A Lei Geral de Proteção de Dados (LGPD) foi editada e aprovada pelo Congresso Nacional em 2018, como resposta à demanda do mercado internacional pela preservação da liberdade, da intimidade e da privacidade das pessoas físicas que confiam os seus dados a terceiros, sobretudo em ambientes virtuais.
A fim de fazer do Brasil um parceiro de negócios íntegro, confiável e atento à dinâmica econômica mundial, nosso legislativo se inspirou na lei europeia para disciplinar as operações com dados de pessoas físicas.
O “tratamento de dados pessoais”, assim definido pela LGPD, compreende toda a forma de coleta, armazenamento, compartilhamento e eliminação de dados de pessoas naturais. A lei ainda exige o consentimento do titular e a clara delimitação da finalidade do tratamento dos dados, estabelecendo rigorosos padrões de proteção, com exigências técnicas que passam, invariavelmente, por soluções em tecnologia da informação, gestão de processos e governança corporativa.
O que é dado pessoal para a LGPD?
Engana-se quem pensa que dado pessoal é apenas o nome ou o número do RG ou do CPF. Em verdade, “dado pessoal” é toda e qualquer informação que permita identificar uma pessoa física, assim entendidos os hábitos de consumo, preferências musicais ou histórico de deslocamento, por exemplo.
Quem está sujeito à LGPD?
Estão sujeitas à disciplina da LGPD as pessoas naturais ou jurídicas de direito público ou privado (independentemente de sua nacionalidade ou do país de sua sede), que realizam tratamento de dados pessoais com o objetivo de ofertar ou fornecer bens ou serviços a indivíduos brasileiros e/ou situados em território nacional.
A LGPD está em vigor? Qual o prazo final para a conformidade legal?
A LGPD já está em vigor e a Autoridade Nacional de Proteção de Dados pode impor as sanções administrativas criadas desde setembro deste ano.
Se o meu negócio ainda não está em conformidade, qual o tamanho do risco?
A proteção aos dados de pessoas físicas não é novidade na legislação brasileira. A Constituição Federal resguarda, desde 1988, a privacidade e a intimidade de todos os cidadãos. Com base nela, as normas vigentes, tais como o Código de Defesa do Consumidor, o Código Civil e o Marco Civil da Internet, já asseguram a reparação dos danos oriundos da violação de dados (indenização). Em casos extremos, o vazamento dessas informações pode, inclusive, repercutir na esfera criminal.
Desde setembro, a LGPD permite a imposição de sanções administrativas a quem deixar de observar as melhores práticas de governança de dados e proteção da privacidade. Assim, aqueles que não se adequarem aos standards legais de prevenção estarão sujeitos também a penalidades administrativas diversas, conforme a complexidade da infração, podendo sofrer com multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões por ocorrência, sem prejuízo do citado dever de reparação já previsto pelo ordenamento jurídico brasileiro.
Identificado o problema de forma detalhada, serão necessárias entregas essenciais na busca da conformidade com a LGPD:
- Mapeamento do risco;
- Implementação de programa de governança de dados;
- Integração da estratégia jurídica com as soluções praticadas em T.I.;
- Revisão dos processos internos impactados pela lei;
- Recomendações para a implementação de um programa de segregação de funções e determinação de cadeia de responsabilidades;
- Atribuição de bases legais e gestão de logs de consentimento;
- Eleição conjunta de responsável pela gestão do programa de privacidade (encarregado);
- Treinamento, conscientização e capacitação dos colaboradores envolvidos;
- Documentação da “boa-fé” empresarial;
- Possibilidade de suporte para melhoria contínua e gestão de crise.
Além dessas entregas essenciais, as empresas devem adaptar seus processos, conforme a cartilha informativa criada pela Proteste junto ao Google:
- Entenda quais dados pessoais sua empresa coleta (via cadastro, por exemplo) e como utiliza eles (a finalidade);
- Caso seu negócio possua um site, apresente:
- 1. Política de Privacidade clara e que explique o uso dos dados obtidos pela plataforma. É importante conter o tipo de dados obtidos, a finalidade do tratamento dos dados, identificação e informações de contato do controlador dos dados, informação sobre o compartilhamento de dados, e menção expressa aos direitos dos titulares e como exercê-los;
- 2. Formulários de cadastro devem coletar apenas os dados necessários para a ação e qual será sua utilização;
- 3. Quando necessário, utilize um Aviso de Cookies explicando o motivo da coleta de dados, quais dados serão coletados e a opção de “aceitar” ou não o uso de cookies na navegação;
- 4. Certificação de segurança digital e criptografia;
- Cuide as comunicações de marketing, pois elas costumam envolver dados pessoais para prospecção de clientes e ações de envolvimento com a marca. Para isso é preciso:
- 1. Garantir que os titulares possam optar ou não por receber suas comunicações de marketing e permitir que haja desvinculação com qualquer comunicação, como e-mail marketing;
- 2. Facilitar informações sobre o tratamento dos dados e utilizá-los para finalidades autorizadas, além de assegurar sua guarda;
- 3. Não adicione automaticamente pessoas à sua lista de e-mails sem um contato prévio, não compre lista de mailing e listas de contatos, não induzir a autorização de coleta de dados;
- Permita ao titular dos dados o acesso à cópia sobre os dados obtidos pela empresa, a retificação dos dados e exclusão de dados da base, assim como solicitar a transferência de dados para outra empresa (inclusive concorrentes), restringir ou se opor ao tratamento dos dados;
- Adotar cuidados com a segurança da informação, utilizando senhas, acessos a redes seguras, uso de criptografia, atentar-se a links e anexos desconhecidos e controle de quem acessa as informações em seu sistema.
Aqui na Sulcontábil, trabalhamos com diversas empresas parceiras, buscando entregar soluções empresariais completas a você. Caso precise de apoio para adequar sua empresa à LGPD, nosso canal está aberto: atendimento@sulcontabil.com.br