O que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) terá impacto extremamente significativo nas relações comerciais e pessoais.
O que muda a partir de agora, na prática, é um olhar detalhado e cuidadoso por todos para a coleta, gestão, armazenamento e ainda qualquer tipo de tratamento e operação realizada com os dados pessoais dos clientes, funcionários ou terceiros aqui no Brasil.
Aprovada no ano de 2018 e com entrada em vigor em agosto de 2020, a LGPD estabelece a obrigatoriedade de adoção de sistemas de segurança e proteção de dados pessoais em todas as atividades que envolvam uso, coleta, armazenamento e compartilhamento desses dados dos cidadãos, tanto por entidades privadas quanto públicas. Essas novas medidas englobam documentos em formato digital e também no papel.
O principal objetivo é garantir, por meio de regras de segurança, a privacidade e transparência no uso de informações pessoais dos cidadãos. Com a lei, o usuário terá o direito de consultar gratuitamente quais dos seus dados as empresas têm, como armazenam, o que fazem com ele e até pedir a retirada deles do sistema. E as empresas terão que tomar extremo cuidado na coleta e armazenamento desses dados, sob pena de serem responsabilizadas em caso de vazamentos.
O que são dados pessoais?
Nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, retrato em fotografia, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (protocolo da Internet) e cookies, entre outros. Existe também os dados “sensíveis" que são os de origem racial ou étnica, filiação à organizações políticas ou religiosas, informações genéticas e de biometria ou de orientação sexual.
Se essas informações coletadas pelas empresas permitem identificar, direta ou indiretamente, um indivíduo, então ela é considerada um dado pessoal.
Por que a LGPD foi criada?
A lei surge como uma evolução necessária à proteção do direito à privacidade no mundo, para coibir abusos efetuados principalmente pelas empresas de tecnologia na obtenção, transmissão e venda das informações dos cidadãos.
Surge também para que o cidadão seja o efetivo titular dos seus dados e possa ter controle sobre eles.
A lei vem para mudar a cultura de coleta, armazenamento, guarda e transferência de dados sem autorização. Com o passar dos anos, os benefícios serão imensos à população e ao próprio Brasil, que agora passa a estar integrado com a legislação mundial mais moderna sobre o tema, em especial União Europeia e Estados Unidos.
O aumento dos casos de vazamento de dados nos últimos anos fez com que governos, empresas e sociedade se preocupassem em criar mecanismos para evitar a invasão de privacidade. Outro fator relevante é a perda financeira causada por ataques cibernéticos. No Brasil, a perda foi de R$ 80 bilhões de reais, em 2019, como informa o levantamento mais recente da União Internacional de Telecomunicações (ITU, na sigla em inglês), órgão da Organização das Nações Unidas (ONU).
Os negócios que se adequarem antes do tempo previsto terão a oportunidade de ajustar seus processos para colher bons frutos da regulamentação, visando sua reputação a longo prazo com um verdadeiro selo de qualidade de proteção digital dos seus clientes.
O que muda para as Empresas?
Todas as empresas, sejam elas pequenas, médias ou de grande porte, terão que atender às exigências da LGPD.
Uma das mudanças mais importantes é que a nova lei prevê o consentimento expresso dos titulares de dados (clientes, funcionários, parceiros etc.) para o uso de suas informações pessoais. Isso significa que as empresas precisarão deixar claros o objetivo e a finalidade de uso dessas informações, devendo ser mais transparentes em todos os sentidos.
Por exemplo, se um indivíduo contrata um serviço de qualquer natureza e precisa fornecer informações pessoais para obtê-lo, será obrigatório justificar a necessidade disso. Fica proibido o uso dos dados para outras finalidades que não sejam as que foram acordadas e o armazenamento de informações das quais as empresas não possa comprovar a necessidade disso.
A LGPD garante aos titulares de dados pessoais o direito de responsabilizar as empresas caso seus dados sejam roubados por terceiros e ela não tome e/ou não tenha tomado as medidas necessárias à prevenção ou redução dos danos.
Assim, para se adequar à LGPD, será necessário mudar a cultura no que diz respeito à gestão dos arquivos, contratação de especialistas e investimento em segurança da informação, conforme o nível do tratamento de dados realizado.
A companhia deve administrar o controle das informações dos funcionários (departamento pessoal) e/ou colaboradores que trabalhem no seu escritório, inclusive terceiros que prestem serviços (como um contador, por exemplo) e tenham acesso a tais dados pessoais.
Assim, as empresas sem o selo de conformidade terão mais dificuldade em realizar contratações, porque é vedado o compartilhamento de dados com empresas que não tenham um sistema de controle previsto pela LGPD.
O que eu preciso fazer para me adequar a LGPD?
Primeiramente, deve fazer uma auditoria sobre categorização dos dados pessoais tratados (quais são), os sujeitos de tratamento (quem os acessa), os processos de trabalho em que há o aludido tratamento, as bases legais de tratamento (para o que a coleta foi feita) e as medidas que assegurem a privacidade dos titulares e segurança contra acessos e/ou vazamentos indevidos.
Após, estabelecer um plano de ação para regularizar as inconformidades, adequar contratos e acordos, criar Políticas de Privacidade e Compliance, senhas de acesso aos documentos e nomear um DPO (encarregado), se for o caso.
Quem é o encarregado?
A LGPD determina que as entidades que façam tratamento de dados devem nomear um Encarregado pelo Tratamento de Dados, como pessoa ou empresa que irá manter hígidas as políticas de privacidade e proteção de dados, bem como as represente perante os titulares, o Governo e o público em geral.
Das penalidades
Havendo vazamento ou acesso indevido aos seus dados, o titular prejudicado poderá processar o controlador (empresa) e o operador (o responsável pelo tratamento dos dados) pelos prejuízos causados, por isso a importância de se demonstrar que foi feita a auditoria dentro da empresa e que esta tomou todas as medidas legais para evitar o dano. E quem descumprir a lei pode ser multado em até R$ 50 milhões.