Lei de Proteção de Dados do Brasil: tudo sobre a LGPD

Quem nunca recebeu e-mail, mensagem no WhatsApp, SMS, newsletter ou mesmo um telefonema com avisos promocionais e comunicados de empresas com as quais jamais teve contato? A Lei de Proteção de Dados do Brasil promete pôr fim a essa prática.

Dê play para ouvir o texto!
 

Aprovada em agosto de 2018, a Lei Geral de Proteção de Dados entra em vigor em fevereiro de 2020

Vamos entender a essência da LGPD? 

O que é a LGPD? 

Esta lei refere-se ao tratamento de dados pessoais, inclusive nos meios digitais, por pessoas físicas ou jurídicas (empresas), com a finalidade de resguardar os direitos de liberdade e privacidade dos cidadãos (on-line e off-line). 

Alguns fundamentos da Lei de Proteção de Dados do Brasil são: 

  • o respeito à privacidade
  • a inviolabilidade da intimidade; da honra e da imagem;
  • o consentimento, ou seja, a concordância do titular dos dados pessoais com a utilização destes para um objetivo previamente determinado. 

Na prática, a lei visa mudar a conduta de organizações quanto à coleta, ao armazenamento, tratamento e compartilhamento de dados pessoais.

Para isso, a LGPD estabelece regras objetivas e penalidades sérias em caso de não cumprimento das normas. 

Para conhecer todas as cláusulas da lei, acesse Lei nº 13.709

Dando seguimento a este artigo, é importante entendermos o conceito de dados pessoais e tratamento de dados, conforme a Lei Geral de Proteção de Dados. Para tanto, vamos recorrer a um situação hipotética. 

LGPD na prática

Qualquer informação que possibilita identificar uma pessoa configura, segundo a lei, os dados pessoais dela. Nome, apelido, endereço, e-mail, fotos, formulários de cadastro, números de documentos são exemplos desses dados.

Logicamente, entende-se como “tratamento de dados” toda ação praticada com essas informações. 

Levando essa noção à prática, podemos pensar na seguinte situação: um usuário do Facebook divulga duas fotos pessoais na linha do tempo com a legenda “antes e depois”. Na segunda imagem, é nítido o emagrecimento dele. 

Uma empresa de shakes que afirma que seus produtos aceleram o metabolismo reproduz essas fotos, sem o consentimento do fotografado, no rótulo de um deles, tirando-as obviamente do contexto original. 

O tratamento de dados, nesse caso, vai totalmente de encontro ao que é previsto na Lei de Proteção de Dados do Brasil. 

Até ela começar a valer, é importante lembrar, para regulamentar o uso de dados no país, 40 documentos vêm sendo utilizados de forma dispersa.

A partir de fevereiro, após oito anos de debates e redações legislativas, a lei, que possui mais de 60 artigos, irá complementar e aprimorar o conteúdo dessas certidões. 

Com relação à LGPD, é oportuno conhecer os diferentes papéis do público frente às definições de dados pessoais e tratamento de dados vistas neste tópico. 

É o que faremos a seguir. 

Quem são os agentes envolvidos na Lei de Proteção de Dados do Brasil? 

Quatro diferentes agentes – titular, controlador, operador e encarregado – são abordados na LGPD.   

Sendo:

  • Titular: pessoa física cujos dados pessoais são objeto de tratamento;
  • Controlador: pessoa física ou jurídica (empresa) a quem cabe a decisão referente ao tratamento de dados pessoais; 

 

Na prática, o controlador é o responsável pela maneira como os dados são coletados, pela finalidade deles e por quanto tempo eles permanecerão armazenados. 

  • Operador: pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador; 
  • Encarregado: pessoa física indicada pelo controlador que atua intermediando as partes (controlador, titulares e a Autoridade Nacional de Proteção de Dados Pessoais – ANPD). 

Quanto à função do encarregado, é importante destacar que ele também instrui a equipe do controlador sobre habilidades de tratamento de dados. 

Definidos esses papéis, a questão que surge é: como eles vão atuar em conformidade com a Lei Geral de Proteção de Dados?

Para resolvê-la, faz-se necessário entender os impactos da lei no cotidiano. 

O que muda com a LGPD?

Influenciada pelo General Data Protection Regulation, que regulamenta a questão de dados na União Europeia desde 2016, a LGPD coloca o Brasil na lista de 120 nações com leis específicas para a proteção de dados pessoais. 

Com os limites previstos pela Lei de Proteção de Dados do Brasil, as empresas terão de mudar seu mindset

As listas de e-mails, por exemplo, vão precisar de atualização de forma que todos os nomes que constam nelas tenham sido autorizados. 

Além das listas, é preciso atualizar todo o tratamento de dados feito até o momento, a fim de verificar se houve excessos nos processos, tendo em vista a finalidade da coleta e utilização dos dados. 

Para isso, é preciso realizar o data mapping, também conhecido como mapeamento de dados

Se, à primeira vista, a mudança parece restritiva, temos de pensar que ela permite uma comunicação bilateral, em que as duas partes mostram-se interessadas nas interações. 

O que não acontecia/acontece até o momento, porque muitas mensagens disparadas a esmo, em muitos casos, não engajam verdadeiramente o potencial cliente. 

Após a Lei Geral de Proteção de Dados entrar em vigor, as empresas terão 18 meses para se adequarem às regras estabelecidas. 

O cumprimento das normas deverá ser comprovado por meio do Relatório de Impacto à Proteção de Dados Pessoais

É sobre ele que iremos falar no próximo tópico! 

O que é Relatório de Impacto à Proteção de Dados Pessoais? 

Também conhecido como Data Protection Impact Assessment, o RIPD é definido como a documentação do controlador que engloba a descrição dos processos de tratamento de dados pessoais. 

Nessa descrição, é preciso que todas as ameaças à liberdade e aos direitos do titular estejam detalhadas. 

No relatório deve haver ainda medidas, observações e métodos para a diminuição de eventuais ameaças ao público

Vale lembrar que todas as empresas (de qualquer porte) que lidam com dados pessoais devem se enquadrar à Lei de Proteção de Dados do Brasil. 

Por isso, elas devem se preocupar, mais do que antes, com a segurança dos dados pessoais que recebem de seus contatos. 

A fim de comprovar a preservação dessas informações, é importante entender o que deve constar no Relatório de Impacto à Proteção de Dados Pessoais. 

É o que veremos a seguir. 

Como preencher o RIPD

De antemão é indispensável destacar que o conteúdo do relatório precisa ser elaborado antes mesmo de o tratamento de dados começar. 

Recomenda-se que o relatório contenha uma previsão minuciosa dos riscos à liberdade e aos direitos dos usuários. Para isso, faz-se necessário um panorama dos processos envolvidos no tratamento de dados. 

Nesse panorama, deve haver: 

  • a descrição dos tipos de dados coletados; 
  • o recurso utilizado para obtê-los;
  • as informações passadas aos clientes sobre a garantia de proteção dos dados pessoais deles.

O RIPD deve conter também um parecer do controlador sobre todas as ações praticadas para evitar riscos de vazamento de informações do titular. 

O relatório precisa ainda estar em conformidade com as regras de administração e proteção de dados cumprindo, assim, a LGPD. 

Nesse sentido, ele deve abranger estas ações: 

  • Definir o objetivo da obtenção dos dados;
  • Mostrar o passo a passo do tratamento realizado; 
  • Verificar se a finalidade está de acordo com o tratamento de dados;
  • Analisar a necessidade do tratamento das informações; 
  • Identificar mecanismos de proteção de dados pessoais;
  • Adotar medidas preventivas ainda no tratamento de dados, a fim de evitar danos aos usuários. 

Todas essas atitudes precisam estar alinhadas com a transparência – tanto com o titular dos dados pessoais quanto com as autoridades às quais o comportamento da empresa será reportado. 

É sobre transparência na LGPD que iremos falar em seguida.

A transparência na Lei Geral de Proteção de Dados  

A Lei de Proteção de Dados do Brasil destaca que a informação deve ser clara, objetiva e de fácil acesso quando solicitada pelos seus titulares.  

Um exemplo básico quanto a isso diz respeito a compras on-line. Ao informar os dados do CPF, por exemplo, o titular pode questionar a empresa sobre a finalidade dessa informação. 

A empresa, por sua vez, tem o dever de esclarecer corretamente a dúvida do consumidor. 

E, vale lembrar, em caso de vazamento de dados, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e os indivíduos afetados devem ser informados. 

Nesse contato e em toda interação em que há transparência, o consentimento, como já mencionado anteriormente, é indispensável. 

A importância do consentimento na Lei Geral de Proteção de Dados 

Todas as pessoas, estando on-line ou off-line, são titulares de dados pessoais que, a partir de fevereiro, só podem ser coletados e tratados por terceiros com o consentimento delas. 

Por isso, a partir dessa data, as empresas precisarão pedir permissão aos clientes ou potenciais clientes para obter e utilizar dados pessoais (armazenados física ou digitalmente) deles. 

É importante destacar que esse consentimento deve partir de livre vontade, baseada em informações precisas, inclusive sobre a finalidade do uso de determinados dados pessoais.  

Vale frisar ainda que o consentimento pode ser revogado a qualquer momento. Nesse caso, as empresas deverão suspender a coleta e utilização de dados do reclamante. 

O não cumprimento dessa suspensão pode culminar em com penalidades bastante rígidas. Algumas dessas punições são o assunto do próximo tópico. 

O descumprimento da LGPD gera quais penalidades?  

As punições para as empresas que infringirem as normas da Lei de Proteção de Dados do Brasil variam de acordo com a gravidade da violação cometida. 

As multas por descumprimento das normas podem chegar a 2% do faturamento da empresa, sendo limitadas a R$ 50 milhões

Além dessa punição, dependendo da intensidade da infração cometida, a empresa pode ter suas atividades suspensas parcial e totalmente.  

Mas quem fiscaliza o cumprimento da Lei Geral de Proteção de Dados? 

Fiscalização da Lei de Proteção de Dados do Brasil

Para averiguar o pleno funcionamento da LGPD, criou-se a Autoridade Nacional de Proteção de Dados (ANPD), já mencionada anteriormente. 

Trata-se de um órgão da Presidência da República responsável por acompanhar e aplicar penas descritas na lei se necessário. 

Das atribuições da entidade, destacamos:

  • Determinação de padrões técnicos para a elaboração de relatórios de impacto; 
  • Fiscalização e aplicação de medidas corretivas;
  • Realização de atividades de divulgação e educação sobre a LGPD. 

Com a ciência das penalidades aplicadas em caso de descumprimento da lei e de como se dá a fiscalização dela, é imperativa a intenção de estar em dia com as normas previstas na LGPD. 

Vamos falar sobre isso a seguir.

Como estar de acordo com a LGPD? 

Independentemente do tamanho e do tipo das empresas, é urgente que todas elas adotem iniciativas para prevenir, identificar e resolver violações de dados pessoais. 

As medidas são imprescindíveis não só para evitar penalidades, mas também para cativar verdadeiramente (potenciais) clientes, mostrando que a empresa é de fato confiável. 

Agindo em conformidade com a lei, a relação unilateral, invasiva e que muitas vezes “queima o filme” da empresa perde o sentido.

Dessa forma, e-mails que enchiam nossa caixa de entrada ou caíam direto em spam, além de mensagens via WhatsApps e SMSs que chegavam em série ao nosso smartphone vão deixando de circular.

Isso nos tira da condição de reféns de informações desnecessárias para nós. 

Brasil é o quinto país mais conectado do mundo

Você sabia que somos o quinto colocado em número de pessoas conectadas? Estamos atrás apenas da China, Índia, Estados Unidos e Indonésia. 

Se, por um lado, isso representa um ponto positivo com relação à inclusão digital, por outro significa que há uma quantidade imensa de dados pessoais circulando pela Internet. 

Esse fluxo de dados já fez muitas vítimas dos chamados crimes cibernéticos. Só no Brasil, são registrados 366 por dia. 

Com a LGPD, espera-se que a prática desses crimes diminua e as punições previstas sejam efetivamente aplicadas.

Afinal, muito mais do que ter a rotina invadida por conteúdos pelos quais não temos interesse, o uso indevido e não consentido de dados pessoais já resultou em linchamentos virtuais e, várias vezes, em danos morais. 

Diante desse cenário, a expectativa é de que a Lei de Proteção de Dados do Brasil elimine ou, pelo menos, diminua a frequência desses episódios. Para isso, a segurança da informação, tema que já abordamos aqui, torna-se tão urgente. 

Baixe de graça o guia completo para manter sua empresa segura

Nayrgton Veras

Especialista em Segurança de Redes de Computadores, Sistemas Operacionais e Supervisor Técnico de Infraestrutura de TI no departamento de Serviços Gerenciados da AM3 Soluções.

2 Respostas para “Lei de Proteção de Dados do Brasil: tudo sobre a LGPD”

  1. Jéssica de Carvalho

    Oi! Tenho uma dúvida: se toda coleta de dados precisa de consentimento, como eu poderei PROVAR que o cliente consentiu em me enviar seus dados? Como registrar o momento do aceite? É preciso? obrigada.

    • Se a coleta de dados for por meio físico é importante o cliente assinar um termo de aceite. Se a coleta de dados for por meio digital, as informações do formulário só podem ser enviadas mediante o cliente marcar um chat-box que leu e estar de acordo com os termos de aceite, o próprio software deve gerar um protocolo de registro com IP, data, hora e/ou outras informações relevantes, a validação das informações fornecidas podem ser feitas a partir de um e-mail de confirmação disparado para o cliente. É importante que haja uma opção para o cliente solicitar o descadastramento.

Deixe uma Resposta