Já parou para pensar no número de empresas que ligam para oferecer um serviço ou produto ao qual você nunca possuiu nenhum relacionamento? Muitas vezes recebemos ligações de empresas de telefonia, crédito e outros, aos quais nunca fomos clientes. Essas ligações visam a oferta de produtos ou serviços onde na maioria das vezes não estamos interessados. Esse é um dos pontos que incentivaram o Brasil a criar a primeira Lei de Proteção de Dados Pessoais (LGPD). O outro ponto forte é a proteção contra possíveis vazamentos que possam impactar negativamente os consumidores, onde os seus dados são divulgados de maneira incorreta, disponibilizando essas informações para qualquer pessoa.
O que é a LGPD?
É a Lei que regulamenta o tratamento correto dos dados pessoais. A principal inspiração veio da Europa, onde já possui uma Lei em andamento e com severas punições para as organizações que não cumprem. A LGPD é necessária para garantir que dados pessoais não sejam comercializados ou compartilhados sem autorização. Além de garantir que onde estiverem sendo armazenados estarão o mais protegido possível. Essa Lei se fez necessária devido à pressão exercida pela Europa para que outros países tenham diretrizes sobre a proteção de dados pessoais. Caso determinado país não possua nenhuma regulamentação similar a Lei europeia, será vetada a transferência de dados pessoais com esse país.
Quem deve se adequar a LGPD?
Qualquer empresa que realize o tratamento de dados pessoais. Um tratamento é qualquer operação, seja coleta, edição, arquivamento, backup, transferência, consulta e até exclusão. Isso mesmo! Qualquer operação que seja executada com dados pessoais está sujeita a aplicação da Lei.
O que são dados pessoais?
Dado pessoal é qualquer dado que seja vinculado a uma pessoa física, ao qual seja possível identificar ou tornar identificável o dono daquele dado. Por exemplo: endereço de e-mail, CPF, identidade, nome, endereço IP, entre outros. Alguns dados pessoais são considerados sensíveis. Esses dados possuem uma rigidez maior por parte da Lei e devem possuir atenção redobrada, pois em caso de tratamento indevido as sanções aplicadas a empresa poderão ser mais severas. Por exemplo: dados relacionados à saúde, religião, filiação sindical, entre outros. Dados de pessoa jurídica e dados de pessoas físicas que se tornaram públicos não são considerados pessoais. Dados pessoais que se tornaram públicos são aqueles que por algum motivo foram publicados pelo titular, em uma rede social por exemplo, ou divulgados por alguma base legal, como por exemplo os portais dos governos que disponibilizam as informações de nome e remuneração dos servidores públicos.
“Não preciso me adequar, minha empresa não trata dados pessoais”
Isso é quase impossível! Em algum momento a empresa precisará tratar dados pessoais, nem que seja o registro de seus funcionários. A Lei não se aplica somente a dados digitais, mas também a dados físicos. Um armário com documentos que contenha informações de funcionários ou clientes também está previsto na Lei.
O que acontece com as empresas que possuírem dados vazados?
Em caso de vazamento de dados pode ser aplicada desde uma simples advertência até uma multa que pode chegar a 2% do faturamento bruto no ano ou R$ 50 milhões (o que for menor) por cada ocorrência. O valor da multa levará em conta diversos fatores como: a estrutura que a empresa possui para proteger os dados pessoais, os procedimentos que foram tomados após o vazamento, se houve vantagem econômica com o ocorrido, se os dados vazados realmente eram necessários para a empresa e qual a situação financeira da organização. Além disso, a empresa que teve os dados vazados deve informar a cada um dos indivíduos que tiveram os dados vazados, caso seja um volume muito alto, poderá fazer mediante comunicação em massa.
O que muda na relação empresa x cliente depois da LGPD?
A nova Lei não extingue o tratamento de dados pessoais, apenas estabelece regras para que ele possa ser realizado. Para isso é necessário cumprir ao menos um dos requisitos estabelecidos pela Lei, abaixo serão destacados os 2 principais e mais utilizados:
Consentimento do titular
O titular é o dono dos dados, nesse caso o cliente. Para realizar qualquer tratamento a empresa deve solicitar a permissão para o titular. Essa permissão deve ter a opção de o titular concordar ou não. Por exemplo: se uma empresa compartilha dados de seus clientes com outras empresas, ela deve criar uma documentação para registrar essa autorização de seus clientes e compartilhar somente os dados daqueles que permitiram o compartilhamento.
Base legal
Não é necessário o consentimento do titular quando há uma base legal. Por exemplo: para contratar uma pessoa é necessário armazenar e enviar os dados pessoais para o governo. Essa rotina é uma obrigação legal, não há possibilidade de contratar alguém sem esse tipo de tratamento, sendo assim, não é necessário que o titular emita o seu consentimento.
Caso a empresa não tenha nenhum dos requisitos apresentados acima, é necessário consultar a Lei na íntegra para verificar se atende algum outro requisito estabelecido. Outro ponto importante é o direito do titular dos dados poder atualizar as suas informações e também de solicitar o esquecimento de seus dados. A empresa deve fornecer meios cabíveis para essas alternativas, porém a segunda somente será executada caso o tratamento tenha sido permitido somente pelo aceite do titular.
Como proteger os meus dados?
Toda empresa deve criar mecanismos para resguardar os dados pessoais que trata. A Lei não chega ser específica em relação a termos técnicos, sobre quais procedimentos são necessários para essa proteção. Essa avaliação será realizada por uma agência ao qual irá fiscalizar tudo o que for relacionado a Lei. Os procedimentos começam desde o treinamento dos funcionários sobre a privacidade e proteção de dados até implantação de controles de acesso a arquivos físicos e lógicos. Tudo o que for realizado em relação à privacidade e proteção de dados deve ser devidamente documentado.
Como começar?
É importante tratar somente os dados que realmente são necessários para a organização. Pense em um cadastro de clientes ao qual contenha a informação sobre a religião, esse dado é realmente importante para as rotinas da empresa? Limpe os dados que realiza o tratamento mantendo somente aquilo que realmente é imprescindível. Caso sua empresa tenha site, verifique se está em conformidade com a política de Cookies e descreva ao visitante como os utiliza e busque o aceite. Somente realize esse tratamento caso o aceite seja dado.
A Lei já está aí e valerá a partir de agosto de 2020, porém há muitos requisitos que as empresas devem atender e o prazo está muito curto. Desde rotinas a sistemas devem ser alterados para atender a nova legislação. Pensando nisso nós temos uma solução completa para todas as nossas linhas de produto, ao qual auxiliará a sua empresa a estar em conformidade com a LGPD, compatível com as mais modernas técnicas de segurança do mercado. Acesse o link https://www.alterdata.com.br/cloud e conheça o nosso Alterdata Cloud e torne possível utilizar os seus sistemas em um ambiente seguro e de qualquer lugar do mundo que se tenha um computador.
Quer saber mais sobre a LGPD? Leia nosso artigo sobre: Qual é o real impacto da LGPD no setor contábil? Entenda aqui!