Você já leu o romance inglês “1984”, de George Orwell? Nele, a figura do Grande Irmão, também chamado de Big Brother, exerce constante vigilância da população, chegando a violar a privacidade dos cidadãos e manipular a opinião pública.
Felizmente, a aprovação da Lei Geral de Proteção de Dados (LGPD) faz dessa ficção um cenário impossível no momento — mas não inimaginável. É inevitável: vivemos em um contexto ao qual os limites da privacidade são muito tênues, devido aos dados coletados em redes sociais, dados bancários preenchidos em e-commerces, cadastros em blogs etc.
As pessoas estão a todo momento fornecendo informações pessoais no meio digital. Mas com a aprovação da LGPD em 2018 e o início de sua vigência em 2020, os principais pontos acerca da proteção de dados deixam de ser uma discussão e se transformam em obrigatoriedade legal para todas as empresas públicas e privadas que lidam com informações pessoais de terceiros.
Por isso, vale a pena conhecer o assunto de uma ponta a outra para não ter e nem causar prejuízos. Acompanhe o texto que preparamos sobre a Lei!
O que é a Lei Geral de Proteção de Dados (LGPD)?
A LGPD foi criada para regulamentar o uso de dados pessoais, tanto no meio físico como digital. Desse modo, ela traz diretrizes sobre como deve ser a coleta e o tratamento de informações de terceiros, além de estabelecer as punições e as responsabilidades em caso de uso inadequado desses dados ou vazamentos.
A aplicação dos termos da LGPD começou a ser fiscalizada em 2020 em empresas públicas e privadas. Vale a pena lembrar que a fiscalização tem um propósito bem delimitado: precisa existir algum interesse econômico na coleta e tratamento dos dados para que os termos se apliquem.
Assim, informações pessoais utilizadas para fins exclusivamente particulares, jornalísticos, artísticos ou mesmo acadêmicos não se enquadram no alvo de proteção da LGPD.
A urgência no estabelecimento da LGPD
A necessidade de uma lei que regulamentasse o uso de dados pessoais não é tão recente. No entanto, o grande volume de informações particulares transitando na internet trouxe uma urgência a esse assunto, que começou a ser discutido mundialmente a partir na última década.
Em 2016, a União Europeia adiantou o processo e saiu na frente, aprovando o Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation ou apenas GDPR, na sigla em inglês). Porém, a grande reviravolta aconteceu no início de 2018, quando um escândalo de vazamento de dados envolvendo o Facebook veio à tona.
Na época, a Cambridge Analytica, especialista em análise de dados, foi acusada de ter usado ilicitamente informações de mais de 50 milhões de usuários do Facebook. A empresa teria coletado dados pessoais por meio de um teste de personalidade lançado na rede social.
Os usuário que baixavam o teste concordavam em fornecer os dados para fins acadêmicos. Entretanto, o que acontecia é que as informações eram usadas para deduzir as inclinações políticas dos perfis e influenciar os resultados da corrida presidencial americana, favorecendo o então candidato Donald Trump. Não é tão distante assim do futuro imaginado por Orwell, concorda?
Nesse caso, não houve vazamento. A Cambridge Analytica conseguiu as informações de maneira legítima. No entanto, utilizou uma brecha nas políticas de privacidade da rede social de Zuckerberg para trabalhar os dados para fins não consentidos pelos usuários, o que resultou em um processo bilionário de violação de dados.
Além disso, o escândalo colocou a questão da proteção de informações de terceiros no centro das preocupações mundiais. Como resultado, a LGPD teve seu processo de sanção acelerado. A projeto da Lei 13.709/18, que já transitava há alguns anos na Câmara dos Deputados, foi aprovado em agosto de 2018 pelo então presidente Michel Temer.
A lei europeia de proteção de dados (GDPR)
A GDPR, LGPD europeia, foi aprovada em 2016, mas já estava sendo idealizada desde 2012, quando foi proposta. Ela não foi tão inédita assim: desde 1995, os países da União Europeia compartilhavam de leis regionais unificadas para a proteção de dados, antes mesmo da ascensão digital.
Para conhecer mais sobre o Regulamento Geral sobre a Proteção de Dados, separamos os seus principais pontos:
- empresas interessadas em informações pessoais de terceiros, com fins econômicos, devem expressar isso de forma clara e direta na coleta dos dados;
- somente podem ser solicitados dados que são essenciais para o objetivo da empresa;
- o cidadão que forneceu os dados pode, a qualquer momento, revogar a decisão e solicitar a exclusão ou a alteração das informações;
- quando há exposição desses dados armazenados, a empresa precisa notificar as pessoas que cederam as informações o mais rápido possível;
- quando há desrespeito dessas regras, a GDPR prevê a aplicação de multas e outras punições.
Conhecer esses pontos é interessante porque, como veremos mais à frente, eles serviram de inspiração para lei de proteção de dados brasileira. Aliás, a lei europeia acabou por influenciar diversas nações e abrir novos caminhos na forma de lidar com informações pessoais — especialmente no que diz respeito ao protagonismo do titular dos dados.
As leis estadunidenses de proteção de dados
Enquanto a Europa está na dianteira, os EUA ainda não consideram a privacidade como um direito fundamental que seja responsabilidade do Estado. Embora haja uma citação na Constituição sobre isso (principalmente na 4ª emenda), a menção se refere mais ao resguardo de bens particulares do que à vida privada em si. Desse modo, não há uma regulamentação sobre a proteção de dados pessoais a nível nacional.
A Lei de Privacidade e Comunicação Eletrônica (Electronic Communications Privacy Act ou apenas ECPA) proíbe a interceptação de mensagens eletrônicas e telefônicas de terceiros. Já a Lei da Privacidade do Consumidor da Califórnia (California Consumer Privacy Act ou CCPA, na sigla em inglês), válida somente no Estado em questão, é o que mais se parece com os padrões da GDPR e começará a vigorar em 2020.
Agora, de olho nas tendências mundiais, as principais organizações de comércio e da indústria estadunidenses lançaram o plano Privacy for America (Privacidade para a América), com o objetivo de forçar o Congresso a elaborar uma lei geral de proteção de dados.
Quais são os principais pontos da LGDP?
No art. 7, a LGPD determina os princípios que devem limitar a coleta e o tratamento de dados pessoais de terceiros. São eles:
- finalidade: os propósitos devem ser legítimos e explícitos;
- adequação: o tratamento dos dados deve ser compatível à finalidade informada ao titular;
- necessidade: a coleta deve se restringir ao mínimo de informações, sendo utilizadas apenas as pertinentes ao objetivo da empresa;
- livre acesso: os titulares dos dados podem consultar, de forma facilitada e gratuita, as informações sempre que quiserem;
- qualidade: os dados precisam ser claros, exatos e atualizados no momento do tratamento;
- transparência: os titulares têm direito a explicações claras e acessíveis sobre o tratamento dos dados;
- segurança: a empresa responsável pelos dados precisa garantir a segurança deles, evitando acessos não-autorizados, perdas, vazamentos ou alterações;
- prevenção: a empresa deve adotar medidas preventivas em relação à integridade dos dados;
- não-discriminação: é proibido utilizar os dados fornecidos para fins discriminatórios ou abusivos;
- responsabilização e prestação de contas: em situações de fiscalização, quem detém os dados precisa ser capaz de comprovar a observância a todas essas normas e a eficiência das medidas adotadas.
Consentimento para uso de dados pessoais
Em relação à coleta de dados, um dos principais pontos da LGPD é a importância do consentimento do titular. Entre os princípios citados no art. 7, vários deles reforçam a obrigatoriedade de manter o dono dos dados informados sobre a finalidade da coleta.
Para evitar ambiguidades, os objetivos da empresa precisam ser expressos com grande clareza, assim como a possibilidade de compartilhamento dessas informações. O titular tem o direito de revogar os dados, alterá-los ou solicitar a exclusão quando quiser, o que obriga a empresa a interromper imediatamente o uso.
Tratamento de dados de crianças e adolescentes
Quando se trata dos dados pessoais de menores de idade, a LGPD traz algumas especificações em seu art. 14. Em primeiro lugar, a lei determina que o consentimento precisa ser dado por pelo menos um dos pais do titular.
Quando o objetivo da coleta é contatar os pais — e não o armazenamento —, o consentimento pode ser dado pela própria criança ou adolescente. Nesse caso, porém, as informações devem ser utilizadas uma única vez e não podem ser compartilhadas com terceiros em hipótese alguma.
Ainda no caso do consentimento dado pelo menor, as informações acerca dos objetivos da empresa precisam ser repassadas considerando as características físico-motoras, perceptivas, sensoriais e intelectuais das crianças. O foco dessa recomendação está em reforçar a necessidade de entendimento por parte do titular, mesmo que para isso sejam necessários recursos audiovisuais.
Proteção aos dados sensíveis
A Lei Geral de Proteção de Dados também aborda o conceito de dados sensíveis, em que as restrições na coleta e no tratamento são ainda mais rígidas. Enquadram-se nesta categoria:
- a origem racial ou étnica;
- as inclinações religiosas;
- as opiniões políticas;
- a filiação a sindicatos;
- o posicionamento filosófico;
- a sexualidade;
- dados referentes à saúde sexual;
- informações genéticas.
O uso desses dados pessoais sensíveis para fins discriminatórios é proibido. No art. 11, a LGPD orienta que o tratamento dessas informações só pode ser feito quando o titular dá o consentimento de forma destacada ou quando há razões cabíveis, como a proteção da vida ou a segurança pública.
A aplicação territorial e extraterritorial da LGPD
A Lei Geral de Proteção de Dados se aplica a todas as operações realizadas no território nacional brasileiro, incluindo empresas públicas e privadas sediadas em outros países.
Então, se uma empresa americana, como a Google, por exemplo, utiliza dados coletados no Brasil, ela precisa seguir o que determina a lei nacional. A soberania da lei nacional está acima do país de origem dessas empresas.
A LGPD também se aplica em situações nas quais vigoram normas setoriais, que também regulamentam o uso de dados pessoais. Nesse caso, a lei geral não desautoriza a setorial, mas é igualmente válida.
Qual é a real importância da LGPD?
Trabalhar com dados pessoais de terceiros sempre exige cautela. Com o estabelecimento da internet como uma nova realidade de negócios definitiva, isso se torna ainda mais crítico. Diante disso, o ambiente digital não pode mais ser um “território sem leis”.
Ter uma regulamentação que preencha essa lacuna do direito digital, ao menos no que diz respeito à coleta e ao tratamento de informações pessoais, já é um grande avanço. Assim, a importância da LGPD reside sobretudo na sua necessidade. Mas há outros motivos. Veja alguns deles abaixo!
Mais valor ao país
Ao aprovar a LGPD, o Brasil acaba seguindo os frameworks que já vêm sendo estabelecidos em outros países, como os da União Europeia. Isso deixa o país alinhado com as tendências mundiais e representa a busca por manter o compasso das novas formas de negócio.
Protagonismo dos titulares de dados
Um dos grandes destaques da LGPD — e um de seus maiores trunfos também — é o protagonismo dos donos de dados. Agora, os titulares de informações não apenas têm mais controle sobre a coleta, como podem a qualquer momento revisar os dados armazenados.
Essa também é uma vantagem para as empresas que tratam esses dados. Caso haja qualquer intercorrência, podem transferir a responsabilidade ao titular — isso se estiverem completamente dentro do que prevê a LGPD. Por outro lado, elas têm um reforço na necessidade de transparência e idoneidade moral.
Mudança na cultura de exposição de dados
O que não faltam são escândalos de vazamentos de arquivos ou informações particulares para nos mostrar o quanto essa se tornou uma questão com relevância social. Uma iniciativa governamental que visa a educar a população, especialmente quando os fins são profissionais, é mais do que bem-vinda.
Proteção contra vazamentos e exposição
Por fim, a LGPD traz mais segurança para empresas que trabalham com dados pessoais de terceiros. Seguindo todas as recomendações da lei, os profissionais evitam danos, como o pagamento de multas, a suspensão das atividades ou mesmo um comprometimento da imagem da empresa.
Quais são as consequências pelo descumprimento da LGPD?
O escândalo do Facebook, assim como outros similares, nos mostra que o uso de dados pessoais sem consentimento é grave. Não é à toa que o caso em questão gerou um processo bilionário.
No Brasil, a LGPD prevê diversas punições pelo descumprimento das recomendações. Entenda como esses usos inadequados de dados de terceiros serão monitorados e quais são as principais consequências para a empresa envolvida!
A fiscalização da LGPD
O art. 55 da LGPD cria a Autoridade Nacional de Proteção de Dados (ANPD), um órgão público destinado à fiscalização no uso de dados pessoais. Com natureza transitória, a ANPD será formada por membros do poder público e civil, distribuídos em:
- Conselho Diretor;
- Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
- Corregedoria;
- Auditoria;
- equipe de assessoramento jurídico;
- unidades administrativas.
Entre as tarefas da ANPD estão promover o conhecimento sobre a proteção de dados e de políticas públicas voltadas para isso, além de fiscalizar e aplicar sanções em caso de descumprimento da lei.
A comunicação de incidentes em tempo hábil
A primeira novidade da LGPD sobre as punições no vazamento de dados é a obrigatoriedade de comunicar em tempo hábil o ocorrido. Na Lei, não fica estabelecido qual é o prazo máximo para comunicação, mas o art. 48 reforça que qualquer incidente de segurança precisa ser reportado à ANPD em tempo de minimizar ou evitar riscos ou danos aos titulares.
Essa observação evita que ocorram situações como a protagonizada pela Netshoes, que deixou vazar quase 2 milhões de contas com informações sobre os usuários da loja virtual, incluindo nome, CPF e histórico de compras.
Como não havia regulamentação específica, os titulares dos dados só ficaram sabendo do vazamento quando o Ministério Público estabeleceu o valor da indenização por danos morais em R$ 500 mil. Isso foi determinado semanas após o incidente.
As sanções administrativas
Depois de comunicar órgão competente, a empresa responsável pelo descumprimento da LGPD terá a infração penalizada de acordo com a reincidência, o grau dos danos e a boa-fé do infrator.
Isso significa que, se a empresa conseguir demonstrar seu comprometimento com a lei e tiver um bom plano de emergência para a resolução da crise, a sanção poderá ser reduzida.
Entre as punições possíveis estão:
- advertência, com prazo para implementação de medidas corretivas de segurança;
- multa de até 2% do faturamento da empresa, sendo o máximo de 50 milhões de reais;
- divulgação pública da ocorrência;
- bloqueio temporário ou eliminação do banco de dados, suspendendo as atividades.
As exceções de responsabilidade
As únicas exceções de responsabilidade ocorrem quando o incidente no uso de dados se dá em favor exclusivamente da segurança pública, da defesa nacional, da segurança do Estado ou quando julga-se necessário para investigações de infrações penais.
Como adequar os negócios à LGPD?
Diante de todas essas informações, não há dúvida de que a adequação de empresas aos termos da LGPD é necessária e merece planejamento. Separamos algumas sugestões de como lidar com as diretrizes da Lei e evitar prejuízos. Acompanhe!
Faça uma adequação documental
Faça uma análise cuidadosa das políticas de privacidade da empresa para se certificar de que está tudo alinhado ao que prevê a LGPD.
Revise contratos, formulários online, processos e outros documentos que envolvam a coleta e o tratamento de informações pessoais, garantindo que a linguagem é clara e concisa.
Mantenha registros da observância das normas
A partir de agora, comece a manter registros de todas as medidas tomadas pela empresa em favor da adequação à LGPD. Qualquer iniciativa que demonstre o interesse da empresa em constituir uma base de dados legítima, transparente e segura deve ser documentada.
Invista na educação acerca da LGPD
Não espere a lei entrar em vigor para comunicar os colaboradores das novas políticas da empresa. Desde já, é importante moldar a cultura organizacional de modo que ela esteja alinhada com as práticas de proteção de dados pessoais.
Orientações escritas, reuniões e treinamentos são bem-vindos — até mesmo para equipes que não lidam com a coleta e o tratamento de dados diretamente.
Reforce as estruturas de segurança de dados
Invista em sistemas de segurança para as bases de dados, tanto para o armazenamento como para a manipulação. Como o uso de dados pessoais vai se tornar ainda mais crítico, os bancos devem estar preparados para evitar ataques de hackers, de preferência, com recursos associados à prevenção de vazamentos e até à educação de pessoas.
Implemente políticas de compliance digital
Se você ainda não tem políticas de compliance digital, é hora de começar a elaborá-las! Com a aprovação da LGPD, não só a segurança de dados pessoais, como outros tópicos relacionados à conduta digital com fins econômicos, se tornam cada vez mais importantes.
Por isso, é interessante ter padrões de ética, comunicação, resolução de críticas e auditoria no meio virtual. Além de valorizar a imagem da organização, as políticas de compliance digital tornam mais fácil a transição para os termos da LGPD e a monitoração do comportamento de colaboradores, por exemplo.
Elabore planos de emergência para crises
As equipes de TI devem estar preparadas para lidar com possíveis vazamentos ou problemas de segurança. Por isso, vale a pena criar políticas e procedimentos padrões para o combate de ataques de hackers desde já, assim como sistemas de identificação de incidentes na base de dados.
Quais são os resultados práticos após a aplicação da LGPD?
O respeito à Lei Geral de Proteção de Dados, sobretudo aos princípios definidos no art. 7, traz resultados positivos para a empresa no que se refere à adequação dos negócios às obrigações legais. De forma mais prática, podemos resumir esses efeitos em:
- evitar multas pesadas e processos pela não proteção de dados;
- ter um maior controle sobre a manipulação de dados de terceiros na empresa;
- fomentar a adesão dos colaboradores às boas práticas de segurança da informação;
- ter aderência aos principais frameworks globais;
- possibilitar a Gestão de Risco e Compliance (GRC) em tempo real.
Diante dessa leitura, você viu que a LGPD brasileira define como deve ser feita a coleta e o tratamento de dados de terceiros, com forte influência da GDPR europeia. Ainda, prevê as penalidades pelo descumprimento e estabelece o poder da ANPD.
Com isso, há uma mudança cultural na forma de lidar com informações pessoais de terceiros nos negócios. Sobretudo, a Lei Geral de Proteção de Dados estabelece uma nova era na internet — que até então carecia de limites sobre a privacidade dos usuários. Vale a pena começar a se preparar desde já!
Nós da Run2biz trabalhamos para ajudar as empresas a se adequarem à LGPD. Por meio do 4biz, os usuários recebem alertas em tempo real de servidores e computadores sem antivírus, assim como possuem o monitoramento dos dados e do acesso a eles, com o mapeamento do risco de todo o negócio e recebimento de alertas e ocorrências de segurança em tempo real.
Além disso, contamos com um severo controle da governança da LGPD, onde há a publicação e acompanhamento dos indicadores de conformidade à Lei, treinamentos e informações constantes sobre essa normativa.
Então, que tal conhecer mais a Run2biz? Nós podemos ajudar com soluções de TI alinhadas aos padrões da LGPD! É fácil, basta entrar em contato conosco e conhecer nossos diferenciais!