A LGPD, Lei Geral de Proteção de Dados, é uma norma brasileira que regulamenta as atividades que envolvem dados. O objetivo é proteger as informações pessoais e a privacidade dos usuários.
O crescimento exponencial da produção de dados no mundo, assim como a exposição cada vez maior das pessoas nas redes sociais, abrem margem para as empresas usarem as informações em diversos tipos de análises. Esse excesso de liberdade provocou a necessidade de criar uma legislação específica para lidar com o novo cenário.
A discussão ganhou contornos mais sérios a partir de eventos como o escândalo da Cambridge Analytica, em que dados de usuários do Facebook foram utilizados durante a campanha presidencial dos EUA.
Na Europa, isso se deu com a criação da GDPR (General Data Protection Regulation), lei que serviu de base para a brasileira Lei Geral de Proteção de Dados.
Neste artigo, você terá um panorama sobre o que significa LGPD e entenderá como a lei pode afetar as atividades dos profissionais de TI. Boa leitura!
O que é a LGPD (Lei Geral de Proteção de Dados Pessoais)
A Lei 13.709/2018 foi sancionada em agosto de 2018, pelo então Presidente da República Michel Temer. Essa norma foi fruto de oito anos de debates e adaptações até a aprovação da norma no Congresso Nacional.
A sanção, com vetos, não colocou a lei em vigor imediatamente, visto que foi dado um prazo de implementação e adaptação para as empresas. Na prática, foi preciso esperar 18 meses a partir da data da sanção, o que significa que a lei entrou em vigor apenas em fevereiro de 2020.
A necessidade de uma norma específica para a proteção de dados aumentou conforme a facilidade de produção e vazamento das informações foi ficando latente. Afinal, atualmente, qualquer pessoa pode ter um smartphone e produzir uma variedade de dados a cada minuto.
Além disso, temos os objetos conectados (com a Internet das Coisas “ IoT), que coletam informações do ambiente e monitoram pessoas. Nesse cenário, a LGPD nasceu como uma maneira de limitar possíveis abusos e penalizar objetivamente o uso desregrado de dados por parte das empresas.
Dessa forma, o Brasil entrou no grupo de países que contam com uma legislação específica para regular o tratamento de dados, ao lado de países da União Europeia e os Estados Unidos.
Como funciona a LGPD?
A Lei Geral de Proteção de Dados coloca nas mãos do titular das informações o controle sobre elas. Todo usuário deve permitir que empresas utilizem os seus dados pessoais de forma explícita, consciente e espontânea para fins específicos. Além disso, eles podem retirar o consentimento e solicitar a exclusão das informações quando quiserem.
Estes fins também devem ser explícitos pelas empresas. Dessa forma, cada parte deixa claro a sua responsabilidade e compromisso, estabelecendo uma relação de mais transparência e segurança. Assim, a LGPD tem um grande impacto nas empresas, especialmente nos setores de marketing, TI, comercial e jurídico.
Quem Precisa Se Adequar À Lgpd?
Como você viu, a LGPD é uma legislação que estabelece regras sobre a coleta, o armazenamento, o tratamento e o compartilhamento de dados pessoais. Dessa forma, as seguintes entidades precisam se atentar para estarem de acordo com a lei:
- Empresas de todos os portes: desde pequenos negócios até grandes corporações, todas que lidam com dados pessoais devem se adequar;
- Setor Público: órgãos governamentais que processam dados também estão sujeitos à LGPD;
- Startups: mesmo em fase inicial, as startups que coletam dados precisam se atentar à legislação.
Lgpd E Agentes De Tratamento
Agentes de tratamento são entidades públicas ou privadas que realizam o tratamento de dados pessoais em nome do controlador. Eles podem ser desde empresas que processam dados para terceiros até profissionais autônomos envolvidos no manuseio de informações pessoais. Portanto, dentre suas responsabilidade estão a transparência, informando claramente sobre suas práticas de tratamento de dados, além de implementarem medidas de segurança para proteger as informações pessoais que estão sob sua responsabilidade.
Ainda, precisam garantir que o consentimento do titular dos dados seja obtido de forma clara e específica e utilizá-los apenas para as finalidades previamente determinadas e informadas ao titular.
Por fim, os agentes ficam encarregados de assegurarem que, se houver compartilhamento de dados, que seja um processo feito de maneira segura e dentro dos limites legais.
O Que São Dados Pessoais?
Um dos pilares fundamentais da LGPD é a distinção entre dados pessoais e dados pessoais sensíveis. E, para esclarecer os dois conceitos, reunimos suas definições. Sendo assim, dados pessoais referem-se às informações relacionadas a uma pessoa identificada ou identificável. Isso inclui elementos como nome, endereço, número de telefone, e-mail, entre outros. A LGPD coloca ênfase na necessidade de tratamento transparente e seguro desses dados, exigindo consentimento claro para sua coleta e processamento.
O Que São Dados Pessoais Sensíveis?
Por outro lado, os dados pessoais sensíveis são uma categoria especial, abrangendo informações mais delicadas e passíveis de gerar discriminação ou riscos significativos se mal utilizadas. Esses dados incluem informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde, orientação sexual, entre outros. Apesar de ambos (sensíveis e não sensíveis) demandarem proteção, os dados pessoais sensíveis exigem uma abordagem mais cautelosa. O consentimento para o tratamento desses dados deve ser específico, informado e inequívoco, garantindo que o titular tenha pleno conhecimento sobre como suas informações serão utilizadas.
Portanto, alguns dos desafios na Gestão de Dados Sensíveis são:
- Segurança Reforçada: dados sensíveis exigem medidas de segurança mais rigorosas para prevenir vazamentos ou acessos não autorizados;
- Treinamento e Conscientização: é crucial capacitar os colaboradores para lidar com dados sensíveis de maneira ética e conforme a legislação;
- Monitoramento Constante: a conformidade com a LGPD requer monitoramento contínuo e atualização das práticas de tratamento de dados.
Quais são as principais determinações da LGPD?
Agora, você já sabe LGPD o que é e que ela determina que o usuário deve ter sempre o controle de suas informações. Assim, ele deve poder modificar, transportar ou excluir seus dados a qualquer momento e sem burocracias.
Ainda, cabe às empresas informar os motivos do armazenamento e tratamento dos dados de maneira clara, evitando truques como:
- uso de letras miúdas nos termos de adesão;
- termos enormes e sem objetividade, nos quais a maioria das pessoas acaba pulando a leitura;
- botões pré-selecionados, como “OK”, “Aceito”, “Sim” e outros que induzem à aceitação automática.
A LGPD exige que as companhias expliquem os motivos pelos quais estão capturando e tratando os dados de um usuário. Essa justificativa deve ser clara e objetiva, contendo como usarão e quanto tempo ficarão com o dado, além de quando as informações serão “devolvidas” e tiradas da base das corporações.
A empresa também precisa oferecer meios para o titular acessar e controlar seus dados a qualquer momento. Em caso de vazamentos ou alguma mudança em relação ao tratamento das informações, é necessário notificar o titular imediatamente.
Também é preciso designar um responsável pelo controle e pelas práticas relacionadas aos dados. Essa pessoa será a mediadora e assumirá os processos em busca de soluções quando houver qualquer tipo de entrave ou problema quanto às informações.
O profissional também deve orientar e esclarecer a lei a todos os colaboradores que estiverem diretamente envolvidos com os dados dos usuários. Agora, vamos entender cada item abordado na LGPD lei e o que se espera em relação a eles.
Veja só!
1. Dados Pessoais
O dado pessoal é aquele que permite, sozinho ou em conjunto com outros, a identificação de seu titular. Por meio dele, é possível descobrir:
- nome completo;
- apelido;
- endereço de residência;
- e-mail;
- endereço IP;
- números de cartões;
- cookies.
As empresas devem garantir a proteção desses dados, sendo utilizados somente para os fins autorizados pelo dono desses dados.
2. Dados Sensíveis
A lei também visa a proteção dos dados sensíveis, que contêm características ainda mais reveladoras sobre uma pessoa.
Alguns exemplos de dados sensíveis são:
- religião;
- etnia;
- gênero;
- posicionamento político;
- biometria;
- dados bancários;
- outras que permitam que um sistema ou ferramenta faça segmentação de grupos.
Essas informações exigem um cuidado ainda maior da empresa que se dispõe a armazenar e fazer o tratamento.
3. Tratamento de Dados
O tratamento de dados se refere a como eles são usados. Ou seja, ele envolve o que a empresa faz ou pretende fazer com as informações coletadas. Essas intenções devem estar claras para o usuário, que deverá consentir o uso dos dados para estes fins. Um exemplo é a comunicação entre bancos.
Sem a LGPD, os bancos interligam os dados dos seus clientes, por exemplo. Dessa forma, os dados bancários e financeiros do cliente de um banco pode ser consultado por outro banco, ainda que isso não seja uma prática ética ou legal.
Com a LGPD, o usuário terá garantida sua proteção aos dados financeiros, já que ele terá que dar permissão para que seus dados possam ser comunicados entre bancos “ questão regulamentada pelo Open Finance.
É preciso reforçar que todas as autorizações devem estar explícitas e claras. Ou seja: consentimentos dados a partir de letras miúdas, textos muito longos e complexos, ou que confundam o usuário, serão inválidos.
Esse consentimento, transparente e direto, é o que garante às empresas o direito de tratar os dados coletados, conforme os termos acordados.
4. Titular dos Dados
Titular dos dados é qualquer pessoa física que tenha passado dados e informações pessoais, de maneira virtual ou não. Portanto, o titular tem direitos sobre os seus dados, incluindo o direito ao esquecimento.
Se a pessoa estiver com dados sendo expostos em algum site, por exemplo, ainda que ela tenha autorizado a exposição no passado, se quiser retirar, ela tem direito à remoção imediata do conteúdo.
Outros direitos fundamentais da LGPD ao usuário são o direito de acesso e direito da informação, que permitem que ele saiba quais informações estão sendo armazenadas pela empresa e o porquê.
O artigo 18 da LGPD prevê que o titular dos dados pode solicitar, a qualquer momento e sem necessidade de justificativas:
- confirmação da existência de tratamento dos seus dados;
- acesso aos seus dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD;
- portabilidade dos dados a outro fornecedor de serviço ou produto;
- eliminação dos dados pessoais tratados;
- informações das entidades públicas e privadas com as quais o controlador compartilhou os dados do usuário;
- informações sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- revogação do consentimento;
- revisão por pessoa natural de decisões automatizadas.
Dar ao titular os dados o controle total sobre suas informações é essencial para evitar que empresas se utilizem de brechas legais (ou desconhecimento dos usuários). Como consequência, evita que utilizem os dados a seu favor, como aconteceu no famoso caso da Cambridge Analytica.
5. Consentimento aos Dados
Quando falamos em dados, não temos como fugir do setor de TI. Afinal, é nessa área que as informações são processadas, armazenadas e tratadas. Portanto, a responsabilidade de seus profissionais aumenta a partir da lei.
Um dos fatores primordiais será a adoção do Privacy by Design. Isso significa que a privacidade passa a ser incorporada à arquitetura dos sistemas, dando acesso ao titular dos dados e permitindo o gerenciamento, a coleta e o tratamento de modo autônomo.
Caberá ao setor de TI disponibilizar e incorporar esse novo modelo aos negócios. A governança em TI é uma estratégia que dará o suporte necessário às empresas, garantindo suas políticas de segurança digital, privacidade e manutenção de ativos.
6. Anonimação e Pseudoanonimação
Uma das formas que a empresa tem que garantir a privacidade dos dados pessoais é utilizando técnicas de anonimação dos dados. O processo envolve criptografar as informações, impossibilitando a ligação direta da informação com um usuário específico. Para fins de LGPD, dados anônimos não são considerados dados pessoais.
Já a pseudoanonimação dificulta a associação entre dado e usuário, mas não impede. Para a LGPD, mesmo que alguns dados sejam anonimizados, se ainda puderem permitir a ligação entre eles com os seus titulares, serão considerados dados pessoais.
Quer aprender um pouco mais sobre segurança e criptografia? Leia estes artigos:
7. Controlador e Processador
Controlador e processador são duas figuras que fazem parte da LGPD, com responsabilidades diferentes em relação aos dados pessoais.
O controlador toma as decisões relacionadas ao tratamento de dados. Para a LGPD, o controlador poderá ser a empresa ou a pessoa física que cumpre este papel, sendo responsabilizadas em caso de alguma infração.
Já processador é aquele que executa o tratamento dos dados, conforme as orientações do controlador. Também pode ser uma pessoa física ou jurídica, e também responde juridicamente em caso de descumprimento de alguma norma prevista em lei.
Penalidades por descumprir a LGPD
Qualquer empresa que tenha contato ou relação com o Brasil deve se adequar à LGPD. Isso significa que empresas do exterior, ainda que de países sem legislação específica sobre o assunto, também devem respeitar e cumprir os termos da lei brasileira.
No caso da empresa descumprir a LGPD, poderá ter suas atividades relacionadas a tratamento de dados interrompidas ou completamente proibidas.
O descumprimento parcial, ou seja, as não conformidades, também trazem prejuízos. As multas podem corresponder a 2% do faturamento da empresa ou limitadas a R$ 50 milhões por infração.
ATENÇÃO: Em caso de vazamento de dados, cada dado pode ser interpretado como uma infração!
No art. 52 da LGPD, constam todas as sanções para caso de descumprimento. Confira:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração.
A Autoridade Nacional de Proteção de Dados Pessoais (ANPD) é o órgão específico para regular a lei e as penalidades para as empresas. Portanto, é fundamental que as empresas providenciem todas as adequações necessárias e esperadas com a entrada da LGPD em vigor, revendo processos, planos de contingência e sistemas, se necessário.
Qual é a relação entre segurança da informação e LGPD?
Ao ler sobre a LGPD, é comum se deparar com questões relacionadas à segurança da informação. Isso acontece porque as duas áreas estão relacionadas. Afinal, a LGPD busca a proteção de dados dos usuários.
Diante disso, como você já viu, o setor de TI das empresas e os parceiros de tecnologia precisam trabalhar para garantir o atendimento da legislação. Esse é um cuidado crucial para as informações serem acessadas ou utilizadas de maneira indevida. Do mesmo modo, seguir a norma é essencial para não sofrer penalidades.
Para tanto, é preciso ter boas práticas de governança e compliance, adotando medidas como:
- adequação de sistemas;
- controle de acessos;
- análises e testes constantes para encontrar fragilidades no ambiente tecnológico da empresa;
- fazer devidas correções após o feedback.
Assim, é possível manter uma boa gestão de incidentes e de riscos.
Veja 9 passos para implementar a LGPD
A implementação da LGPD na empresa pode parecer desafiadora em um primeiro momento, mas pode ser facilitada seguindo alguns passos. Veja quais são eles!
1. Identificar riscos e ameaças
O ponto de partida é fazer uma análise aprofundada dos processos e sistemas internos, a fim de identificar riscos e ameaças presentes. Esses pontos são mais críticos no momento da adequação. A partir disso, será possível planejar e implementar as soluções, sempre observando as regras da LGPD.
2. Mapear dados na empresa
Também é preciso fazer um mapeamento de dados da empresa, observando os titulares das informações, os tipos de dados armazenados e como eles foram tratados. Verifique também onde e como eles estão arquivados e quem pode acessá-los, trabalhando nas permissões concedidas, se for o caso.
3. Revisar dados coletados e sua legalidade
Ao identificar todos os dados, é hora de avaliá-los com cuidado, observando se eles são necessários e se a forma de coleta e armazenamento segue a legislação. Esse pode ser o momento para deletar registros indevidos.
4. Criar uma comunicação transparente com o titular dos dados
Como você viu, o consentimento do usuário é fundamental. Portanto, a empresa deve ter uma política clara sobre a coleta, tratamento e armazenamento de dados. Vale trabalhar nos canais de comunicação e informação para que os titulares tenham acesso fácil aos dados.
5. Revisar contratos e políticas de privacidade
Também é necessário revisar todos os contratos, políticas de privacidade e outros documentos do tipo. Eles devem ser adaptados, considerando a LGPD. Aproveite e colete eventuais consentimentos pendentes ao compartilhar os termos atualizados.
6. Definir o Data Protection Officer (DPO)
O DPO é o profissional responsável pela proteção dos dados. Logo, ele terá a função de garantir que a empresa está seguindo todas as regulamentações sobre o tema. Conforme a LGPD, é preciso nomear uma pessoa para assumir esse cargo, então busque colaboradores qualificados para evitar erros nos processos.
7. Treinar equipes
Outra dica para implementar a norma na empresa é garantir que as equipes estejam preparadas para atuar de modo a garantir a proteção dos dados, a privacidade dos usuários e a transparência. Então faça treinamentos para que todos entendam os requisitos legais e regras aplicadas, como:
- direito do usuário receber os dados registrados;
- dar ou retirar o consentimento;
- solicitar que os registros sejam apagados.
8. Melhorar sistemas e processos da medida de governança
Se o foco é implementar a LGPD, é fundamental contar com a governança. Ela envolve processos, políticas e práticas que orientam o planejamento estratégico e a tomada de decisões. Então reveja os sistemas usados e implemente melhorias que proporcionam transparência e confiabilidade para o tratamento dos dados.
9. Contar com o suporte de uma ferramenta LGPD
Por fim, outra dica fundamental é ter uma ferramenta adequada para auxiliar nesse processo. Existem soluções especializadas, desenvolvidas para ajudar a implementar a LGPD nas empresas e, até mesmo, dar suporte no atendimento aos clientes, ajudando eles a se adequarem à legislação.
Webinar: LGPD + Cibersegurança
Os profissionais de suporte de TI poderão utilizar a LGPD a seu favor, aproveitando as bases da legislação para vender seus serviços. Trata-se de uma maneira de garantir as boas práticas de segurança de dados nas empresas, evitando multas e sanções por uso indevido.
Clientes que trabalham com a coleta de dados necessitarão de um cuidado maior com seus sistemas, como backups mais rigorosos e proteção contra invasões. Assim, profissionais de TI que dominarem a lei usarão esse embasamento para oferecer produtos e serviços personalizados.
Prevenção e tratamento legal das informações
Você é um profissional de TI que utiliza estratégias de Marketing Digital para conquistar novos clientes? Para isso, faz a prospecção de dados dos leads (potenciais clientes) por meio de formulários em landing pages e aplicativos?
Então, saiba que deverá também adaptar suas táticas de captação de dados com base na nova lei. Isso porque a LGPD veio para reduzir os abusos no uso de dados pessoais “ que, se bem estruturados, podem influenciar até o resultado das eleições.
No setor de TI, os profissionais devem estudar a norma a fundo para poderem oferecer um serviço mais segmentado, com base na proteção de dados, e desenvolver estratégias de marketing que façam o uso correto das informações.
É preciso lembrar que o uso de um software de gestão ajuda muito nesse novo cenário, pois a ferramenta permite uma gestão centralizada e organizada. Assim, o monitoramento e a automação de ações com foco na segurança e proteção dos dados (como backups e atualizações) são facilitados.
Portanto, a LGPD tem tudo a ver com cibersegurança “ prática que protege equipamentos, redes e dados de ataques maliciosos. As ameaças virtuais se desenvolvem com a mesma velocidade que a tecnologia das empresas.
Dessa forma, ainda que a empresa esteja adequada à LGPD no que se refere ao armazenamento e tratamento dos dados, é fundamental que o setor de TI esteja preparado para controlar e evitar ataques externos. Isso impede o roubo dessas e de outras informações estratégicas do negócio.
Quer saber tudo sobre LGPD e cibersegurança? O Milvus tem um webinar específico para discussão deste assunto. Acesse, de forma gratuita: LGPD + CIBERSEGURANÇA.
- Você também pode gostar do nosso e-book: Entendendo a Lei Geral de Proteção de Dados do Brasil.
Perguntas Frequentes
Quem Fiscaliza A Lgpd?
A fiscalização da Lei Geral de Proteção de Dados (LGPD) no Brasil é realizada pela Autoridade Nacional de Proteção de Dados (ANPD). O órgão foi criado para zelar pela proteção de dados pessoais e é responsável por monitorar e fiscalizar o cumprimento da legislação, aplicando medidas corretivas quando necessário.
Quem São Os Atores Envolvidos Nas Definições Da Lgpd?
Como você viu acima, os principais atores envolvidos nas definições da LGPD são o controlador (responsável pelas decisões sobre o tratamento dos dados) e o operador (encarregado de realizar o tratamento conforme as instruções do controlador). Ambos têm papéis bem definidos na conformidade com a LGPD.
Quais São As Penalidades Para Quem Não Cumprir A Lgpd?
Como também pontuamos anteriormente, as penalidades para o descumprimento da legislação incluem advertências, multas de até 2% do faturamento anual da empresa (limitadas a R$ 50 milhões por infração), bloqueio dos dados pessoais e até mesmo a eliminação desses dados. As sanções são aplicadas pela ANPD, considerando a gravidade da infração.
Como É O Processo Para Um Dado Pessoal Se Tornar Anônimo?
O processo de anonimização envolve a remoção de elementos que possam identificar um indivíduo. Esse procedimento deve ser realizado de forma irreversível, garantindo que não seja possível associar os dados a uma pessoa específica. A LGPD incentiva a adoção de técnicas que assegurem a eficácia desse processo.
Como É Feita Uma Coleta De Dados?
A coleta de dados deve ser realizada de maneira transparente, com o devido consentimento do titular. O controlador deve informar a finalidade da coleta, o período de retenção e garantir a segurança dessas informações.
Quem Pode Usar Dados Coletados?
O uso de dados coletados deve estar alinhado com a finalidade informada ao titular. Qualquer entidade que não seja o controlador original deve obter autorização específica para a utilização desses dados.
O Que Fazer Se Os Dados Vazarem E A Empresa Descumprir A Lgpd?
Em caso de vazamento de dados ou descumprimento da LGPD, a empresa deve notificar a ANPD e os titulares afetados imediatamente. Além disso, é crucial tomar medidas corretivas para resolver a situação e evitar reincidências.
Há Casos De Descumprimento Da Lgpd?
Desde que a lei entrou em vigor, já foram registrados casos de descumprimento, resultando em penalidades significativas para empresas que negligenciaram a proteção de dados. Isso ressalta a importância de uma abordagem proativa na conformidade com a legislação.
Conclusão
Como você viu, a LGPD é uma legislação nacional para regular a captação, armazenamento e tratamento de dados pessoais e sensíveis, garantindo a privacidade dos usuários.
Ela é aplicada dando ao titular dos dados o controle e direito total sobre suas informações. Assim, empresas não conseguem se apoiar no desconhecimento do usuário, brechas legais ou estratégias para confundir o titular, utilizando os dados para seu próprio benefício.
É obrigatório, portanto, que as empresas que possuam atividades relacionadas ao tratamento de dados deixem claro ao usuário o objetivo da captura daquela informação, e a sua utilização. Desse modo, o usuário pode autorizar, ou não, o compartilhamento ou tratamento do dado.
Além disso, o usuário também pode solicitar a remoção da informação do banco de dados da empresa, a qualquer momento. O descumprimento da nova lei pode gerar grandes prejuízos às empresas, incluindo a interrupção total ou parcial das atividades relacionadas.
Nesse cenário, a utilização de um sistema de automação e controle para seu departamento de TI pode ser essencial para a gestão dos dados, facilitando a adequação à norma.
Conheça o Milvus!
O sistema Milvus possibilita otimizar a gestão das ações de sua equipe de TI, resultando em ganhos de eficiência e aumento de produtividade da equipe, sem mexer na estrutura de pessoal.Â
Além disso, você pode contar com a nossa ferramenta LGPD, que ajuda a sua a empresa a implementar a solução para os clientes. Faça um teste gratuito ou solicite uma demonstração!
Gostou de saber mais sobre a LGPD e quer continuar se informando sobre a área de TI? Então, siga nossas redes sociais! Estamos no LinkedIn, Instagram e YouTube.