Escrito por
É provável que você já tenha ouvido
falar na Lei Geral de Proteção de Dados, também conhecida pela
sigla LGPD. O tema é recorrente nas conversas entre profissionais
de diversos segmentos, e pode ser tornar um problema às que não se
adaptarem.
Mas
será que o mercado sabe como esta lei vai funcionar na prática? E a sua
empresa, está preparada para as mudanças impostas pela norma? O que vai
acontecer com quem descumprir a lei?
Desde
a data da sua publicação, têm surgido muitas dúvidas a respeito da LGPD.
Inclusive, com relação à data de entrada em vigor. Pensando nisso, nós da
HubSpot, que também temos interesse neste assunto, decidimos trazer os
principais pontos de relevância da nova lei, montando um guia geral atualizado
sobre o assunto.
Selecionamos
as principais dúvidas sobre o tema e agora compartilhamos todas as respostas
com você! Vamos lá?
O que é a LGPD?
A
Lei Geral de Proteção de Dados — LGPD — é o nome que foi dado à Lei
13.709/2018, publicada em 14 de agosto de 2018. Sancionada pelo então
Presidente da República, Michel Temer, o principal objetivo da lei é de
garantir a proteção no tratamento de dados pessoais.
Mas,
afinal, o que isso significa? Basicamente, o propósito é proteger as
informações pessoais, principalmente em razão do momento em que vivemos, no
qual tem ocorrido diversos vazamentos de informações pessoais por ocasião do
uso ou tratamento indevido de dados.
Quantas
vezes você já recebeu ligações de empresas desconhecidas oferecendo produtos ou
serviços? E você já parou para pensar como essas empresas tiveram acesso ao seu
contato e informações pessoais? Pois é!
A
LGPD veio justamente para evitar o uso indevido de dados sem autorização dos
titulares das informações. A norma, foi inspirada no Regulamento Geral sobre a
Proteção de Dados GDPR 2016/679 Europeu. Adiante falaremos mais sobre ele!
Quando a LGPD entra em vigor?
A
Lei 13.708/2018, publicada em 14 de agosto de 2018, previa, inicialmente, a
entrada em vigor em agosto de 2020.
Entretanto,
a publicação de medidas provisórias e outras normas posteriores, trouxeram
dúvidas quanto a efetiva data de entrada em vigor da lei.
Além
disso, em maio de 2020, o Projeto de Lei 1.179/2020, que suspendia normas de
Direito Privado durante a epidemia da COVID-19, gerou novos questionamentos por
parte dos empresários.
Segundo a redação final, a lei começa
a vigorar em agosto de 2020 e os artigos que tratam das sanções entram em vigor
apenas em agosto de 2021. Neste sentido, o artigo 65 especifica,
claramente, os prazos de vigência de cada artigo:
Art.
65. Esta Lei entra em vigor:
I -
dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E,
55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e
I.A
- dia 1º de agosto de 2021, quanto aos arts. 52, 53 e 54;
II -
24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais
artigos. (Incluído pela Lei nº
13.853, de 2019)
II -
em 3 de maio de 2021, quanto aos demais
artigos. (Redação dada pela Medida Provisória nº 959, de
2020)
Neste
contexto, quem já se adequou à LGPD sai na frente. Muitas empresas,
principalmente as que mantêm relações internacionais, já vinham se adequando
desde 2018.
Mas
calma, se a sua empresa ainda não está pronta para as mudanças, não é tarde
para começar. A seguir, separamos as principais informações que você deve
conhecer sobre as novas normas e adaptações necessárias dentro da sua empresa.
Na prática, quais são as principais
mudanças trazidas pela LGPD?
Antes
de entender as principais mudanças trazidas pela LGPD, é importante trazer um
conceito essencial para a compreensão do assunto: dado pessoal.
É considerado “dado pessoal” qualquer
informação relacionada a um indivíduo que possa, conjunta ou isoladamente,
definir a sua identidade. Assim, são dados pessoais informações
como: nome, endereço, número de documentos, endereço de e-mail e telefones de
contato.
É
com base nesses conceitos que a lei determina regras e direcionamentos
específicos quanto a controle, coleta e gestão de informações pessoais.
Coleta
de Dados
Segundo a LGPD, a coleta de dados deve
ser sempre autorizada pelo usuário. E isso não se restringe apenas à
coleta, mas também ao armazenamento, reprodução, utilização,
distribuição, processamento, arquivamento e qualquer outra forma de
utilização desses registros.
A
autorização do titular dos dados é imprescindível e, independentemente da
situação, a empresa deve ter autorização para manter informações pessoais de
clientes no seu banco de dados.
Controle
pessoal dos dados
Além
da autorização, a empresa deve estar ciente que os titulares dos dados podem, a
qualquer momento, solicitar a retificação ou exclusão das informações,
cancelando a autorização de uso dos dados.
O
que se conclui é que a LGPD veio para trazer mais controle ao consumidor acerca
do uso e destinação que é dada aos seus dados pessoais, criando a possibilidade
de punir os responsáveis por qualquer dano causado pelo uso inadequado das
informações dos seus clientes.
Dados
sensíveis
São considerados dados sensíveis todas
as informações que possam causar dano direto ao titular,
por exemplo, religião, opinião política, informações de saúde, opção sexual,
gênero, etnia, etc.
Com
relação aos dados sensíveis, é necessário consentimento expresso, ou seja, o
titular das informações deve concordar livremente com a coleta e utilização dos
seus dados, sem que isso o impeça de acessar um serviço ou produto.
Vazamentos
de dados
Em
caso de descumprimento da lei, que poderá acontecer na etapa de coleta,
controle e gestão de informações com vazamento de dados, a empresa fica sujeita
à penalização.
A
pena vai depender da gravidade da situação, podendo variar entre advertências a
aplicações de multa de até 2% do faturamento da empresa. É importante destacar
aqui que a multa tem um limite de R$ 50 milhões.
Quais são as diferenças entre a LGPD e
GDPR?
GDPR
é a sigla para General Data Protection Regulation, traduzida como
Regulamentação Geral de Proteção de Dados. Ela é a legislação europeia criada
com o objetivo de proteger informações pessoais dos cidadãos em plataformas de
armazenamento de dados.
A
LGPD foi criada a partir da GDPR, que entrou em vigor na Europa em 2018 e tem
essencialmente o mesmo objetivo de proteger dados pessoais.
O combate à exposição de dados
sensíveis e a necessidade de garantir o direito à privacidade se
tornou uma demanda urgente em razão da evolução da tecnologia e das. O ambiente
online estava se tornando perigoso e gerando efeitos significativos em diversas
áreas, inclusive no campo da política.
Afinal, quem não se lembra do episódio
envolvendo o vazamento de informações
do Facebook durante as eleições presidenciais americanas?
Muito
embora as duas leis tenham relação direta entre si, existem algumas diferenças
importantes entre elas, a começar pela previsão legal.
No
Brasil, a LGPD é a primeira lei que trata do uso de dados pessoais. Já na União
Europeia, o tema já tinha previsão legal na Diretiva 95/46/CE, sendo que a GDPR
veio para esmiuçar o assunto e adaptar à realidade que vivemos hoje.
Mesmo
as empresas que já se adaptaram a GDPR, devem considerar a necessidade de
adequação à LGPD, pois as normas, muito embora semelhantes, têm algumas
características e abordagens que lhe são próprias. Confira a seguir as
diferenças e dados essenciais de cada uma delas.
Territorialidade
A
LGPD e a GDPR são leis semelhantes quanto o assunto é territorialidade. Elas
são aplicáveis a todas as empresas que prestam serviços ou oferecem bens a
cidadãos localizados no Brasil e na União Europeia.
Dessa
forma, empresas brasileiras que trabalham com clientes localizados na União
Europeia, são obrigadas a respeitar a GDPR e vice-versa.
Assim,
a LGPD tem ampla aplicabilidade, ou seja, ela se aplica às operações:
·
realizadas no Brasil;
·
associadas à oferta de bens e serviços
dentro do território nacional ou que envolva dados de pessoas localizadas no
Brasil;
·
dados pessoais que são coletados no
Brasil.
Por
isso, a lei se aplica a todas as atividades de processamento de dados que forem
realizadas fora do país e que tenham alguma relação com cidadãos brasileiros ou
que estejam localizados no Brasil.
Solicitação
de acesso
Em ambas as normas, é garantido
ao indivíduo o direito de acesso aos seus dados pessoais. Isso significa
que o titular do dado pode solicitar, a qualquer momento, das empresas que
coletaram seus dados a realização de portabilidade, correção ou exclusão das
informações.
Lembrando
que esta exclusão deve ser definitiva e não pode, em hipótese alguma, ser
mantida em qualquer banco de dado sem a autorização expressa do usuário.
A
diferença entre as duas leis está atrelada aos prazos:
·
na LGPD, o prazo para que a empresa
ofereça o acesso é de 15 dias;
·
na GDPR, as empresas têm 30 dias para
responder à solicitação do usuário.
Consentimento
Nas
duas normativas, o consentimento é aspecto essencial e imprescindível para que
as organizações empresárias acessem e processem dados pessoais. Ou seja, sem
autorização/consentimento, não é possível processar informações pessoais, sob
pena de sanção legal.
Marketing
Eis
aqui outra diferença entre as duas normas. No que diz respeito ao uso de dados
para marketing direto, a GDPR tem uma previsão específica, enquanto a LGPD não
trata diretamente do tema.
·
A GDPR permite que o titular das
informações se oponha quanto ao processamento dos seus dados para fins de. Essa
oposição pode ser feita a qualquer momento.
·
A LGPD não traz previsão relacionada ao
marketing direto, o que sugere uma autorização implícita para uso das
informações. Entretanto, a empresa deve seguir as demais regras de
consentimento, transparência e respeito aos direitos dos titulares dos dados.
Base
Legal
Neste
contexto, a base legal para o processamento dos dados pessoais é mais ampla na
LGPD do que na GDPR.
A
norma europeia exige o consentimento explícito do titular, a necessidade de
contrato, a execução de políticas públicas, a obrigação legal, o interesse
vital e o interesse legítimo.
Enquanto
a norma brasileira, além de todos acima mencionados, adiciona ainda a proteção
da saúde em procedimentos realizados por profissionais do setor de saúde, a
proteção ao crédito, o exercício de direitos em processos judiciais e a realização
de estudos por órgãos de pesquisa.
Violação
de dados
Outra
diferença entre as duas normas diz respeito ao prazo para notificação quando
existir a violação ou o vazamento de dados.
A
GDPR determina que a notificação deve ser feita no prazo de 72 horas. A LGPD,
por sua vez, não informa o prazo para realização da notificação à autoridade
que supervisiona a aplicação da lei. A norma apenas aponta que a mesma deve ser
feito em “prazo razoável”.
Sanções
Outro
ponto semelhante entre as duas leis diz respeito à sanção:
·
na GDPR, a empresa que violar dados,
poderá receber multa de 10 a 20 milhões de Euros ou de 2% a 4% do faturamento
anual total do exercício financeiro anterior. Será aplicado o que for maior.
·
Na LGPD a questão das multas ficou mais
simples. No Brasil, a multa será de até 2% da receita anual, limitando-se a 50
milhões de reais por violação.
Como será feita a fiscalização do
cumprimento da lei?
Para fiscalizar as empresas, foi criada
a Autoridade Nacional de Proteção de Dados. A ANPD será
responsável pela fiscalização do cumprimento da LGPD.
De
acordo com a legislação que cria o órgão, ele tem obrigação de zelar pela
proteção dos dados pessoais, criando as diretrizes para Política Nacional de
Proteção de Dados Pessoais e da Privacidade e de aplicar sansões nos casos em
que o tratamento de dados for feito em desacordo com o que determina a lei.
Também
será criado o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade,
órgão composto por 23 representantes do poder público e civil, que serão
responsáveis pela fiscalização ao nível nacional.
Na
prática, se acredita que o próprio mercado vai ser um dos principais
responsáveis pela fiscalização do LGPD. Isso porque, a partir das negociações
entre as próprias empresas, a adequação será exigida como forma de segurança.
Como sua empresa pode se adaptar à
LGPD?
1.
Obtendo consentimento;
2.
armazenando dados com propósito;
3.
atualizando as listas de e-mail
marketing;
4.
adaptando o remarketing e anúncios
segmentados.
Antes
de estabelecer qualquer ação dentro da sua empresa, é importante avaliar e
mapear o contexto atual do negócio. Por isso, se você é empresário ou está
envolvido nessa necessidade, a dica criar um Comitê de Segurança da Informação.
Este
grupo será composto por profissionais responsáveis pela análise atual dos
procedimentos internos adotados com relação ao recebimento e tratamento de
dados.
Isso
vai permitir criar um entendimento claro acerca da situação atual da empresa,
que servirá como ponto de partida para a delimitação das ações que serão
tomadas.
Afinal,
você precisa saber onde ficam armazenados, quem tem acesso e como são
compartilhados os dados pessoais de acordo com os processos. A partir desta
análise, fica mais fácil avaliar o que precisa ser adaptado à LGPD. A seguir,
especificamos as ações a serem feitas.
Obtenha
consentimento
Depois
de mapear os seus processos, você deve partir para aplicação das regras
conforme determina a legislação. O primeiro passo diz respeito ao consentimento,
que é o principal ponto da Lei de Proteção de Dados.
Estabeleça
como será feita a coleta de dados e a obtenção do consentimento do titular dos
dados. No artigo 8º, a LGPD dá um norte de como este consentimento deve ser
obtido:
Art.
8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser
fornecido por escrito ou por outro meio que demonstre a manifestação de vontade
do titular.
§ 1º
Caso o consentimento seja fornecido por escrito, esse deverá constar de
cláusula destacada das demais cláusulas contratuais.
§ 2º
Cabe ao controlador o ônus da prova de que o consentimento foi obtido em
conformidade com o disposto nesta Lei.
§ 3º
É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º
O consentimento deverá referir-se a finalidades determinadas, e as autorizações
genéricas para o tratamento de dados pessoais serão nulas.
Armazene
dados com propósito
Outro
ponto de atenção diz respeito ao propósito de armazenamento. Afinal, será que
você realmente precisa armazenar os dados? Se não for necessário para a sua
empresa ou para o escopo do negócio, talvez seja interessante dispensar o
armazenamento das informações
Avalie
com cautela as necessidades de manutenção de dados pessoais de clientes,
analisando custos, benefícios e riscos que este investimento trará para a sua
empresa.
Vale
relembrar o mapeamento que foi feito, entendendo melhor o posicionamento do seu
negócio, os índices de e a eventual relação entre essas questões e o
armazenamento.
Atualize
listas de e-mail marketing
Esta
é uma ação importante e que deve ser tomada com o máximo de brevidade pelas
empresas que mantêm campanhas de ativas e.
Se a
sua lista não foi criada alinhada com a LGDP, você deve solicitar o
consentimento dos destinatários para dar continuidade ao envio de informações.
Caso você não tenha esse consentimento, será necessário providenciá-lo o quanto
antes. Como? Confira algumas dicas:
·
você tem usuários da sua lista de
e-mail marketing que não pediram para estar lá? Solicite autorização para
continuar enviando os e-mails, se a autorização não for dada, retire estes
usuários da sua lista.
·
O consentimento para recebimento de
e-mails passa a ser obrigatório. Atente-se para o fato de que permissões nulas
ou genéricas não atendem às normas legais.
Adapte
o remarketing e anúncios segmentados
A
LGPD impacta diretamente na forma como o é feito. Isso porque ele é
baseado principalmente no comportamento online dos usuários, justamente com o
propósito de entender suas preferências e oferecer anúncios que façam sentido
de acordo com aquele perfil.
A
partir da entrada em vigor da lei, algumas práticas devem ser adaptadas. Para
isso, as empresas devem adequar a captação de dados pessoais exclusivamente
para finalidade de interesse legítimo da empresa, garantindo segurança na
exposição do titular dos dados.
Isso
se traduz em processos transparentes, informações claras aos titulares dos
dados, processos restritos e controle sobre quem acessa às informações,
inclusive em caso de.
Em
empresas de maior porte, pode ser essencial investir em ações e estratégias de
compliance, o que vai contribuir para a segurança jurídica das operações.
Em
linhas gerais, é fácil perceber que não existe um roteiro ou fórmula a ser
seguida. A sua empresa terá que entender qual é a realidade na qual está
inserida e traçar uma estratégia alinhada com as suas especificidades. Por
isso, é tão importante mapear os processos, conhecer como é feito o fluxo dos
dados e de que forma a adequação deverá ser estruturada.
DPO: quem é e qual sua importância nas
empresas depois da LGPD?
DPO
é a sigla utilizada para se referir ao Data Protection Officer, em tradução
livre, Oficial de Proteção de Dados.
O DPO nada mais é do que o profissional
responsável pela proteção de dados dentro de uma empresa. A ele, cabe a função
de supervisionar as estratégias e a implementação do plano de proteção de
dados, garantindo a conformidade com os requisitos e diretrizes da Lei
Geral de Proteção de Dados.
Desta
forma, o Oficial de Proteção de Dados vai garantir a controle sobre as ações e
políticas internas, permitindo que a empresa aplique a legislação e garanta a
proteção dos dados dos seus clientes/usuários.
Por
isso, é imprescindível que o DPO conheça a lei de forma aprofundada, além de
conhecer e ter experiência em governança e em segurança da informação.
De
acordo com a LGPD, estão obrigadas a contratar esse profissional as empresas
que têm um volume expressivo de dados pessoais ou sensíveis. Isso significa que
a contratação de um DPO não é obrigatória em todas as empresas, mas algumas
devem providenciar a contratação.
Como
você pode ver, manter a segurança jurídica da sua empresa é extremamente
importante, principalmente em um cenário no qual os dados são tão valiosos. Mas
não é apenas de segurança jurídica que se fala quando o assunto é LGPD.
Garantir
ao seu cliente segurança e transparência é o principal objetivo da lei, que
também se apresenta como uma oportunidade para estreitar laços entre você e os
seus clientes ou futuros clientes.
Ao adotar boas práticas, você não está
apenas cumprindo a lei, mas também está mostrando para o mercado que ele pode
confiar nos seus processos e na seriedade com relação ao tratamento e relacionamento mantido com
os seus clientes. Isso vale ouro!
Por isso, a nossa dica — que também é
uma política dentro da HubSpot é: siga
as melhores práticas exigidas pela LGPD e GDPR e fique atento às
melhores estratégias para garantir a segurança na proteção das informações
pessoais do seu usuário. Fazer isso o quanto antes vai trazer menos problemas
futuros.
Além de manter uma postura em
consonância com a legislação, evitando exposição de dados de terceiros, você
encontra na lei uma oportunidade de melhorar os seus processos e garantir o sucesso e segurança do seu
cliente.
Você
gostou deste guia sobre a LGPD? Então, aproveite para a assinar a nossa
newsletter e fique por dentro de conteúdos e dicas exclusivas que vão ajudar na
gestão e planejamento do seu negócio.
Nenhum comentário:
Postar um comentário