Após vários anos de debate, seguindo a tendência de mais 120 países que já têm uma lei desse tipo, foi sancionada no Brasil, dia 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), conhecida como LGPD. Esse foi um grande marco na segurança digital, visto que regulamenta o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e personalidade.
A previsão é de que a Lei comece a valer em agosto deste ano. No entanto, há uma proposta de prorrogação para agosto de 2022, que deverá ser aprovada pelo Congresso Nacional. Segundo o autor da proposta, o deputado Carlos Bezerra (MDB-MT), ainda que a Autoridade Nacional de Proteção de Dados (ANPD) seja instalada o mais rápido possível, não haverá tempo hábil, na vigência atual, para que todos os tópicos da regulamentação sejam debatidos pela população e aprovados pelo órgão.
Em um âmbito geral, as empresas têm muitas dúvidas sobre o assunto que precisam ser sanadas. Pensando nisso, trouxemos informações sobre a implantação da LGPD, já que ela determinará o funcionamento e operação das empresas, assim como as regras de coleta, tratamento, armazenamento e compartilhamento de dados pessoais, deixando a proteção de dados ainda mais relevante. Continue a leitura e confira!
1. Quais tipos de dados são considerados pela Lei de Proteção de Dados Pessoais?
Os dados considerados pela LGPD são de identificação pessoal, como nome, endereço, telefone, e-mail, CPF, entre outros, assim como dados identificáveis, isto é, dados que, mesmo que não identifiquem diretamente uma pessoa, podem revelar sua identidade assim que são cruzados com outras informações disponíveis.
Há também o dado pessoal sensível, que diz respeito à convicção religiosa, opinião política, saúde ou vida sexual, dado biométrico etc. Esses dados precisam ter uma atenção especial quanto à sua guarda e segurança.
2. Quais as áreas mais afetadas?
As áreas mais afetadas são aquelas que lidam com recolhimento e com armazenamento de todos os tipos de dados pessoais. Marketing vai ser muito atingido, afinal de contas, as campanhas de Inbound Marketing, experiência do usuário, políticas de privacidade, geração de leads e várias outras envolvem a captação, ou ainda o compartilhamento, de informações de usuários ou de clientes.
A área de Recursos Humanos também vai sofrer impactos com a Lei. Logo, as empresas terão que colher somente os dados considerados essenciais e necessários para concluir o processo, não podendo fazer questionamentos especulativos.
Também vai ser necessária uma atenção especial no armazenamento de currículos para futuros processos seletivos. Além disso, o departamento jurídico das empresas vai precisar rever seus processos, já que terá que atuar em conjunto com as outras áreas.
3. Quando a Lei não se aplica?
A Lei Geral de Proteção de Dados Pessoais não vai ser aplicada em alguns casos de tratamento, que podem incluir coleta, recepção, produção, classificação e processamento. São eles:
- quando realizado por pessoa natural para fins exclusivamente particulares e não econômicos, como construir uma árvore genealógica da família;
- com objetivos acadêmicos, jornalísticos e artísticos;
- quando realizado exclusivamente para fins de defesa nacional, segurança pública, atividades de investigação e repressão de infrações penais e segurança do Estado;
- quando provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência — desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
4. Qual vai ser o órgão responsável por aplicar e fiscalizar o cumprimento da LGPD?
Uma das recorrentes dúvidas sobre a Lei de Proteção de Dados Pessoais é não saber de onde vem a fiscalização. Bom, a LGPD prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD). Esse, portanto, vai ser um órgão da administração pública federal vinculado à Presidência da República, com total independência administrativa, mandato de 4 anos para os membros do Conselho Diretor e estabilidade de seus dirigentes, contando ainda com autonomia financeira que vai aplicar e fiscalizar o cumprimento da lei.
5. A Lei vale apenas para internet?
Outra dúvida bastante comum a respeito da Lei é sobre seu campo de atuação. A LGPD é aplicável para qualquer operação de tratamento realizada por pessoa natural ou jurídica, desde que os dados sejam coletados dentro do Brasil e sua operação de tratamento também aconteçam no território nacional, independentemente se foram obtidos em meios virtuais ou físicos, de forma offline ou online.
Lembrando que os dados coletados offline são aqueles obtidos sem o uso de procedimentos automatizados, como ao preencher cadastros físicos em papéis ou fichas. Por sua vez, os dados pessoais coletados online são obtidos pelos métodos virtuais, como nos cadastros preenchidos para usar aplicativos, redes sociais, contratar serviços, fazer compras e muitos outros.
6. O que vai ser necessário fazer com os dados para cumprir a Lei?
Com a vigência da Lei, toda empresa que fizer a coleta de dados pessoais terá que ter uma base legal para isso. O consentimento é o mais discutido, mas não é a única base legal. O mais importante para as empresas é que vai ser necessário comunicar às pessoas para quais finalidades as informações serão usadas e pedir a autorização prévia para fazer a coleta, assegurando que elas tenham o direito de escolher não informá-los.
Além disso, a empresa terá que garantir o direito ao esquecimento, ou seja, a apagar todos os dados de uma pessoa quando ela pedir. As empresas terão também que zelar pela proteção e segurança desses dados, usando sistemas seguros e adotando os melhores processos e as melhores práticas para isso.
7. O que acontece com os vazamentos de dados?
O vazamento não vai mais passar despercebido e a corporação terá que tomar as providências adequadas para evitar danos aos titulares dos dados. A Lei de Proteção de Dados Pessoais faz com que seja obrigatório o aviso à Autoridade Nacional de Proteção de Dados a respeito de incidentes de segurança de informação. Além disso, a Lei impõe às organizações a responsabilidade civil pelos danos que vierem a causar pelo uso indevido dos dados.
Mesmo que a implementação da Lei seja prorrogada para 2022, é importante lembrar que ela vai exigir a necessidade de adequação por parte dos negócios. Por isso, é fundamental que as empresas usem o tempo antes de a LGPD entrar em vigor para começarem a instituir políticas e criar planos de ação para o cumprimento das novas regras.
Muito mais do que alterar processos, é necessário rever o modo de pensar e a cultura das pessoas que trabalham direta ou indiretamente com dados de clientes. A nova Lei vai garantir mais proteção para as pessoas físicas, além, é claro, de oferecer mais agilidade e confiança para as empresas. É importante mencionar, ainda, que a partir do momento em que o Brasil determina regras com base em leis internacionais, tem-se uma abertura muito maior para que investidores de vários países cheguem aqui.
Como você pôde notar, a Lei vem para mudar a maneira como as empresas lidam com os dados dos clientes. Essa nova demanda torna ainda mais importante e urgente o investimento em segurança da informação, pois assim os empreendimentos vão assegurar a proteção dos dados que produzem e que coletam.
Por fim, vale destacar que a punição pelo descumprimento da Lei de Proteção de Dados Pessoais vai depender da gravidade do contexto, sendo que o responsável pode receber advertências e até mesmo uma multa equivalente a 2% do seu faturamento, com limite em R$ 50 milhões.
E aí, você já começou o processo de adequação a essa nova realidade na sua empresa? Se ainda está com dúvidas sobre a LGPD, não perca tempo e deixe seu comentário no post para que possamos ajudar você!
