A publicação da Lei Geral de Proteção de Dados (LGPD), em 15 de agosto de 2018, é um importante marco para o mercado brasileiro no tratamento de dados pessoais. Essa resolução faz parte de um movimento mundial de preocupação em relação ao tema e joga luz sobre o papel que o Estado deve desempenhar na gestão de dados pessoais.
Muito da nova lei é inspirado na General Data Protection Regulation (GDPR), da União Europeia, que entrou em vigência em maio de 2018. O documento tem, como principal foco, criar regras de tratamento de dados buscando empoderar o usuário com o controle sobre suas informações.
Dessa forma, há um esforço grande na proposta de liberar o usuário a controlar, retificar e excluir seus dados das inúmeras plataformas em que estão - ou são - inseridos.
Em outras palavras, a Lei de Proteção de Dados estabelece os princípios, direitos e deveres que devem ser observados, daqui para frente, no tratamento de dados pessoais.
Vale lembrar que a LGPD se aplica a qualquer operação de tratamento de dados pessoais, seja por pessoa física ou jurídica, de direito público ou privado, independentemente do meio, país de sua sede ou país onde estejam localizados os dados, desde que:
Podem ser considerados dados pessoais, nos termos do §2º do Art. 12 da LGPD, os utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada - como, por exemplo, o cruzamento de bases anonimizadas que levam à identificação do indivíduo.
A LGPD também dá tutela diferenciada e limita as hipóteses de tratamento de dados pessoais sensíveis (Artigo 11) e de crianças e adolescentes (Artigo 14).
É preciso atentar-se para as exceções da nova lei, que não abrange o tratamento de dados nos seguintes contextos:
i. por pessoa física, com fins particulares, não econômicos (exemplo: agenda pessoal de contatos ou lista de convidados de uma festa particular);
ii. para fins exclusivamente jornalísticos, artísticos e acadêmicos;
iii. para fins exclusivos de segurança pública, defesa nacional, segurança do Estado e atividades de repressão de infrações penais;
iv. dados provenientes de fora do Brasil e que não sejam objeto de tratamento por agentes de tratamento brasileiros.
Com essas regras e exceções, a LGPD entra em vigor em agosto de 2020.
A Lei de Proteção de Dados Pessoais, também conhecida como Lei Geral de Proteção de Dados (LGPD), tem como principal objetivo garantir ao usuário privacidade e controle sobre seus dados. Assim, é possível - ou desejável - evitar o uso mal intencionado por terceiros.
Outro objetivo da LGPD é esclarecer os contextos nos quais as empresas podem armazenar, transferir e processar essas informações.
Já aplicada em países da Europa, a LGPD chega ao Brasil com novas determinações para que as organizações não se vejam compartilhando informações sigilosas de seus clientes. No continente europeu, todas as corporações que armazenam dados dos cidadãos do território europeu devem, obrigatoriamente, obedecer à norma.
Além disso, à medida em que as empresas vão aderindo à lei, acabam, de forma indireta, exigindo que outras organizações façam o mesmo. Afinal, as companhias que não se colocam a favor da lei podem ser consideradas contrárias à idoneidade de dados sigilosos - um título que, na era da informação, nenhuma empresa quer.
Assim, governos europeus esperam que alguns conflitos de consumo sejam evitados. Por aqui, no Brasil, a lei também se estende de forma extraterritorial e visa garantir que cada cidadão tenha total controle sobre seus dados.
A Lei Geral de Proteção de Dados causa impacto nas empresas, principalmente nas que lidam com os dados de clientes, pois certifica que haja a reorganização para realizar a proteção dos dados. Portanto, é necessário estabelecer novas políticas de trabalho a fim de atestar a segurança das informações.
A privacidade e satisfação dos clientes é o foco dessa medida. Através do acompanhamento e reeducação dos processos, as empresas vão conseguir cumprir o que foi estabelecido sem problemas. E, como a finalidade da lei é ampla, as atividades que envolvam dados devem ser regulamentadas e obedecer às normas.
Além disso, qualquer empresa que faça negócios com uma empresa do Brasil deve se adequar ao padrão da LGDP para adquirir informações, mesmo que a sede não esteja aqui no país. Isso obriga as corporações internacionais a aplicar as mesmas regras de sigilo de dados das empresas nacionais.
A norma prevê penalidades para as instituições desrespeitosas. Em cada caso há uma multa, dependendo do incidente em questão. A penalização pode ocorrer em forma de advertência simples ou em valor financeiro. Dependendo do cenário do desastre, as multas podem atingir 50 milhões de reais.
Os órgãos responsáveis por monitorar as empresas podem, também, solicitar a interrupção das atividades que façam uso dos dados pessoais. Como consequência, a instituição seria prejudicada em sua produção e geração de receita. Em casos de exposição, uma notificação com detalhes sobre as informações envolvidas deve ser enviada ao órgão.
A boa notícia? Há tempo suficiente para se adequar às mudanças.
A lei prescreve o ponto do “privacy by design” (privacidade por padrão), isto é, a privacidade deve ser prioridade em todas as etapas de um sistema ou produto de uma empresa.
O usuário deve ter a liberdade de controlar como seus dados serão utilizados, independentemente da fase de seu relacionamento com as empresas. Além disso, as etapas devem estar bem definidas na base estrutural de qualquer operação. Com isso, é indispensável às organizações ter conhecimento de quais são as informações coletadas e controlar o chamado "ciclo de vida" de cada uma delas.
A LGPD também prevê a fundação de um comitê especializado em segurança empresarial que deve contar com a presença de um profissional capacitado em TI. Seu objetivo é auxiliar a empresa na adoção de políticas de proteção e privacidade.
O diretor de proteção de dados deve ter conhecimento jurídico e dominar a área de segurança da informação. Suas habilidades devem ajudar na liderança da organização da empresa, já que ele tem total responsabilidade no tratamento das informações e dados.
Para completar, é fundamental que as corporações criem esse cargo no ambiente empresarial, visto que ele ajuda na adaptação da nova lei. E, como é sabido, "desconhecer a existência de uma lei ou norma" não é um argumento válido para justificar eventuais recorrências. Ter alguém de TI preparado para as adaptações pode diminuir o número de erros. Além disso, essa pessoa, ou empresa terceirizada, pode fazer a fiscalização interna, garantindo a transparência e os cuidados necessários com todos os dados.
Ainda não sabe como se adaptar às novidades da LGPD? Sem desespero: a 4Infra é a empresa ideal para te ajudar a adaptar seus termos de adesão e outras necessidades da nova lei.
Temos uma equipe especializada pronta para te atender. Entre em contato conosco e venha padronizar e otimizar seus ativos de TI, proteger seus dados e se adequar a LGPD.
