A abundância de informações já se tornou um recurso valioso no mercado. Entretanto, com a atuação de empresas no tratamento de dados sensíveis de pessoas físicas, viu-se necessário criar uma legislação específica, no caso a Lei Geral de Proteção de Dados Pessoais (LGPD).
A LGPD foi sancionada em 14 agosto de 2018 e as empresas têm até agosto de 2020 para se adequarem aos parâmetros de segurança exigidos.
Lei Geral de Proteção de Dados Pessoais: o que é?
Publicada como Lei Nº 13.709/2018, a LGPD foi inspirada no regimento aprovado pela União Europeia, chamado GPDR (Regulamento Geral sobre a Proteção de Dados). “A lei europeia já resultou em multas. Na França, o Google recebeu uma multa de 50 milhões de euros”, informou Beatriz.
Entretanto, no Brasil, tanto empresas, quanto o público, precisa se educar. Em levantamento do Serasa Experian, 75% do público conhecia pouco ou desconhecia a LGPD. No lado corporativo, no entanto, as empresas estão planejando sua implantação há um bom tempo, sendo que muitas empresas já contrataram profissional ou consultoria especializada no assunto para poder cumprir os requisitos que a LGDP demanda.
Três pontos importantes sobre a Lei Geral de Proteção de Dados Pessoais:
- Para quem se aplica?Qualquer pessoa física ou jurídica, de direito público ou privado, que faça tratamento de dados pessoais;
- Qual o objetivo?Garantir a gestão de segurança do banco de dados e privacidade de informações;
- Qual o propósito?Todos deverão saber o que a empresa faz com os dados pessoais, como é a forma e o prazo da armazenagem e quem são os responsáveis.
Especialistas lembram que o impacto da legislação vai além do departamento jurídico das empresas. Todas as áreas serão influenciadas, como marketing, logística, desenvolvimento de software e TI e recursos humanos.
Conceitos relevantes da LGPD
Profissionais de Compliance apontam a necessidade de identificar os conceitos mais relevantes que compõem a nova lei. O primeiro deles é a definição do que realmente são os dados.
- Dado Pessoal: são as informações relacionadas a pessoas identificadas ou identificáveis;
- Dado Pessoal Sensível: são aqueles relacionados à origem racial ou étnica, convicção religiosa, ideologia filosófica e política, saúde e vida sexual ou genético biométrico.
Também existem os dados anonimizados, ou seja, aqueles que não são possíveis de ser revertidos para algo identificável. Estes não serão considerados dados pessoais.
Princípios da lei
Dentro da LGPD são listados dez princípios que norteiam o manuseio e armazenamento das informações:
- Finalidade: os dados deverão ser tratados para fins específicos e de ciência daquele que os compartilhou;
- Adequação: os dados pessoais precisam ser relacionados à finalidade proposta pela empresa e não podem ser usados para algo diferente;
- Necessidade (minimização): você deve coletar o mínimo de dados possíveis para realizar o seu serviço;
- Livre acesso (gratuito): o usuário pode consultar, gratuitamente, qualquer dado que a empresa tenha a seu respeito;
- Qualidade (exatidão): os dados devem estar sempre atualizados com as informações mais recentes sobre o usuário
- Transparência (compreensão): é necessário tratar o usuário com clareza e precisão, sem letras miúdas;
- Segurança (proteção): você deve adotar todas as medidas necessárias para proteger os dados;
- Prevenção (cuidado prévio): você deve utilizar meios para prevenir qualquer exposição ou vazamento dos dados;
- Não discriminação: você não pode discriminar um usuário de acordo com seus dados;
- Responsabilização e prestação de contas: você precisa se responsabilizar pelo tratamento dos dados e prestar contas sobre eles.
Quem são os personagens
Consultores especializados apontam a importância de conhecer as partes que serão envolvidas pela Lei Geral de Proteção de Dados. Existem três tipos principais elencados dentro do escopo: titular, controlador e operador.
O titular é a pessoa física, nunca a jurídica, a qual se referem os dados pessoais que são objeto do tratamento.
O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Já o operador é a pessoa natural ou jurídica que realiza diretamente o tratamento de dados pessoais em nome do controlador.
Existe ainda uma quarta figura, o DPO (Data Protection Officer, ou Executivo de Proteção de Dados). Trata-se de uma pessoa física ou jurídica encarregada de atuar como um canal entre os controladores e a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar a segurança de informações no Brasil.
Bases legais
Para a aplicação da LGPD, existem dez bases legais nas quais as empresas precisam se enquadrar para estarem de acordo com a legislação. Estes são fundamentos que legitimam o tratamento de dados pessoais e garante direitos aos titulares.:
- Consentimento: para autorização do manuseio dos dados, é necessária a manifestação inequívoca do usuário dando permissão;
- Execução do contrato: permite o tratamento dos dados desde que seja necessário para o cumprimento de um contrato;
- Interesse legítimo: baseada na lei europeia, essa base legal não tem uma definição simples. Caso você já tenha ofertado um serviço ou produto e quer apresentar novidades ao usuário, você pode manter o relacionamento com ele.
- Administração/políticas públicas: órgãos públicos podem tratar e compartilhar dados pessoais para execução de políticas;
- Exercício regular de direito: Por exemplo, se um colaborador demitido hoje solicitar a eliminação de seus dados, você não precisa. Esse indivíduo possui dois anos para poder processá-lo e caso os apague você não terá meios legais para se defender;
- Órgãos de pesquisa: é permitido o tratamento de dados pessoais para fins de pesquisa, desde que anonimizados;
- Proteção da vida: caso seja indispensável para proteção à vida os dados pessoais poderão ser compartilhados;
- Tutela da saúde: semelhante ao anterior, será permitido o tratamento e divulgação das informações se forem essenciais para a manutenção da saúde;
- Cumprimento de obrigação legal: você poderá manusear os dados se necessário para cumprimento de ações legais, como o envio de informações de receita para a retenção de imposto de renda na fonte;
- Proteção ao crédito: empresas e birôs de crédito trabalham com esses dados e poderão continuar prestando tal serviço desde que se adequem à lei.
Direitos básicos dos titulares
Da mesma maneira que existem bases legais para que as empresas possam manejar essas informações, a LGPD define os direitos básicos dos usuários:
- Acesso: os usuários devem ter acesso gratuito e irrestrito sobre as informações que a empresa detém sobre ele;
- Retificação: ele pode atualizar as informações detidas pela empresa;
- Eliminação: o usuário pode solicitar a eliminação dos dados desde que não interfira no exercício regular do direito das empresas;
- Revogação do consentimento: mesmo que tenha dado consentimento para a utilização de suas informações, ele pode revogar a decisão;
- Informação e explicação: ele tem direito a saber exatamente para quais fins os dados serão usados;
- Portabilidade: por exemplo, caso o usuário queira migrar de um serviço para outro, cabe a empresa liberar esses dados.
Penalidades
Enfim, caso a empresa não se adeque em tempo à data limite da legislação e continue praticando ilegitimamente o armazenamento, análise e compartilhamento dos dados, existem penalidades que podem ser aplicadas. São elas:
- Advertência;
- Multa Simples– 2% do faturamento total do ano anterior, chegando até R$ 50 milhões;
- Publicização da infração– em diário oficial e, possivelmente, em outros veículos oficiais;
- Bloqueio dos dados pessoais a que se refere a infração, até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração.
Os desafios da LGPD no Brasil; lei entra em vigor em menos de 155 dias
Mesmo que a lei sancionada pelo nosso senado se espelhe no regulamento da União Europeia, quando trazemos para o contexto brasileiro ainda existem alguns problemas de implantação. Existem dois desafios principais, listados por especialista para que todas as empresas se adequem: a cultura e o prazo.
O brasileiro, via de regra, não tem uma cultura de proteção de dados. Ele coloca todas as suas informações nas redes sociais. E isso não fica apenas na realidade das pessoas, as empresas também precisam estabelecer esse tipo de cultura em seus ambientes de trabalho.
Já o segundo, o prazo, atrela-se ao primeiro. Criar um planejamento, treinar os funcionários e estabelecer costumes demanda esforços e tempo. Faltam pouco menos de 155 dias para a Lei entrar em vigor e para que as empresas estejam prontas para atuar de acordo com os novos desafios que a LGPD trará ao mundo corporativo e aos cidadãos, em geral.
Fonte : Superlógica / Felipe Haguehara