A partir de uma série de normas e procedimentos sobre o tratamento dos dados pessoais e compartilhamento por terceiros, a Lei Geral de Proteção de Dados (LGPD) preza pelo respeito a privacidade, os direitos humanos de liberdade e dignidade das pessoas, a defesa do consumidor e a liberdade de expressão.
Com a LGPD torna-se necessário o consentimento expresso do cliente quanto ao uso das informações, sendo que as condições de uso devem estar descritas abertamente, vetando seu uso para quaisquer finalidades que não as acordadas.
Continue a leitura para entender melhor o que é a LGPD e como ela afeta sua empresa.
Veja sobre o que trataremos neste post:
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) de n.º13,709/18, estabelece diretrizes a respeito da coleta, processamento e armazenamento de dados pessoais, além de alterar os artigos 7 e 16 do Marco Civil da Internet.
A LGPD, inspirada na GDPR (General Data Protection Regulation) da União Europeia, coloca o Brasil entre os países que contam com uma legislação específica, sobre a proteção de dados e privacidade de seus cidadãos.
Dessa forma, a Lei introduziu os conceitos de “dados pessoais” e “dados pessoais sensíveis” ao meio jurídico, a LGPD determina como eles serão tratados, instituindo obrigações específicas àqueles que controlam essas informações.
Assim, qualquer pessoa, seja física ou jurídica, de direito público ou privado, deve enquadrar o uso dos dados pessoais a LGPD, desde que exerça atividade comercial, online ou offline, de qualquer natureza. O mesmo vale para empresas que oferecem serviços ao mercado consumidor brasileiro e não estão sediadas no país.
Portanto, os sujeitos envolvidos no tratamento de dados realizam a aplicação da LGPD e suas definições estão previstas nos incisos do 5º artigo da lei. Os sujeitos são identificados como:
Titular
Entende-se como titular, a pessoa física ou sujeito, cujos dados devem ser protegidos, “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento” (art. 5, V). Sendo a violação dessa proteção, a negação dos direitos fundamentais do titular.
Controlador e Operador
Descritos como agentes de tratamento, o controlador e o operador são os responsáveis por garantir os direitos do titular conforme a LGPD.
Assim, este agente é responsável por tomar as decisões sobre o tratamento de dados. O controlador define os parâmetros e finalidades, a coleta e a recepção, e a relevância dos dados para a operação. Enquanto ao operador, cabe o tratamento de dados, segundo orientações do controlador. Ambos são realizados por pessoas físicas ou jurídicas, de direito público ou privado.
Autoridade Nacional de Proteção de Dados (ANPD)
Criada pela LGPD, a ANDP é o órgão que zela pela proteção de dados pessoais, estabelecendo as competências normativas, deliberativas, fiscalizadoras e sancionatórias. Possibilitando a implementação correta da lei.
Encarregado
O encarregado é escolhido pelo controlador e operador para intermediar a comunicação entre os sujeitos envolvidos no tratamento de dados.
A lei, no art. 41, § 2º, estabelece que o encarregado fica responsável por:
I – aceitar as reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O que são dados pessoais e por que precisam ser protegidos?
As primeiras informações que vêm à mente quando pensamos em dados pessoais são CPF, RG, gênero, data e local de nascimento, telefone, endereço residencial, cartão ou dados bancários. Porém, dados como, localização via GPS, fotografias, prontuário de saúde, hábitos de consumo, endereço IP (Protocolo da Internet) e cookies, também se enquadram nesta categoria.
Por dados pessoais, então, a LGPD entende “informação relacionada à pessoa natural identificada ou identificável”, ou seja, determina que dados pessoais são todas as informações que permitem a identificação da pessoa.
Dentre tantas informações, a lei dá maior atenção aos chamados “dados pessoais sensíveis”, ou seja, “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
A necessidade de proteção dessas informações visa impedir o mau uso dos dados, através da criação de mecanismos que garantam a utilização dos dados para fins lícitos, com ciência e consentimento do titular.
Direitos dos titulares
Visando a proteção dos dados pessoais de clientes e usuários, a LGPD assegura os direitos fundamentais de liberdade, privacidade e intimidade, estabelecendo que o titular deve:
- Ser informado sobre qualquer atividade de tratamento de dados (coleta, armazenamento, uso e classificação).
- Ter acesso aos dados, podendo requerer uma cópia deles.
- Solicitar a qualquer momento que seus dados sejam bloqueados ou eliminados, bem como sua anonimidade.
- Realizar a portabilidade de dados a outro provedor de serviços ou produtos.
- Saber com quem o controlador compartilha seus dados pessoais.
- Ser informado sobre a possibilidade de não fornecer os dados e, se houver, quais suas implicações.
- Revogar o consentimento.
Princípios da boa-fé
Segundo o princípio da boa-fé, disposto nos artigos 46 e 47 da LGPD, procedimentos de segurança no armazenamento, eliminação e descarte de dados, devem ser adotados para evitar o acesso dos mesmos por terceiros.
O cuidado com o tratamento de dados previsto pelo princípio da boa-fé, refere-se tanto ao descarte de papeladas quanto as plataformas e bancos de dados.
Requisitos para o tratamento de dados pessoais
A Lei Geral de Proteção de Dados determina, no artigo 7, os requisitos para o tratamento de dados pessoais, prevendo o uso:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei n.º 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular, ou de terceiro;
III – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Principais impactos da lei para as empresas
As diretrizes de coleta, armazenamento, compartilhamento e gerenciamento de dados pessoais estabelecidos pela LGPD, fornece as empresas, um novo olhar sobre o tratamento de dados coletados, guiado por três princípios de segurança (CID):
- Confiabilidade: diz respeito as medidas de proteção e de prevenção, que garantem a não exposição dos dados.
- Integridade: assegura a precisão dos dados e sua atualização, garantindo a qualidade dos mesmos.
- Disponibilidade: acesso livre as informações a qualquer momento.
A orientação da LGPD é de que as empresas eliminem os dados de suas bases, para proteção do titular e, caso haja a necessidade de usá-la para outros fins, os mesmos devem ser documentados em relatórios, apresentando o motivo específico, legítimo e claro para o usuário.
Para evitar a coleta de informações desnecessárias, é importante a empresa se questionar sobre: quais dados do cliente precisa ter acesso? Como armazena esses dados? Quem tem acesso a eles? Qual a finalidade das informações coletadas?
Punições previstas em lei
As punições por infrações na LGPD estão previstas nos artigos 42 e 52, sendo:
- Advertência administrativa.
- Tornar pública a infração.
- Reparação de danos causados ao titular, em decorrência do tratamento inadequado dos dados pessoais.
- Multa diária ou total sobre o faturamento total, de até 2%, limitada a R$50 milhões por infração.
Além das penalidades previstas em lei, existe a visão negativa de clientes, colaboradores e fornecedores, além de processos judiciais individuais e coletivos.
Benefícios para as empresas
Sobre os benefícios da LGPD para empresa, podemos destacar:
- Melhora da segurança: através dos três pilares de segurança da informação (CID), a lei ajuda a prevenir os ataques cibernéticos, obrigando a empresa a rever suas regras de privacidade e segurança.
- Aumento da credibilidade: o cuidado e a proteção dos dados, demonstra a preocupação que a empresa tem com seus clientes e em estar na lei.
- Competitividade: a revisão de processos forçada pela lei, contribui para a identificação de pontos falhos e melhorias na operação, possibilitando a expansão e crescimento da estratégia de negócio.
O que nós propomos para você
Ficou com dúvidas sobre a LGPD e como garantir que sua empresa esteja de acordo com a legislação? Veja a seguir o que preparamos para você se aprofundar ainda mais no assunto e implementar a proteção de dados na sua empresa.
Curso
Curso do Sebrae online e gratuito “LGPD: a sua empresa está preparada?”. Nesse curso de 2 horas, você vai aprender como a LGPD muda a maneira como as empresas lidam com dados pessoais. O curso possui os seguintes módulos:
- Conhecendo a LGPD.
- A LGPD nas empresas.
- Boas práticas.
Ebook
Ebook do Sebrae “Lei Geral de Proteção de Dados“. O ebook tem como objetivo destacar os principais pontos da lei, informando e esclarecendo a todas as pessoas que lidam, direta ou indiretamente, com o tratamento de dados pessoais, a respeito da LGPD e onde ela irá impactar.
Assim, os profissionais poderão adequar seus processos internos para desenvolver um ambiente de negócios em conformidade com a lei.
Vídeo
Vídeo do Canal do Sebrae Talks “Lei Geral de Proteção de Dados Pessoais (LGPD) e os impactos para a SUA EMPRESA!”.
