LGPD

As penalidades vão desde a proibição das atividades pela empresa até multas altas, chegando a R$ 50 milhões por infração.

A LGPD, Lei Geral de Proteção de Dados, é uma legislação brasileira que regulamenta as atividades que envolvem dados, de forma a proteger as informações pessoais e a privacidade dos usuários.

O crescimento exponencial da produção de dados no mundo e a exposição cada vez maior das pessoas nas redes sociais abrem margem para as empresas usarem as informações em diversos tipos de análises.

Esse excesso de liberdade provocou a necessidade de criar uma legislação específica para lidar com o novo cenário.

A discussão ganhou contornos mais sérios a partir de eventos como o escândalo da Cambridge Analytica, em que dados de usuários do Facebook foram utilizados durante a campanha presidencial dos EUA.

Na Europa, isso se deu com a criação da GDPR (General Data Protection Regulation), lei que serviu de base para a brasileira LGPD — Lei Geral de Proteção de Dados.

Neste artigo, você terá um panorama sobre a LGPD e entenderá como a lei pode afetar as atividades dos profissionais de TI. Confira!

O que é a LGPD (Lei Geral de Proteção de Dados Pessoais)
Determinações da LGPD
Penalidades por Descumprir a LGPD
Webinar: LGPD + Cibersegurança

O que é a LGPD (Lei Geral de Proteção de Dados Pessoais)

A Lei 13.709/2018 foi sancionada em agosto de 2018, pelo então Presidente da República Michel Temer.

Essa implementação da LGPD foi fruto de oito anos de debates e adaptações. A sanção, com vetos, não coloca a lei em vigor imediatamente, pois foi dado um prazo para que as empresas pudessem se adaptar.

É preciso esperar 18 meses a partir da data da sanção, o que significa que a lei entrará de fato em vigor em fevereiro de 2020.

A necessidade de uma norma específica para a proteção de dados aumentou conforme a facilidade de produção e vazamento das informações foi ficando latente.

Atualmente, qualquer pessoa pode ter um smartphone e produzir uma variedade de dados a cada minuto. Além disso, temos os objetos conectados (com a Internet das Coisas), que coletam informações do ambiente e monitoram pessoas.

A LGPD nasce como uma maneira de limitar possíveis abusos e penalizar de forma objetiva o uso desregrado de dados por parte das empresas.

O Brasil entra, dessa forma, no grupo de países que contam com uma legislação específica para regular o tratamento de dados países, ao lado de países da União Europeia e os Estados Unidos.

Como funciona a LGPD

A Lei Geral de Proteção de Dados, em resumo, coloca nas mãos do titular das informações o controle sobre elas. Ou seja: todo usuário deve permitir, de forma explícita, consciente e espontânea, que empresas utilizem os seus dados pessoais para fins específicos.

Estes fins também devem ser explícitos pelas empresas. Dessa forma, cada parte deixa claro a sua responsabilidade e compromisso, estabelecendo uma relação de mais transparência e segurança.

Assim, a LGPD tem um grande impacto nas empresas, especialmente nos setores de marketing, TI, comercial e jurídico.

Determinações da LGPD

A LGPD determina, e resumo, que o usuário deve ter sempre o controle de suas informações. Assim, ele deve poder modificar, transportar ou excluir seus dados a qualquer momento e sem burocracias.

Além disso, cabe às empresas informar os motivos do armazenamento e tratamento dos dados de maneira clara, evitando truques como:

o uso de letras miúdas nos termos de adesão;
termos enormes e sem objetividade, nos quais a maioria das pessoas acaba pulando a leitura;
botões pré-selecionados, como “OK”, “Aceito”, “Sim” e outros que induzem à aceitação automática.
Basicamente, a LGPD exige que as companhias expliquem os motivos pelos quais estão capturando e tratando os dados de um usuário.

Essa justificativa deve ser clara e objetiva, contendo como usarão e quanto tempo ficarão com o dado, além de quando as informações serão “devolvidas” e tiradas da base das corporações.

A empresa também precisa oferecer meios para que o titular possa acessar e controlar seus dados a qualquer momento. Em caso de vazamentos ou alguma mudança em relação ao tratamento, é necessário notificar o titular imediatamente.

Também é preciso designar um responsável pelo controle e pelas práticas relacionadas aos dados.

Essa pessoa será a mediadora e assumirá quando houver qualquer tipo de entrave ou problema quanto às informações.

O profissional também deve orientar e esclarecer a lei a todos os colaboradores que estiverem diretamente envolvidos com os dados dos usuários.

Agora, vamos entender ponto a ponto cada item que é abordado na LGPD e o que se espera em relação a eles.

Dados Pessoais


O dado pessoal é aquele que permite, sozinho ou em conjunto com outros, a identificação de seu titular. Por meio dele, é possível descobrir nome, apelido, endereço de residência, e-mail, endereço IP, números de cartões e cookies.

São dados que as empresas devem garantir proteção, sendo utilizados somente para os fins autorizados pelo dono desses dados.

Dados Sensíveis


A lei também visa à proteção dos dados sensíveis, que contêm características ainda mais reveladoras sobre uma pessoa.

Alguns exemplos de dados sensíveis são: religião, etnia, sexo, posicionamento político, biometria, dados bancários e outras que permitam que um sistema ou ferramenta faça segmentação de grupos.

Essas informações exigem um cuidado ainda maior da empresa que se dispõe a armazenar e fazer o tratamento.

Tratamento de Dados


O tratamento de dados faz referência à utilização dos dados do usuário. Ou seja: o que a empresa faz ou pretende fazer com as informações coletadas?

Essas intenções devem estar claras para o usuário, que deverá consentir o uso dos dados para estes fins. Um exemplo é a comunicação entre bancos.

Sem a LGPD, os bancos interligam os dados dos seus clientes. Dessa forma, os dados bancários e financeiros do cliente de um banco pode ser consultado por outro banco, ainda que isso não seja uma prática ética ou legal.

Com a LGPD, o usuário terá garantida sua proteção ao crédito, já que ele terá que dar permissão para que seus dados possam ser comunicados entre bancos.

É importante reforçar que todas as autorizações devem estar explícitas e claras, ou seja, não serão válidos os consentimentos que forem dados a partir de letras miúdas ou textos muito longos e complexos, que possam confundir o usuário.

Esse consentimento, transparente e direto, é o que garante às empresas o direito de tratar os dados coletados, de acordo com os termos acordados.

Titular dos Dados


Titular dos dados é qualquer pessoa física que tenha passado dados e informações pessoais, de maneira virtual ou não.

O titular dos dados tem direitos sobre os seus dados, incluindo o direito ao esquecimento.

Se a pessoa estiver com dados sendo expostos em algum site, por exemplo, ainda que ela tenha autorizado a exposição no passado, se quiser retirar, ela tem direito à remoção imediata do conteúdo.

Outros direitos fundamentais da LGPD ao usuário é o direito ao acesso e o direito da informação, que permitem que ele saiba quais dados estão sendo armazenados pela empresa e o porquê.

O artigo 18 da LGPD prevê que o titular dos dados pode solicitar, a qualquer momento e sem necessidade de justificativas:

Confirmação da existência de tratamento dos seus dados;
O acesso aos seus dados;
Correção de dados incompletos, inexatos ou desatualizados;

Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD;
Portabilidade dos dados a outro fornecedor de serviço ou produto;
Eliminação dos dados pessoais tratados;
Informações das entidades públicas e privadas com as quais o controlador compartilhou os dados do usuário;
Informações sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
Revogação do consentimento;
Revisão por pessoa natural de decisões automatizadas.
O objetivo de dar ao titular os dados o controle total sobre suas informações é evitar que empresas se utilizem de brechas legais (ou desconhecimento dos usuários) para utilizar os dados a seu favor, como aconteceu no famoso caso da Cambridge Analytica.

Consentimento aos Dados


Quando falamos em dados, não temos como fugir do setor de TI. Afinal, é nessa área que as informações são processadas, armazenadas e tratadas. Portanto, a responsabilidade de seus profissionais aumenta a partir da lei.
Ou seja: a privacidade passa a ser incorporada à arquitetura dos sistemas, dando acesso ao titular dos dados e permitindo o gerenciamento, a coleta e o tratamento de modo autônomo. Caberá ao setor de TI disponibilizar e incorporar esse novo modelo aos negócios.

A governança em TI é uma estratégia que irá dar o suporte necessário às empresas, garantindo suas políticas de segurança digital, privacidade e manutenção de ativos.

Anonimação e Pseudoanonimação


Uma das formas que a empresa tem que garantir a privacidade dos dados pessoais é utilizando técnicas de anonimação dos dados.

O processo envolve criptografar as informações, impossibilitando a ligação direta da informação com um usuário específico. Para fins de LGPD, dados anônimos não são considerados dados pessoais.

Já a pseudoanonimação dificulta a associação entre dado e usuário, mas não impede. Para a LGPD, mesmo que alguns dados sejam anonimizados, se ainda puderem permitir a ligação entre eles com os seus titulares, serão considerados como dados pessoais.

Controlador e Processador


Controlador e processador são duas figuras que fazem parte da LGPD, com responsabilidades diferentes em relação aos dados pessoais.

O controlador tem como responsabilidade tomar decisões relacionadas ao tratamento de dados. Para a LGPD, o controlador poderá ser a empresa ou a pessoa física que cumpre este papel, sendo responsabilizadas em caso de alguma infração.

O processador é aquele que executa o tratamento dos dados, de acordo com as orientações do controlador. Também pode ser uma pessoa física ou jurídica, e igualmente responde juridicamente em caso de descumprimento de alguma norma prevista em lei.

Penalidades por Descumprir a LGPD

Um ponto que é importante trazer é que qualquer empresa que tenha contato ou relação com brasileiros devem se adequar à LGPD.

Isso significa que empresas do exterior, ainda que de países sem legislação específica sobre o assunto, também devem respeitar e cumprir os termos da lei brasileira.

No caso da empresa descumprir a LGPD, poderá ter suas atividades relacionadas a tratamento de dados interrompidas ou completamente proibidas.

O descumprimento parcial, ou seja, as não conformidades, também trazem prejuízos. As multas podem corresponder a 2% do faturamento da empresa ou limitadas a R$ 50 milhões por infração.

ATENÇÃO: Em caso de vazamento de dados, cada dado pode ser interpretado como uma infração!
No art. 52 da LGPD, constam todas as sanções para caso de descumprimento. Confira:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração.

Não existe, ainda, um órgão específico para regular a lei e as penalidades para as empresas. Dessa forma, as partes ambíguas da lei que dependem de interpretação podem acabar custando muito dinheiro à empresa.

Portanto, é fundamental que as empresas providenciem todas as adequações necessárias e esperadas com a entrada da LGPD em vigor, revendo processos, planos de contingência e sistemas, se necessário.

Conclusão

A LGPD é uma legislação nacional para regular a captação, armazenamento e tratamento de dados pessoais e sensíveis, garantindo a privacidade dos usuários.

Ela é aplicada dando ao titular dos dados o controle e direito total sobre suas informações, de forma que as empresas não possam mais se apoiar no desconhecimento do usuário, brechas legais ou estratégias para confundir o titular, utilizando os dados para seu próprio benefício.

É obrigatório, portanto, que as empresas que possuam atividades relacionadas ao tratamento de dados deixem claro ao usuário o objetivo da captura daquela informação, e a sua utilização. O usuário, então, pode autorizar ou não o compartilhamento ou tratamento daquele dado.

Além disso, o usuário também pode solicitar a remoção da informação do banco de dados da empresa, a qualquer momento.

O descumprimento da nova lei pode gerar grandes prejuízos à empresas, incluindo a interrupção total ou parcial das atividades relacionadas.

Prepare-se para a LGPD, que em poucos meses já estará em vigor. A utilização de um sistema de automação e controle para seus departamento de TI pode ser essencial para a gestão dos dados e facilitar as mudanças de processos.

Related Posts

Edição
Ewerton Gonçalves Leandro

Shotcut

Aprenda do zero a COMO EDITAR NO SHOTCUT. Um tutorial completo para iniciantes, com tudo o que você precisa para editar vídeos nesse software gratuito!

Read More »
Reunião
Ewerton Gonçalves Leandro

Meet Jitsi

Vídeo aula mostrando como utilizar a ferramenta gratuita de reunião on-line Jitsi.

Read More »