Já parou para pensar no número de empresas que ligam para oferecer um serviço ou produto com o qual você nunca possuiu nenhum relacionamento? Muitas vezes recebemos ligações de empresas de telefonia, crédito e outras, das quais nunca fomos clientes. Essas ligações visam a oferta de produtos ou serviços que, na maioria das vezes, não estamos interessados. Esse é um dos pontos que incentivaram o Brasil a criar a primeira Lei de Proteção de Dados Pessoais (LGPD). O outro ponto forte é a proteção contra vazamentos, acidentais ou propositais, que possam impactar negativamente os consumidores em decorrência da divulgação indevida de seus dados.
O que é a LGPD?
É a Lei que regulamenta o tratamento correto dos dados pessoais. Ela é necessária para garantir que dados pessoais não sejam utilizados de forma abusiva e que violem os direitos dos titulares, pessoas físicas como eu e você.
Nossa LGPD foi criada tendo como base o GDPR (Regulamento Geral de Proteção de Dados), desenvolvido no contexto da União Europeia e que vincula qualquer país que queira manter relações com os seus membros.
Quem deve se adequar a LGPD?
Qualquer empresa que realize o tratamento de dados pessoais. Um tratamento é qualquer operação, seja coleta, edição, arquivamento, backup, transferência, consulta e até exclusão. Isso mesmo! Qualquer operação que seja executada com dados pessoais está sujeita a aplicação da Lei.
O que são dados pessoais?
Dado pessoal é qualquer dado que seja vinculado a uma pessoa física, identificada ou que, com a combinação de informações, possa ser identificada. Por exemplo: endereço, e-mail, CPF, identidade, nome, endereço IP, entre outros. Mas fique atento! Há algumas categorias de dados que precisam ser compreendidas.
- Dado sensível: são dados que podem causar algum tipo de discriminação ou tratamento pejorativo, como dados relacionados à saúde, religião, filiação sindical, entre outros. Eles podem ser objeto de tratamento, mas geram uma obrigação de cuidado redobrado.
- Dados de pessoa jurídica: dados de empresas, que não estão incluídos na LGPD e portanto podem ser utilizados sem nenhum impedimento.
- Dados de pessoas físicas que se tornaram públicos: são aqueles que por algum motivo foram publicados pelo próprio titular, em uma rede social por exemplo, ou divulgados com justificativa legal, como é o caso do Portal da Transparência do Governo, que disponibiliza as informações de nome e remuneração dos servidores públicos. Estes também não estão sob proteção da LGPD.
- Dado anonimizado: é o dado que foi alterado para impedir a identificação de uma pessoa física e, portanto, não é protegido pela LGPD.
“Não preciso me adequar, minha empresa não trata dados pessoais”
Isso é quase impossível! Em algum momento a empresa precisará tratar dados pessoais, nem que seja o registro de seus funcionários. A Lei não se aplica somente a dados digitais, mas também a dados físicos. Um armário com documentos que contenham informações de funcionários ou clientes também são dados pessoais e precisam ser protegidos.
O que acontece com as empresas que possuírem dados vazados?
Em caso de vazamento de dados pode ser aplicada desde uma simples advertência até uma multa que pode chegar a 2% do faturamento bruto no ano, limitada a R$ 50 milhões por cada ocorrência. O valor da multa levará em conta diversos fatores como: a estrutura que a empresa possui para proteger os dados pessoais, os procedimentos tomados antes e depois do vazamento, se houve vantagem econômica com o ocorrido, se os dados vazados realmente eram necessários para a empresa e qual a situação financeira da organização. Além disso, a empresa que sofreu o incidente deve informar a cada um dos indivíduos que tiveram os dados vazados, ou, a depender do volume grande de impactados, promover comunicação em massa.
O que muda na relação empresa x cliente depois da LGPD?
A nova Lei não impede o tratamento de dados pessoais, apenas estabelece regras para que ele possa ser realizado de forma adequada. Para isso, você precisa vincular o tratamento a uma das hipóteses definidas pela LGPD, de acordo com o seu negócio. São várias hipóteses, sendo as principais:
Consentimento do titular
O titular é o dono dos dados, nesse caso o cliente. Para realizar qualquer tratamento a empresa deve solicitar a permissão para o titular. Essa permissão deve ter a opção de o titular concordar ou não e garantir que seja revisada sempre que o cliente quiser.
Por exemplo: se uma empresa compartilha dados de seus clientes com outras empresas, ela deve criar uma documentação para registrar essa autorização de seus clientes e compartilhar somente os dados daqueles que permitiram o compartilhamento.
Cumprimento de contrato
Quando a empresa possui um contrato com o cliente que, para ser cumprido, necessita do uso de dados pessoais, não será preciso coletar o consentimento do titular, visto que, sem autorização, a obrigação contratual não pode ser executada. É o caso do banco que, para fornecer conta corrente ao cliente, precisa de informações como CPF, endereço, telefone, etc. Para isso, o cumprimento do contrato justifica o tratamento de dados.
Caso a empresa não tenha algum dos requisitos apresentados acima, é necessário consultar a Lei na íntegra para verificar se o tratamento de dados se enquadra em outra hipótese.
Como proteger os meus dados?
Toda empresa deve criar mecanismos para resguardar os dados pessoais que trata. A Lei não chega ser específica em relação a termos técnicos, deixando a cargo das organizações a implementação de práticas de segurança. Cabe à Autoridade Nacional de Proteção de Dados (ANPD) a especificação desses pontos, sendo a responsável pela fiscalização e orientação sobre a LGPD.
São procedimentos básicos o treinamento dos funcionários sobre a privacidade e proteção de dados, a implantação de controles de acesso a arquivos físicos e lógicos, entre outros, lembrando que tudo o que for realizado em relação à privacidade e proteção de dados deve ser devidamente documentado.
Como começar?
É importante tratar somente os dados que realmente são necessários para a organização. Pense em um cadastro de clientes no qual contenha a informação sobre a religião. Esse dado é realmente importante para as rotinas da empresa? Elimine todos os dados desnecessários mantendo somente aquilo que realmente é imprescindível.
Caso sua empresa tenha site, verifique se está em conformidade com a política de Cookies e descreva ao visitante como os utiliza, buscando sempre o aceite dos usuários. Somente realize esse tratamento caso o aceite seja dado.
A Lei já está aí e a sua aplicação se tornou obrigatória desde agosto de 2020. Há muitos requisitos que as empresas devem atender e não temos tempo a perder. Desde rotinas a sistemas, todos devem passar por ajustes para atender a nova legislação.
Pensando nisso, nossas soluções são criadas tendo como base a lgpd e podem auxiliar a sua empresa a estar um passo à frente dos concorrentes. Conheça um pouco mais sobre os nossos produtos.
Ainda bem que esta lei veio para poder frear o compartilhamento indevido de dados pessoais das pessoas. Infelizmente muitas empresas ainda não respeitam a lei !