Quando fala-se sobre a regulamentação de política de uso de dados, o panorama atual apresenta o surgimento de novas tendências globais sobre a privacidade e segurança de informações pessoais, com mudanças significativas nos sistemas jurídicos de diversos países. Com foco na transparência de informações, a Lei Geral de Proteção de Dados Pessoais foi criada.
Os escândalos que vem rondando o mundo com os vazamentos de dados pessoais em redes sociais e a comercialização indiscriminada e irregular destes dados para terceiros, trazem à luz a discussão de como resguardar os titulares.
Depois de oito anos de debates e discussões, em 2018 o então Presidente na época Michel Temer sancionou a Lei Geral de Proteção de Dados (LGPD), entrando em vigor em setembro de 2020 e possibilitando 18 meses de prazo para as empresas e organizações se adaptarem às mudanças e novas regras.
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) regulamenta a forma como as empresas deverão lidar com os dados pessoais pertencentes a um titular, que incluem:
Ela se aplica a qualquer operação de tratamento de dados, digital ou não, realizada por pessoa jurídica de direito privado ou público, por pessoa natural em território nacional e que tenha como objetivo o fornecimento ou oferta de bens ou serviços.
A LGPD quantifica e qualifica os dados coletados e torna-se regra em todos os ambientes e modelos de negócio, principalmente aqueles que existem no meio digital. Ela atua com o mesmo objetivo que a GPDR (Regulamento Geral Sobre a Proteção de Dados) da União Européia e demais leis ao redor do mundo que tem como prioridade a:
Com a vigência da LGPD, as empresas têm um grande desafio pela frente que é a adequação à Lei, realizada por meio de um projeto de implementação da LGPD contendo todas as medidas necessárias para estar de acordo com as novas exigências legais.
Levando em consideração que o processo de implementação referente a proteção de dados é de longa duração, e composto por diversos estágios que vão desde o mapeamento de dados, uma avaliação inicial das práticas de retenção e proteção de dados, diagnóstico detalhado do processamento das informações, inventário de dados pessoais, aplicação de treinamento focado na LGPD para a equipe até a apresentação de um plano de implementação da LGPD.
Quando se fala em processamento de dados pessoais, um dos principais riscos é o vazamento deles, devido ao acesso inapropriado às bases de dados. Um levantamento feito pela PwC em 2016, por exemplo, aponta que 74% dos pequenos e médios negócios, assim como 90% das grandes organizações, já reportaram terem sofrido algum tipo de vazamento de informações.
Tudo isso se torna oneroso para as empresas, já que as consequências para infrações desta lei, vão desde sanções LGPD administrativas, multas e até o encerramento das atividades do negócio. Atualmente, existem casos de organizações que foram penalizadas com multas e solicitações judiciais devido a quebra de segurança de dados.
Pode-se citar o Facebook no famoso caso “Cambridge Analytica”, a VIVO por meio da TELEFÔNICA com multa de R$ 10 milhões de reais e o Banco Inter com multa de R$1,5 milhões de reais paga ao Ministério Público do Distrito Federal após acordo.
Ainda, existe o caso da Construtora Cyrela que foi condenada a pagar R$10 mil reais para um cliente que teve os dados compartilhados com parceiros sem autorização e, claro, as operadoras de telefonia Vivo, Claro, Tim e Oi que sofreram ataques em seus sistemas, colocando em risco a privacidade de seus clientes.
Na realidade do século XX, as empresas e negócios que desejam se manter relevantes no mercado, precisam passar pelo processo de transformação digital, o que inclui a otimização do tratamento de dados pessoais.
Com a LGPD em vigor, a segurança que é trazida tanto para o titular como para a empresa frente às novidades do mercado, é muito grande, e beneficia todos os tipos de modelos de negócios.
Não podemos descartar que aqueles que se adequam à LGPD também demonstram comprometimento com os padrões éticos, ou seja, padrões de Compliance relacionados a utilização e tratamento de dados.
A vigência da LGPD impacta em praticamente todas as áreas comerciais, incluindo indústrias e serviços que possam fazer qualquer tipo de captação ou processamento de dados pessoais e, portanto, deve haver respeito ao previsto na norma.
É de se destacar que, mesmo em situações onde não houver coleta de dados pessoais de titulares, mas se tenha um banco de dados digital ou físico, por exemplo, que contenha dados de colaboradores ou empregados, haverá a incidência da lei.
Assim como também algumas áreas de serviços serão especialmente impactadas e deverão ter um cuidado extra em relação ao cumprimento da lei, considerando o volume de dados pessoais ou o tipo de dado pessoal processado.
As áreas com impacto imediato são:
Os dados pessoais são qualquer tipo de informação que, de alguma forma, possam levar a identificação de uma pessoa como, por exemplo:
No âmbito dos dados pessoais, existem dados que exigem um pouco mais de atenção. Eles são chamados de dados pessoais sensíveis (art 5º, inciso II da LGPD) e o vazamento deles pode gerar discriminação devido ao alto nível de identificação. São eles:
São considerados dados anonimizados (art. 5º, inciso III), aqueles que não podem ser identificados, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Os dados que passam por esse processo perdem a possibilidade de associação, direta ou indireta, a um indivíduo.
Um ponto importante a se destacar, é que caso seja possível descobrir quais são os titulares destes dados, eles deixam de ser anonimizados e passam a ser caracterizados como pseudoanonimizados, momento no qual o dado perde a possibilidade de associação indireta ou direta a um indivíduo, já que a informação adicional é mantida separada pelo controlador em ambiente controlado e seguro.
Tratamento é o termo que a lei usa para definir toda operação realizada com dados pessoais, ou seja, coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
A LGPD determina que todas essas operações deverão seguir as novas regras, garantindo a privacidade e a proteção do dado, desde a sua coleta até o descarte.
Assim, durante todo o processo de tratamento, como a captação de dados, a empresa deverá se questionar no seguinte sentido:
Sendo assim, o art. 6º da LGPD determina 10 princípios para nortear o tratamento de dados pessoais, para garantir que as empresas estejam adequadas e em conformidade com a lei.
Aqui, a lei obriga as empresas a deixarem claras suas intenções para com os titulares de dados e não apenas isso, precisam ter um propósito determinado no tratamento de dados, justificando e apontando o uso.
Por exemplo, se uma empresa informa que coleta os e-mails de seus clientes para envio de boleto bancário ou faturas, não poderá utilizar esse dado para envio de promoções ou ofertas.
Dentro do princípio da LGPD de Finalidade é prevista a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.”
No princípio da LGPD de Adequação é obrigatória “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento”. Ou seja, a empresa precisa garantir e justificar que os dados coletados são compatíveis com o modelo de negócio da organização.
Podemos citar como exemplo, o cadastro em uma academia no qual são solicitadas informações de cunho político ou religioso, até mesmo uma farmácia que pede informações sobre orientação sexual (considerado inclusive um dado sensível).
Nenhuma dessas empresas está coletando informações que são condizentes com seu modelo de negócio e, portanto, a coleta e tratamento desses dados é injustificável e passível de multas e punições.
Este princípio da LGPD trata de um ponto muito interessante, o volume de dados. Ele considera a responsabilidade das empresas sobre os dados tratados. Em resumo, quanto maior for o volume de dados pessoais tratados, a responsabilidade e, por consequência, as cobranças, multas e penalidades impostas serão maiores, em caso de falha.
Por isso, o princípio da necessidade trata basicamente da empresa se limitar aos dados que são realmente necessários para a realização de seus objetivos, abrangendo informações pertinentes e não se atendo ao excesso.
A sua empresa precisa garantir que apenas os dados pessoais essenciais para o desenvolvimento do seu negócio sejam coletados e tratados. Basicamente, a LGPD diz: prenda-se ao necessário e essencial, e elimine os excessos.
Considerado um dos princípios fundamentais da lei, o livre acesso garante aos titulares a consulta gratuita e facilitada sobre o tratamento de seus dados como: forma, duração e a integralidade deles.
Ou seja, a empresa é responsável por criar mecanismos que auxiliem o titular de dados a ter o direito de consultar suas próprias informações de forma gratuita e deixar claro seus objetivos para com esses dados, considerando o período de tempo que serão utilizados.
Este princípio garante a qualidade dos dados coletados e tratados, também assegura que a base de dados pessoais esteja sempre atualizada contendo informações verdadeiras e claro, alinhada ao propósito da empresa.
De acordo com a LGPD, este é um dos princípios considerados essenciais, já que determina que as empresas precisam ser honestas com os titulares de dados, informando sobre os respectivos agentes de tratamento, incluindo outras empresas envolvidas no processo de tratamento de dados.
Devem ser empregadas medidas técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Devem ser utilizadas medidas no sentido de prevenir a ocorrência de danos em virtude do tratamento dos dados pessoais.
Os dados pessoais não devem ser tratados para fins discriminatórios, ilícitos ou abusivos.
Deve ser possível comprovar que foram adotadas medidas eficazes para o cumprimento das normas de proteção de dados pessoais.
Designado para orientar a equipe do controlador, sobre as práticas de tratamento de dados pela LGPD. Ele é o canal de comunicação entre o controlador, os titulares e a autoridade nacional (ANPD).
Importante frisar que, caso haja alguma infração à LGPD, tanto operador como controlador podem responder diretamente sobre o ocorrido e de forma solidária para com os titulares.
Por isso, é muito importante que haja um contrato bem detalhado e que delimite as obrigações de cada agente de tratamento. A correta qualificação deles é crucial para a responsabilização e aplicação das disposições legais.
Existem vários documentos que devem ser providenciados para se estar em conformidade com a LGPD, é importante frisar que é de responsabilidade do controlador a implementação do projeto da Lei Geral de Proteção de Dados Pessoais na empresa.
Mas no que se refere a documentação, esta deve ser elaborada por um advogado especialista em LGPD devido a sua complexibilidade.
Pode-se citar os seguintes documentos esses:
Definição da política de privacidade de dados é feita em conjunto com o comitê interno, jurídico, segurança e TI e refere-se a como a empresa cuida e manipula os dados pessoais de clientes e colaboradores.
Um documento feito pelo controlador que descreve os processos de tratamento de dados pessoais conhecido como Ciclo de Dados. Ele também é fundamental para demonstrar quais medidas de salvaguarda, mecanismos de redução de riscos, mapeamento, auditorias, alterações de contrato, criação de política de dados são realizados com relação aos dados pessoais.
É a concentração de todas as diretrizes para a gestão de dados pessoais dos colaboradores, inclusive informando como são tratados aqueles dados que, por algum motivo, possam causar danos como situações de constrangimento ou discriminações.
A lei determina ao controlador que é necessário indicar o período que os dados coletados serão armazenados, pois eles só podem ser guardados enquanto tiverem um propósito. Por exemplo, se a empresa oferece auxílio-creche para crianças que tenham até cinco anos de idade, não é permitido manter suas informações quando elas completarem seis anos de idade, exceto em caso de obrigação legal.
De tempos em tempos, os dados deverão ser checados para verificação de permanência, eliminando as informações que não precisam mais ser mantidas ou que tenham a finalidade já alcançada. A empresa é responsável por manter um cronograma da retenção dessas informações.
Lembrando que estes são apenas alguns dos documentos exigidos, somente um advogado especialista conseguirá elaborar os necessários para a empresa e de forma adequada
Dentro da Lei Geral de Proteção de Dados Pessoais, existe uma parte dedicada inteiramente aos titulares de dados e a responsabilidade que as empresas têm de garantir seus direitos dentro da preparação de tratamento de dados pessoais.
Os principais direitos dos titulares são:
Mesmo sendo um desafio para as empresas o cumprimento de forma efetiva de todos os direitos dos titulares, a partir do momento que o processo de implementação da LGPD é posto em prática, tudo se torna mais fácil e organizado.
Para garantir os direitos dos titulares de dados, é necessário que as empresas sigam os seguintes passos para cada direito.
Confirmação de existência de tratamento: A empresa deve facilitar para que o titular de dados possa confirmar se será realizado um tratamento de dados em conformidade com a LGPD, sendo uma resposta direta entre sim ou não, em no máximo 15 dias.
Acesso aos dados: Facilitar o direito ao acesso de todos os dados pessoais do titular a ele, as informações podem ser passadas de forma imediata ou em um prazo de 15 dias.
Correção de dados incompletos, inexatos ou desatualizados: A lei também garante ao titular o direito de solicitar que seus dados sejam corrigidos ou atualizados.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade: Caso o titular detecte que as informações solicitadas são excessivas, poderá pedir o bloqueio ou eliminação delas, com base na no princípio da anonimização.
Portabilidade dos dados: O titular poderá solicitar o compartilhamento de dados pessoais lgpd a outro fornecedor de serviços ou produtos.
Eliminação dos dados pessoais: A lei garante ao titular dos dados, o direito de exclusão das suas informações pessoais que são tratadas pela empresa. Com exceção de dados financeiros que transcendem a vontade do titular.
Informação sobre entidades que o controlador compartilhou os dados: Garante que o titular tenha direito a saber com quem seus dados pessoais estão sendo compartilhados e tratados.
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa: A empresa tem obrigação de informar ao titular que ele pode negar o consentimento de coleta e tratamento de seus dados.
Revogação do consentimento: O titular dos dados tem o direito de revogar o consentimento ao tratamento de seus dados particulares a qualquer momento e de forma facilitada e gratuita.
Seguindo essas premissas, as empresas conseguirão garantir os direitos dos titulares de dados e atender as normas da LGPD sem consequências.
É importante ressaltar que a LGPD tem mecanismos similares ao Código de Defesa do Consumidor, como: a presunção de hipossuficiência; a inversão do ônus da prova, o direito à informação e explicação, entre outros.
Mas a aplicação de violações são diferentes, conforme art. nº 45 da LGPD, caso haja violações do direito do consumidor, estas devem ser tratadas no âmbito do CDC e não da Lei Geral de Proteção de Dados Pessoais.
Entende-se que o enquadramento como controlador dentro do tratamento de dados pessoais necessita que tenha conhecimento de todo o fluxo de informações e dados, sendo pessoa física ou jurídica e que deve nomear um responsável pela comunicação com a ANPD (Autoridade Nacional de Proteção de Dados).
Deve haver uma reestruturação de políticas de privacidade e termos de uso, além de adotar medidas que irão assegurar a proteção das informações pessoais. Deverão ser empregadas melhorias no sistema de exclusão e descadastro de titulares, podendo ser de bases antigas.
Também é essencial ter uma política de violação de dados com prazos de notificação, caso situações deste porte ocorram, para assegurar os direitos fundamentais dos titulares. Tenha em mente que precisará reestruturar totalmente sua empresa, no que diz respeito a processos e fluxos de informações, para a implementação da LGPD de forma correta.
Seguem algumas práticas a serem cumpridas:
O artigo 42 da LGPD prevê que a responsabilidade por qualquer tipo de violação referente ao tratamento de dados pessoais é solidária entre controlador e operador, ou seja, ambos a compartilham.
Esta disposição legal faz com que seja essencial, no momento da criação dos contratos, a observação de cláusulas contratuais e disposições delimitando as responsabilidades de cada pessoa jurídica ou física contratante, relativa ao tratamento de dados pessoais presente no fluxo de informações para execução daquele determinado processo.
Um dos pontos mais importantes da LGPD é justamente o consentimento do titular dos dados, ele segue 4 adjetivos que o definem e portanto, devem ser seguidos. Quando fala-se em consentimento, ele deve ser:
Sendo assim, o titular dos dados não pode ser obrigado a consentir o tratamento de suas informações pessoais e não pode ser consentido de forma automática.
É preciso uma cláusula contratual que possa registrar o consentimento e explicar de forma clara e objetiva sobre os dados que serão coletados, assim como sua finalidade e os direitos do titular.
Deve ser inequívoco, ou seja, sem ambiguidade ou que gere qualquer tipo de dúvida sobre a coleta e validação do consentimento.
E por último, a manifestação do consentimento deve ser atrelada a uma finalidade específica e conhecida pelo titular de dados, ele precisa ser informado quais serão os usos de suas informações, suas finalidades e o direito de se opor a qualquer uso futuro que não seja compreendido por ele.
Além das informações citadas acima, a LGPD prevê que estas informações de consentimento estejam dispostas dentro de uma cláusula específica contratual, destacando-se das demais dentro do contrato.
Lembrando que o titular de dados – e isso deve estar informado na cláusula – pode revogar seu consentimento a qualquer momento de forma gratuita e facilitada.
Com acesso ao mapeamento de todos os contratos da empresa, incluindo clientes, fornecedores, colaboradores, etc. Aliado a um sistema de gerenciamento de consentimento, é preciso analisar todos os contratos e suas finalidades, quais bases legais atendem, e quais têm consentimento ou não.
E assim começar a adaptação de novas cláusulas que atendam os princípios e regras da LGPD, de forma transparente. Não basta que essas informações sejam claras para a empresa, e sim que sejam claras e estejam disponíveis para todas as partes do contrato.
Abaixo estão algumas cláusulas que promovem mais transparência para os contratos e são importantes de serem inseridas:
Uma estratégia de consentimento retroativo, nada mais é do que um envio de e-mail marketing em massa para toda a base de leads da empresa, informando que, para continuar enviando informações e se comunicar com eles, é necessário seu consentimento.
Esse método é recomendado para os titulares de dados que não possuem uma base legal que autorize o tratamento de seus dados para a finalidade que a empresa pretende, dessa forma é possível adequar sua base de dados para aqueles que ainda não estão de acordo com a lei.
O tratamento irregular ocorre quando a legislação não é observada ou quando a empresa não fornece segurança necessária. O operador responde pelos danos decorrentes da violação da segurança dos dados da empresa junto com o controlador, mesmo após o fim do tratamento.
Caso seja constatada alguma irregularidade ou infração contra as normas previstas pela LGPD, a ANPD poderá aplicar sanções sobre o incidente de dados, tais como:
Em incidentes de vazamento de dados, a empresa deverá atuar diretamente com os titulares de dados em uma conciliação direta entre controlador e titular para reparação e, caso não haja acordo, o controlador e operador poderão sofrer as penalidades citadas acima.
É importante lembrar que diversos órgãos como a ANPD (Autoridade Nacional de Proteção de Dados), Ministério Público, Procon, Idec, entre outros, estão intimamente ligados à LGPD e com isso controlando mais de perto qualquer infração.
A LGPD é uma realidade dentro do nosso país e como tal deve ser levada a sério, por isso quanto mais cedo as empresas se derem conta e começarem a implementar o tratamento de dados, melhor será a adequação.
Faça um diagnóstico do seu negócio e veja quais pontos ainda estão obscuros e podem ser tratados de forma imediata.