei do acesso a informações, definindo os tipos de dados e qual o nível de segurança a ser considerado para cada um. Destaca-se:
Dados pessoais não sensíveis (públicos): são as informações pessoais de cada pessoa identificada ou identificável, como RG, CPF, endereço, nome completo, telefone.
A pessoa é identificada quando o dado, por si só, é capaz de determiná-la, como o CPF. A pessoa e identificável, quando o dado, em conjunto com outras informações, podemos determiná-la. Por exemplo: o código de barras de um produto, leva à nota fiscal que leva ao comprador.
Dados pessoais sensíveis: são aqueles relacionados às características físicas ou comportamentais, ou seja, à biologia ou escolhas da pessoa, como: religião, origem racial e étnica, opinião política, dados referentes à saúde e vida sexual. Informações que podem expor uma pessoa.
Dados anonimizados: são dados relativos ao titular que passaram por técnicas, direta ou indiretamente, de remoção ou modificação, de modo a não permitir a identificação do titular.
Para cada tipo de dado, a lei determina uma forma de tratamento. A ideia é, sempre que possível, o operador ou controlador dos dados, busque a anonimização. Existindo a possibilidade de reversão do processo que alcançou a anonimização do dado, este processo deixa de ser considerado como anonimizado e passa a ser denominado “pseudonimização”, passando a ter técnicas específicas para o tratamento adequado.
É importante identificar, antes de tudo quais os tipos de dados que você trata como pessoa natural ou física, prosseguindo ao tratamento adequado perante os titulares, ou seja, garantindo-lhes direitos.
Explicaremos adiante algumas formas de prosseguir nessa fase.
Como implementar a LGPD na minha empresa?
Aí vem a principal dúvida: como implementar na sua empresa e adequar o tratamento de dados nos termos da LGPD?
De início, o que é preciso ter em mente diz respeito à abrangência da LGPD de acordo com o porte da sua empresa.
Isso porque todos os setores de uma empresa serão diretamente afetados, pois os primeiros dados pessoais que estão em tratamento em uma corporação são relativos aos seus próprios funcionários, gestores, sócios, investidores.
Além da equipe integrante da empresa, existem os dados de consumidores, fornecedores e etc.
Por isso, a LGPD vai afetar todo tipo de negócio.
Para adequar-se, tenha em mente quais são os direitos dos titulares dos dados e o que eles exigem da sua empresa na prática:
DIREITOS DOS TITULARES DE DADOS | PROVIDÊNCIAS A SEREM TOMADAS PELO OPERADOR/CONTROLADOR |
Consentimento: o titular tem o direito de consentir, negar ou revogar autorização concedida a respeito dos tratamentos de dados, salvo os casos de dispensa previstos na lei. | Para obter a confirmação inequívoca do tratamento a ser realizado, tenha um canal de atendimento capaz de informar ao titular todos os dados e quais os tratamentos realizados. |
Acesso: o titular tem direito ao acesso facilitado do tratamento dos dados pessoais | Permita que o titular tenha acesso aos seus dados, inclusive aqueles que forem gerados ao longo da relação, de forma clara e adequada. Por exemplo, informações novas obtidas com o uso de um aplicativo ou a prestação de serviço. |
Correção: o titular dos dados tem o direito de exigir que as informações sejam utilizadas para o fim exato que se destinam, cujo consentimento tenha sido fornecido, salvo hipóteses de dispensa. | É importante criar um canal de comunicação para receber reclamações e corrigir dados incompletos, inexatos ou desatualizados. |
Anonimização, bloqueio ou eliminação: o titular dos dados tem direito à anonimização (não identificação) das informações pessoais, bloqueio ou destruição daquelas que não estão sendo utilizadas para o fim que se destinam, salvo as exceções legais. | Aplicar estratégias e ferramentas técnicas de processamento de dados para anonimizar os dados pessoais, bem como modificá los ou eliminá-los. |
Portabilidade mediante consentimento: o titular dos dados pessoais tem direito à portabilidade, ou seja, compartilhamento dos dados pessoais a terceiro, desde que consentido, para finalidade específica. | Obter consentimento, preferencialmente por escrito, do titular dos dados, antes de proceder com o compartilhamento dos dados com outro fornecedor, a fim de prosseguir com a portabilidade. |
Eliminação: o titular dos dados tem direito de exigir a eliminação das informações que perderam a validade/vigência ou aquelas que não se prestam para a finalidade consentida, salvo as exceções legais. | Identificar os dados irregulares ou com prazo de vigência expirado, a fim de promover a eliminação. |
Informação sobre compartilhamento: o titular dos dados tem o direito de conhecer de forma inequívoca a possibilidade ou necessidade de compartilhamento de suas informações, devendo manifestar o consentimento. | Identificar as entidade públicas ou privadas com as quais compartilhou os dados, mantendo o titular informado. |
Informação sobre a negativa de consentimento: o titular tem o direito de ser informado sobre a possibilidade de negar o consentimento para determinados tratamento de dados. | É necessário informar ao titular que ele tem o direito de negar os dados que dependem de seu consentimento, bem como explicar as consequências da recusa. |
Revogação de consentimento: o titular tem direito de revogar consentimento anterior concedido, a qualquer tempo. | É necessário eliminar os dados do titular que tenha revogado o seu consentimento, sempre que este for imprescindível para o tratamento. |
Compreender os direitos do titular e as providências que a empresa deve tomar para atender a cada um deles, é o primeiro passo prático para que o empreendedor possa pensar na implantação da LGPD.
Podemos dar alguns exemplos:
- As loteadoras, incorporadoras e construtoras: coletam dados de fornecedores, funcionários, mas principalmente de consumidores, mantendo-os armazenados para fins de marketing, transferindo a empresas parceiras para prestação de serviços. É necessário identificar os dados coletados e propiciar o tratamento correto, por exemplo, adequando seus contratos para obter expresso consentimento dos titulares e os informando a respeito do tratamento de seus dados;
- Startups e ecossistema: possuem dados de investidores, sócios, parceiros, consumidores. Veja abaixo dicas para este ramo de negócio que certamente também servem para sua empresa.
- Estacionamentos: necessitam recolher dados pessoais dos consumidores que deixam seus veículos no espaço para garantir a segurança do bem em um determinado período mediante pagamento, como contraprestação. A coleta dos dados do dono do veículo e demais condutas utilizadas com as informações do consumidor para execução do negócio fazem parte do tratamento de dados que devem ser realizados adequadamente, principalmente após a saída do veículo do estacionamento.
Assim, é importante adotar um sistema de controle dos dados coletados, bem como para eliminação, quando não forem mais utilizados para a finalidade consentida pelo titular. Buscar arquivar por escrito o consentimento do proprietário do veículo em um termo escrito, por exemplo, é uma medida possível de ser adotada.
- Costureiras: recolhem além dos dados dos clientes, medidas e características de cada pessoa. Por isso, tais dados devem ter o tratamento correto, especialmente após a entrega efetiva da prestação do serviço de costura. Questões a serem analisadas: quais os dados necessários para execução do serviço; como serão utilizados e para qual finalidade; o que será feito após a entrega efetiva do serviço para o cliente. É importante buscar canais e elaborar termos escritos (contratos) para que o cliente manifeste consentimento sobre o tratamento das informações a ser realizada.
- Revendedores de cosméticos: precisam de informações para enviar os pedidos aos clientes e, além disso, muitas vezes coletam características físicas de clientes para venda dos produtos de pele e beleza no futuro, por exemplo. Nestes tipos de empreendimento, é necessário identificar os tipos de dados coletados para propiciar o melhor tratamento, adequando-se à LGPD, averiguando a possibilidade de adotar contratos ou termos escritos, buscando resguardar os direitos do titular (consentimento, informação da finalidade e do prazo de uso dos dados pessoais e etc);
O objetivo deste artigo, voltado aos gestores e responsáveis pelas empresas, é apresentar o tema da LGPD e as soluções para sua observação de forma simples e prática.
Porém o tema é árduo e tem muitas novidades. Conforme comentado, as empresas precisam resguardar tanto os dados de seu próprio pessoal, quanto de terceiros.
Para isso muitas vezes será necessário o apoio de especialistas na área, tendo em vista a complexidade do tratamento de dados, as exigências da lei e o conhecimento técnico envolvido no assunto.
Em palestra da nossa parceira Assertiva, o advogado Leandro Miranda compartilhou sua visão prática para a adequação à lei, você pode acessar o trecho do vídeo aqui:
Os riscos da má implementação são graves, com multas que podem chegar a 50 milhões de reais por infração. Por isso, previna-se.
Quem vai fiscalizar a LGPD?
Mas, e aí, quem vai fiscalizar se as empresas estão cumprindo as normas da LGPD?
Além de definir o tratamento de dados, a lei criou um órgão para fiscalização: Autoridade Nacional de Proteção de Dados – ANPD.
Assim, a ANPD será responsável por exigir relatórios às empresas acerca dos dados em tratamento, bem como fiscalizar por outros meios se as normas estão sendo cumpridas.
Nesse ponto, é importante ressaltar que as empresas deverão adequar-se inserindo um setor responsável pela segurança e tratamento dos dados, a fim de manter as exigências da LGPD em dia.
Percebe-se que os custos às empresas, a partir da vigência da lei, certamente serão maiores. Por outro lado, a segurança dos dados trará segurança jurídica, inclusive, evitando demandas judiciais futuras por consequência do “mau uso” de informações pessoais.
Quais as consequências do descumprimento da lei?
Destacamos acima que as consequências pelo descumprimento da LGPD são graves. E quais são elas?
Antes de responder, destacamos que, hoje, um dos maiores motivos de falência ou recuperação judicial de empresas, diz respeito ao descumprimento de normas trabalhistas.
Os custos relativos a não observância das regras previstas nas Consolidações das Leis Trabalhistas – CLT, ou seja, a falta de pagamento e de direitos aos funcionários, pode levar uma empresa ao encerramento das atividades.
Se tal ponto for observado, dificilmente a empresa terá medo de fechar por dívidas trabalhistas. Não é mesmo?
A lógica é semelhante para a LGPD.
Se a empresa realizar a implementação corretamente e buscar manter/atualizar os dados de forma que estejam seguros e adequados, os prejuízos serão evitados.
A Lei prevê multas altíssimas nos casos de descumprimento, podendo somar até 2% sobre o faturamento da empresa ou o limite de R$ 50 milhões de reais por infração cometida.
Ainda, permite-se a aplicação de multa diária dentro das mesmas proporções citadas acima.
É possível perceber que a adaptação das empresas é necessária e imprescindível para a continuidade no mercado, devendo garantir e proteger os dados em tratamento.
LGPD aplicada para Startups, Coworkings e para sua empresa
Falamos muito sobre a abrangência da LGPD para todos os tipos de negócios, tanto de pequeno, quanto médio e grande porte.
Porém, as startups e seu ecossistema merecem uma especial atenção, por trazerem perspectivas e inovações de mercado que tendem a prevalecer como novo paradigma de modelo de negócios. Claro que todo o conteúdo também pode ser aproveitado para as demais empresas!
E o que são startups?
As startups são companhias inovadoras que projetam um negócio escalável, em um curto ou médio período de tempo. Preferencialmente são digitais, considerando o modelo de negócio escalável e a amplitude do alcance de consumidores pela tecnologia.
- Dicas práticas para adequação das Startups à LGPD
As startups empregam tecnologia em seu modelo de negócios, desenvolvendo sites e aplicativos. Quando coletam os dados dos clientes, possuem interesse em manter e aprimorar as informações. Para isso, precisam atentar-se a dois pontos chaves da lei: consentimento e finalidade.
A finalidade determina que o tratamento de dados seja realizado para propósitos legítimos, específicos, explícitos e informados ao titular.
Isso significa, sempre que possível, em seus termos de uso, ou mesmo nas suas outras ferramentas, buscar obter o consentimento do cliente para tratamento dos dados.
A finalidade pode ajudar a empresa a permanecer com os dados por tempo mais longo ou mesmo indeterminado. Um exemplo muito eficiente é quando o cliente autoriza o arquivamento de seus dados para ser alvo de marketing, recebendo futuras promoções e ofertas.
Então, vamos às dicas para implementação da LGPD na prática:
- Identificar uma das bases legais para tratamento de dados pessoais: A LGPD prevê hipóteses de tratamento sem a necessidade de consentimento, como por exemplo, o legítimo interesse do controlador. Nesse caso, a inovação e negócio da startup podem prevalecer frente ao direito de privacidade.
- Regularizar o tratamento do dado que não tem base legal, ou seja, que depende de consentimento. Busque separar esse “pacote” para analisar com mais calma a necessidade dos dados e, se forem importantes, definir estratégias para regularizar o consentimento. Por exemplo, renovando termos de uso e política de privacidade do site ou aplicativo nos novos acessos.
- Tornar anônimos os dados, quando possível (dados anonimizados): Adotar medidas que tornem os dados do titular não identificáveis ou, na impossibilidade, averiguar a possibilidade de eliminação/destruição;
- Mapear terceiros com quem compartilha dados pessoais e realizar adequações nos contratos com esses operadores e também com os titulares.
- É importante averiguar se os princípios da LGPD estão sendo considerados, como: i) especificação da finalidade do uso, pois o titular deve conhecer o motivo do uso de seus dados; ii) comunicação ao titular, se o tratamento ocorre desde antes da promulgação da LGPD; pois é preciso informar o titular do tratamento de dados se há manuseio de informações desde antes da LGPD iii) garantia da segurança e transparência do tratamento. Nesse ponto, é recomendável adequar contratos ou termos de confidencialidade, com claras informações sobre o tratamento de dados e a segurança destes; e, por fim, iv) delimitação da abrangência do tratamento dos dados, buscando formas para utilização os dados considerados extremamente pertinentes, eliminando informações que possam ser desnecessárias;
Aproveitando o gancho das startups, gostaríamos de abordar também a adequação LGPD para os coworkings, que são figuras importantes dentro desse ecossistema.
- Para o coworking
Os coworkings são espaços compartilhados de trabalho oferecidos ao público, com diversos tipos de planos para utilização dos espaços, com prazo certo de vigência.
Importante lembrar que todos os princípios, direitos e práticas já comentados valem para os coworkings.
As medidas iniciais são semelhantes. Observe:
- Da mesma forma que as startups, recomenda-se que o primeiro passo seja a identificação da base legal que permite o tratamento (utilização e manutenção dos dados);
- Em segundo momento, buscar adequar os contratos, observando os princípios da LGPD e direitos do titular, inserindo cláusulas quanto ao consentimento (revogação, modificação, eliminação de dados), bem como tornando clara a finalidade do tratamento dos dados, o período de vigência para utilização dos dados, as formas de acesso do titular, as condições (se existirem) para execução do negócio, bem como esclarecendo sobre compartilhamento/transmissão/distribuição de informações. Por exemplo, quando houver mais de uma sede do coworking, será importante o compartilhamento de dados para benefício do próprio cliente;
- Delimitar o tratamento de dados para o mínimo necessário, com fins restritos, evitando abrangência de informações não pertinentes e sem necessidade de manuseio; e,
- Verificar a necessidade de tratamentos de dados especiais, como aqueles que são considerados sensíveis, propiciando as medidas necessárias para propiciar o correto tratamento, segundo a LGPD.
- Deixar claro quando o armazenamento dos dados destina-se ao apoio e promoção de suas atividades, isto é, para fins de marketing.
Por fim, não menos importante, é essencial esclarecer que, para todos os tipos de negócio, devem ser avaliados os riscos relativos aos dados que serão tratados.
Isso significa que alguns dados, ao serem tratados (coletados, armazenados, distribuídos e etc), podem correr riscos como:
– acesso não autorizado;
– modificação não autorizada;
– perda ou roubo;
– remoção não autorizada;
– informação insuficiente sobre a finalidade do tratamento dos dados;
– ausência de consentimento;
– dentre outras.
Assim, sua empresa será responsável pelos danos que os titulares venham a sofrer em decorrência de crimes cibernéticos, hackeamento, perda de informações.
A análise dos riscos também será parte do processo de adequação à LGPD como forma preventiva de danos aos titulares.
Agora que você entende as consequências e necessidades de se adequar à LGPD, percebe que a implementação na sua empresa não será um processo fácil. Recomendamos, por tal razão, que você seja orientado e assessorado por um especialista nesta transição.
Ficou com dúvidas? Deixe seu comentário, será um prazer lhe auxiliar nessa jornada.