A Lei Geral de Proteção de Dados, popularmente conhecida como LGPD, sancionada em 2018, entra em vigor a partir de agosto de 2020.
Além de alterar o Marco Civil da Internet – Lei n° 12.965/2014 – a LPGD chega para preencher lacunas e complementar a estrutura de mais de 40 diplomas legais que fornecem as normas para o uso de dados no país hoje.
Tendo como principal influência o GDPR (General Data Protection Regulation), que regulamenta a segurança e privacidade dos clientes e usuários nos países europeus, seu principal objetivo é assegurar mais transparência no uso dos dados das pessoas físicas em quaisquer meios.
Com a LGPD, o Brasil avança na política de segurança da informação e passa a integrar o grupo dos 120 países que possuem lei específica para a proteção de dados pessoais.
Para as empresas, o desafio agora é saber como se adequar à LGPD com sucesso. Quer conhecer a proposta e as exigências da nova lei? Continue lendo o guia completo que produzimos para você!
#1 Qual é o objetivo da LGPD?
Seguindo a mesma proposta do regulamento europeu, a LGPD irá transformar o modo como as empresas conduzem a coleta, o armazenamento, o tratamento e o compartilhamento de dados pessoais.
Na prática, a lei apresenta regras claras para esses processos, visando aumentar o nível de proteção das informações. Além disso, as penalidades para o não cumprimento da norma também se tornam mais rigorosas.
O objetivo central é assegurar a proteção dos dados das pessoas físicas.
#2 O que muda com a LGPD?
A partir de agosto de 2020, a coleta e o processamento de dados das empresas deverão ser feitos atendendo às normas legais da LGPD.
A lei apresenta dez hipóteses que tornam lícitos os tratamentos de dados. Confira a seguir cada uma delas:
-
Mediante o fornecimento de consentimento pelo titular;
-
Para o cumprimento de obrigação legal ou regulatória pelo controlador;
-
Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
-
Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
-
Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
-
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei de Arbitragem;
-
Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
-
Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
-
Para atender aos interesses legítimos do controlador ou de terceiro, exceto quando prevalecem os direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
-
Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Para cumprir as hipóteses estabelecidas em lei, as organizações públicas e privadas que mantém a prática de acumular dados sem ter um objetivo claro, precisam mudar este mindset. Isso porque a LGPD defende que a coleta de dados deve ser adequada, relevante e limitada, para atender a uma finalidade específica e imediata. Portanto, nada de acumular dados sem ter uma definição clara de uso e processamento deles. |
#3 Princípios da LGPD
Para se adequar às novas exigências e diretrizes da proteção de dados, as empresas precisam se manter atentas aos dez princípios elencados pela LGPD.
Veja, a seguir, quais são eles:
1. Finalidade: o tratamento de dados pessoais deve ser feito com finalidades específicas, legítimas, explícitas e informadas. Além disso, não é possível modificar essa finalidade durante o processamento dos dados.
2. Adequação: os dados pessoais solicitados e tratados devem ser compatíveis com o negócio da empresa e a finalidade informada. Se a empresa atua no varejo, por exemplo, não há porque solicitar dados de saúde aos usuários.
3. Necessidade: as empresas devem usar somente os dados estritamente necessários para alcançar as suas finalidades.
4. Livre acesso: o titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa possui sobre ele. Além disso, o cliente deve ter acesso a questões como: o que a empresa faz com as suas informações, como o tratamento é realizado e por quanto tempo.
5. Qualidade dos dados: o titular deve ter a certeza de que as informações que a empresa possui sobre ele são verdadeiras e atualizadas.
6. Transparência: a empresa não pode compartilhar dados pessoais com outras organizações ou pessoas de forma oculta. Se ela decide repassar os dados pessoais para terceiros, o titular precisa saber.
7. Segurança: as empresas devem buscar procedimentos, meios e tecnologias que assegurem a proteção dos dados pessoais de acessos por terceiros. Tudo para evitar crimes como ataques cibernéticos e roubo de dados.
8. Prevenção: as empresas devem adotar medidas preventivas para evitar a ocorrência de danos em virtude do tratamento de dados pessoais.
9. Não Discriminação: os dados pessoais não podem ser usados para discriminar ou promover abusos contra os seus titulares.
10. Responsabilização e Prestação de Contas: além de cumprirem as exigências impostas pela LGPD, as empresas devem ter provas e evidências das medidas adotadas. É uma maneira de mostrar sua boa-fé e diligência.
#4 Quem são os atores envolvidos?
A LGPD apresenta em detalhes o papel dos quatro agentes envolvidos na coleta e na proteção de dados pessoais. Veja quem são e a atribuição de cada um.
-
Titular: é a pessoa física a quem se referem os dados pessoais.
-
Controlador: é a empresa ou pessoa física que coleta dados pessoais e decide como qual a finalidade e como os dados serão tratados.
-
O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
-
Encarregado: é a pessoa física indicada pelo controlador e responsável por intermediar a relação entre as partes (controlador, os titulares e a autoridade nacional). Além disso, ele orienta os profissionais do controlador sobre as melhores práticas de tratamento de dados.
#5 Penalidades previstas na LGPD
As empresas que não se adequarem às normas apresentadas na lei correm o risco de cumprir penalidades. Veja algumas das principais a seguir:
-
Para cada incidente existe a possibilidade de aplicação de multa isolada ou diária, ambas limitadas a R$ 50.000.000,00 (cinquenta milhões de reais) ou 2% do faturamento bruto da empresa.
-
Suspensão das atividades de tratamento de dados pela empresa e até a interrupção total de seu funcionamento.
A Agência Nacional de Proteção de Dados (ANPD), instituída após a sanção da LGPD, é o órgão responsável também por fiscalizar a aplicação da Lei e aplicar as devidas sanções.
#6 Como se adequar às novas exigências?
Como o prazo para adequação às regras da LGPD segue até agosto de 2020, agora é a hora de começar essa jornada. Mas, afinal, qual seria o passo a passo ideal para ajustar todos os aspectos exigidos?
Abaixo você confere as principais etapas:
-
Criação de um Comitê de Segurança da Informação: ele será responsável por analisar a atual situação dos procedimentos internos.
-
Mapeamento do tratamento dos dados: é importante entender como os dados pessoais vêm sendo processados, bem como o ciclo de vida deles dentro da empresa. É preciso identificar como é feita a coleta, para onde vão, em qual base ficam armazenados, quem tem acesso e se são compartilhados com terceiros.
-
Análise da maturidade dos processos: tomando como ponto de partida o resultado dessa análise, o próximo passo é avaliar o nível de maturidade dos processos dentro da empresa. Esse entendimento também deve proporcionar uma gestão de riscos mais assertiva.
-
Construção de uma nova política: detectadas as lacunas, é hora de construir uma nova estratégia de segurança da informação. Observando as exigências da LGPD, a empresa deve tornar o gerenciamento de dados totalmente seguro tanto para os consumidores quanto para a organização.
Ficou interessado no tema? Então, acesse o artigo que produzimos sobre segurança da informação como estratégia competitiva.