Por 
Em conversa com alguns clientes de consultoria, identifiquei uma grande preocupação com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018). Passados quase três anos desde a entrada em vigor, a adequação às novas exigências legais está lenta e ainda suscita dúvidas e também preocupação, principalmente por causa dos custos envolvidos.
A legislação que dispõem sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, tem demandado investimentos que vão de R$ 15 mil a R$ 800 mil.
Importante ressaltar que, seja qual for o ramo ou porte do seu negócio, agir em conformidade com a legislação é indispensável para assegurar a integridade da marca. Dito isso, pergunto: como a sua empresa está lidando com a LGPD?
Caso você tenha achado os valores acima elevados, saiba que a punição pelo descumprimento da lei pode render multa equivalente a 2% do faturamento, limitada a R$ 50 milhões, além de outras penalidades, como a proibição total ou parcial do exercício de atividades relativas a processamento de informações ou até a possibilidade de publicação da infração cometida.
A fiscalização e regulação da lei estão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), e o órgão exige que se comprove a adequação. Ou seja, é necessário prestar contas acerca do que foi feito e por qual motivo.
Desde a sanção da lei, a ANPD iniciou a atuação regulamentando alguns pontos – como a comunicação de incidentes – e investindo na conscientização sobre alguns temas mais sensíveis – como o uso adequado dos cookies, por exemplo. A agenda regulatória 2023-2024 continua o trabalho de regulamentação de temas considerados relevantes, como:
- Direitos dos titulares de dados pessoais;
- Transferência internacional de dados pessoais;
- Encarregado pelo tratamento de dados pessoais;
- Relatório de impacto e definição de “alto risco” e “larga escala”.
Além disso, a autoridade já iniciou a aplicação das sanções administrativas previstas na lei, o que está chamando a atenção do mercado.
Independentemente da atuação da ANPD, o Poder Judiciário também se debruçou sobre o tema, proferindo inúmeras decisões, especialmente no âmbito trabalhista, baseando os entendimentos em diversos dispositivos da LGPD – o que torna ainda mais imperativa essa adequação. A verdade é que a conformidade com a LGPD passou a ser um passaporte para o novo mundo dos negócios e todas as áreas da empresa que trabalhem com recolhimento e armazenamento de quaisquer tipos dos dados pessoais citados pela lei estão envolvidas nesse processo.
O setor de Marketing, por exemplo, é um dos mais atingidos pela lei, devido às campanhas de Inbound Marketing, geração de leads, experiência do usuário e muitas outras que envolvem a captação ou o compartilhamento de dados de usuários.
Só estão isentos da lei as atividades artísticas, jornalísticas e acadêmicas ou pessoais. Nesse último caso, a lei recomenda que os dados pessoais sejam anonimizados antes de serem utilizados em trabalhos acadêmicos.
Diante da complexidade do tema, confira algumas das principais dúvidas que surgem nas empresas e comece a programar seu processo de adequação agora mesmo:
Quais são os dados referidos na LGPD
Os dados pessoais considerados na lei são toda e qualquer informação que permita a associação com uma pessoa física, tais como: Nome; E-mail; Endereço; Gênero; Estado civil.
São considerados ‘Dados sensíveis’: aqueles que revelam origem racial, étnica, religiosa, assim como, posição política, orientação sexual, entre outros.
‘Dados anonimizados’: informações de um usuário que não pode ser identificado, considerando a utilização de meios razoáveis de ocultação com base na tecnologia existente à época.
5 principais direitos dos titulares
- Confirmação e acesso: o titular pode solicitar a confirmação da existência de tratamento, bem como solicitar o acesso aos dados pessoais coletados e obter informações claras sobre a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento.
- Correção: o titular pode solicitar alterações em seus dados (correções, atualizações e exclusões).
- Eliminação: o titular dos dados pode solicitar a exclusão de seus dados dentro de determinado sistema.
- Portabilidade: deve ser possível que o titular consiga exportar seus dados pessoais de um sistema para outro.
- Direito a explicação: o titular pode solicitar informações sobre todos os algoritmos que interagem com seus dados para entender, por exemplo, porque um empréstimo do banco foi negado.
Passos que indicam se o seu negócio está em conformidade com a LGPD
- Possuir uma política de segurança
- Saber o ciclo de vida dos dados: Coleta, Distribuição, Manuseio, Armazenamento, Descarte
- Conter a cultura de segurança
- Respeitar os direitos das pessoas
Principais mudanças previstas na LGPD
- Passar a analisar a situação atual de cadastro dos clientes;
- Assegurar-se de que os dados estão sendo tratados da maneira correta;
- Designar os profissionais corretos para as funções de controlador, operador e encarregado dos dados.
Principais pilares da LGPD
Tecnologia
A lei prevê a readequação e o estabelecimento de uma política de segurança de dados alinhada às normas estabelecidas. Por exemplo, na lei a empresa precisa instituir colaboradores internos responsáveis por cada etapa da manipulação de dados.
Processos
É fundamental criar processos que abranjam todo sistema de tratamentos dos dados pessoais, com foco em: Organização e comunicação; Direitos do titular; Privacidade de proteção de dados; Consentimento; Retenção e armazenamento de dados; Contratos, e Planos de resposta a violação de dados.
Pessoas
É importante identificar lideranças digitais que auxiliem a empresa sobre como ela deve se posicionar no ambiente digital, mas é essencial ter em mente que todos os funcionários precisam estar informados sobre a legislação e suas implicações.
MEI e empresas de pequeno porte também estão sujeitas à LGPD
Empresas de pequeno porte, startups e microempresas também estão sujeitas à LGPD, mas com certa flexibilidade por serem consideradas Agentes de Pequeno Porte. A partir da Resolução CD/ANPD Nº 02 da ANPD, algumas regras diferenciadas facilitaram a vida dos pequenos empreendedores, entre elas:
- A empresa fica dispensada de indicar um “Encarregado” para atendimento ao cidadão e às autoridades, assim como um “Encarregado” de tratamento de dados pessoais. Mas é necessário ter um canal de comunicação quando solicitado;
- Podem utilizar um modelo simplificado de segurança para a gestão e tratamento dos dados;
- Possuem o dobro do prazo para se adequar às solicitações dos titulares e comunicar qualquer incidência. Quando houver risco à integridade ou à segurança nacional, o prazo é o regular;
- O negócio fica isento da obrigação de eliminar, anonimizar ou bloquear dados excessivos.
E as franquias: o empreendedor que atua com uma franquia divide a responsabilidade sobre os dados com o franqueador. Ou seja, ambos serão responsabilizados caso as diretrizes não sejam cumpridas ou ocorra algum incidente de vazamento.
Origem da LGPD brasileira
A lei brasileira foi inspirada na europeia. A diferença entre a Lei Geral de Proteção de Dados (LGPD), sancionada pelo governo brasileiro, e a vigente na União Europeia, a General Data Protection Regulation (GDPR), é que a lei da Europa é muito mais detalhada e severa em relação a punição, além de ser mais minuciosa e detalhada. Aqui no Brasil, muito se tem falado desse assunto desde que foi instaurado o marco civil da internet que também trata a coleta de dados com consentimento, porém apenas no ambiente online.
