LGPD

O que é LGPD e como ela me afeta?

Seu negócio envolve dados pessoais de clientes e possíveis compradores? Então a LGPD se aplica a ele.

A LGPD – ou Lei Geral de Proteção de Dados – é uma lei (nº 13.709/2018), que regula o tratamento de dados pessoais pelas empresas. Hoje, já são mais de 120 países com leis de proteção de dados em vigor.

Sua relevância atualmente é inegável, já que os dados sobre os usuários permitem fazer previsões, montar perfis de consumo, segmentar opiniões, entre outros.

Se você ainda não tinha ouvido falar sobre a LGPD, saiba que é fundamental conhecê-la e implementá-la. 

No post de hoje, vamos tratar sobre esse assunto, explicando exatamente o que é, quando se aplica, quais cuidados devem ser tomados pelas empresas em relação à Lei Geral de Proteção de Dados e como implementá-la em seu negócio.

Dados pessoais de acordo com a LGPD

Por que precisamos da LGPD?

Garantir que seus dados não sejam hackeados é bom, mas não é exatamente para isso que a LGPD foi criada.

No ambiente digital, os dados pessoais valem tanto quanto ouro, mas nem todos os usuários sabem disso. Simplesmente aceitam os termos de uso, permitindo – por exemplo – que aplicativos usem o GPS o tempo todo, indiscriminadamente.

“Não tenho nada a esconder” não é o mesmo que concordar em ser explorado comercialmente, certo?

Algumas empresas usam o histórico de navegação, localização e todo o tipo de ferramenta para ter acesso ao maior conjunto de informações possíveis para fazer alguns tipos de discriminações.

Por exemplo, com base no endereço ou do perfil do usuário, um e-commerce pode alterar os valores dos produtos dependendo do bairro de origem do acesso ou da nacionalidade do usuário.

Nem todos os casos servem para manipulação de anúncios. Em casos mais perigosos, sem a preservação de dados, uma empresa de seguros de saúde pode vasculhar o histórico de doenças crônicas da família de um indivíduo e discriminá-lo por isso.

É por isso que precisamos dessas leis. Agora vamos para algumas definições:

O que são dados pessoais?

De acordo com o art. 5º,I, são considerados dados pessoais pela LGPD as informações que permitem identificar uma pessoa – ou que podem torná-la identificável. Como:

O que são dados pessoais segundo a LGPD

A LGPD também identifica alguns dados pessoais como mais sensíveis (art 5º, II). Ou seja, exigem uma proteção maior do que os dados pessoais comuns. 

O que são dados pessoais sensíveis para a LGPD

O que é considerado tratamento de dados para a LGPD?

De acordo com a LGPD, é considerado tratamento de dados qualquer operação realizada com os dados pessoais. Como por exemplo:

O que é tratamento de dados para a LGPD

Espera, mas então não posso usar a compra de listas da Leads2b?

Se você usa as listas da Leads2b, saiba que pode ficar tranquilo porque ela não cai na LGPD. 

Isso porque nossa compra de lista se baseia nas informações abertas de empresas. Basicamente, cada item nessa “lista” é um conjunto de informações de uma determinada empresa, sendo que essas informações são públicas.

A partir do momento que você tem o número de CNPJ de uma empresa, você pode buscar essas informações na Receita Federal.

Ou seja, a Leads é como uma biblioteca da Receita federal, organizando e catalogando empresas. Então nós só trabalhamos com dados já abertos.

Princípios da LGPD

O princípio da LGPD é baseado na privacidade desde a concepção (previsto no art. 46 da Lei Geral de Proteção de Dados).

Esta determina que é dever de todas as empresas implementar a privacidade em todas as etapas do projeto, negócio ou sistema (desde a modelagem, passando pela operação e gerenciamento, até o encerramento).

Além desse, outros princípios estão envolvidos na LGPD:

Finalidade – é preciso que o tratamento tenha um objetivo específico e legítimo e apresente um resultado único

Livre Acesso – o titular dos dados deve – sem custo algum – ter acesso total aos seus dados tratados, sem nenhuma dificuldade

Necessidade – somente os dados pessoais necessários para a finalidade estabelecida devem ser tratados, sendo descartados aqueles que estiverem além do objetivo

Adequação – os dados precisam ser tratados absolutamente de acordo com o objetivo informado ao titular

Qualidade dos dados – os “tratadores” dos dados precisam garantir que estes sejam exatos, claros, relevantes e estar atualizados (sempre respeitando a necessidade e objetivo do tratamento)

Não discriminação – é proibido usar os dados para discriminação abusiva ou ilegal

Transparência – as informações sobre o tratamento dos dados devem estar sempre claras, precisas e acessíveis aos titulares, incluindo sobre os agentes de tratamento (as pessoas que estão manipulando os dados)

Prevenção – os responsáveis pelo tratamento dos dados devem garantir que estes estejam protegidos contra incidentes, estabelecendo para isso medidas preventivas.

Segurança – os “tratadores” de dados precisam garantir a segurança destes contra acesso não autorizado e contra a quebra de integridade de dados (como perda, alteração, difusão, entre outros. Para isso, devem estabelecer as medidas técnicas e administrativas necessárias para essa proteção.

Responsabilidade e prestação de contas – os agentes de tratamento precisam demonstrar e comprovar que adotam medidas efetivas para cumprir as normas de proteção aos dados pessoais. Incluindo as de segurança da informação – demonstrando que são eficientes.

LGPD - tenha mais eficiência com uma gestão comercial baseada em dados

Na LGDP, o tratamento de dados precisa estar justificado em bases legais 

Para cada objetivo, o tratamento de dados precisa estar suportado por uma das bases legais previstas no art 7º da LGPD. Que são:

Consentimento pelo titular

O titular deve poder determinar o nível de proteção e garantir até que ponto seus dados podem ser explorados. Também precisa concordar completamente com o objetivo estabelecido pelo tratamento que está informado nos termos de consentimento.

Cumprimento de obrigação legal ou regulatória pelo controlador

Quando o tratamento dos dados é feito para cumprir obrigações legais ou regulatórias e não depende da permissão do titular. Por exemplo, dados para a nota fiscal (cumprindo as leis fiscais) ou o tratamento dos dados pessoais do trabalhador para Caixa Econômica Federal (para cumprir as leis trabalhistas do FGTS).

Execução de políticas públicas

Como no caso de vacinação, epidemia, pandemia e verificação de qualidade de ensino.

Estudos por órgãos de pesquisa

Em casos de estudos demográficos, como no Censo ou no IBGE. Sendo que, sempre que possível, os titulares dos dados sejam mantidos anônimos.

Execução de contrato

Quando é firmado um contrato, os dados pessoais das partes são necessários e estão liberados.

Exercício regular de direito em processo judicial, arbitral ou administrativo

Em casos de processos, os dados pessoais servem como base legal para produção de provas e para o desenvolvimento do processo em si.

Para a proteção da vida ou da integridade física

No caso onde o objetivo é a proteção da vida ou integridade física (manter a pessoa saudável) os agentes de saúde – como médicos, enfermeiros e agentes sanitários – podem tratar os dados pessoais.

Para a tutela da saúde

O mesmo vale para casos onde o objetivo é garantir a qualidade de vida da sociedade e diminuir os riscos de doenças.

Legítimo interesse

Quando o titular entende o tratamento de dados como razoável e o tratamento faz sentido para ele – sem oferecer nenhum risco de prejuízo a ele. Nesses casos, a situação precisa passar por um teste de legítimo interesse, para garantir que objetivo do tratamento é válido. 

Para a proteção do crédito

Em casos onde o objetivo é manter a economia do país segura e trazer mais benefícios a quem cumpre com suas obrigações, o tratamento de dados também é liberado.

LGPD - Conte com as principais ferramentas para sua equipe de vendas ter os melhores resultados

Quais são os direitos do titular de acordo com a LGPD?

A LGPD garante ao titular alguns direitos, de acordo com o art. 18. Entre eles:

Confirmar a existência de tratamento de seus dados pessoais – ou seja, sabe que seus dados estão sendo tratados

Acessar seus dados pessoais – quando seus dados estão sendo tratados, devem poder ter acesso facilitado a eles

Corrigir os dados pessoais – poder editar seus dados, quando não estiverem corretos

Anonimizar, bloquear ou eliminar dados pessoais – devem poder barrar o uso de suas identidades no tratamento de dados, impedir que suas informações continuem sendo tratadas ou apagar seus dados da base de quem está tratando deles

Portabilidade de dados pessoais – transmitir seus dados de uma base para outro fornecedor (mesmo que seja o concorrente) através de uma requisição

Obter informações sobre o compartilhamento de dados pessoais – saber com quem estes dados estão sendo compartilhados

Revogar o consentimento dado – deixar de permitir o tratamento de dados pelo controlador atual.

LGPD e o Código de Defesa ao Consumidor

A LGPD está dentro do Sistema Nacional de Defesa ao Consumidor (art. 45), por isso, os direitos dos titulares dos dados são tratados como os dos consumidores padrão.

Ou seja, na LGPD, os titulares tem direito à presunção de hipossuficiência. Nesse caso, a hipossuficiência do titular significa não conhecer todas as informações, nem todos os procedimentos envolvidos no processo de tratamento de dados. 

Além da inversão do ônus da prova – o titular tem direito de pedir ao juiz que o controlador dos dados forneça as provas para basear os fundamentos da petição dele (justamente por não ter os meios para provar sua condição – a hipossuficiência).

Sem falar que, por estar contida no Sistema Nacional de Defesa do Consumidor, o titular tem o direito à informação e explicação sobre o tratamento dos dados.

A LGPD também pode ser aplicada em outros contextos jurídicos, como nas relações de trabalho.

LGPD - Potencialize a capacidade da sua equipe comercial

O que acontece se meu negócio não cumprir o que determina a LGPD?

Se seu negócio não seguir o que determina a LGPD ou não proteger o dados como se deve, tanto a empresa como o controlador/operador de dados são responsabilizados. Mesmo que o tratamento já tenha sido encerrado.

E quem seria o controlador e operador dos dados pessoais?

No caso, o controlador é a pessoa (física ou jurídica, de direito público ou privado) que é responsável pelas decisões no tratamento dos dados pessoais. O operador, por outro lado, é pessoa (natural ou jurídica, de direito público ou privado) que faz o tratamento de dados em si, em nome do controlador.

Digamos então que você tenha um negócio que manipula dados pessoais. Sua empresa é o controlador. Já a equipe (ou funcionário), seja contratada ou terceirizada, seria o operador dos dados.

A LGPD determina que – no tratamento de dados – um profissional deve ser identificado como encarregado ou DPO (Data Protection Officer). Este pode ser uma pessoa física ou jurídica (empresa ou pessoa que possua CNPJ).

As responsabilidades desse profissional serão aceitar as reclamações, tirar as dúvidas dos titulares e responder às autoridades, orientar as empresas e cumprir as determinações do diretor.

O DPO precisa ter sua identidade acessível aos titulares autoridades e seu contato precisa ser de fácil acesso e estar disponível de forma simples, sem causar nenhuma dificuldade a quem quiser entrar em contato com ele.

Sanções

Se sua empresa tiver algum incidente, a ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar as seguintes sanções:

Sanções para o descumprimento da LGPD

Quando acontecer um vazamento de dados, as empresas devem atuar diretamente junto com os titulares dos dados para reparação (§7º, art. 52). Se não for feito o acordo, o controlador dos dados sofrerá as penalidades que foram citadas acima.

Aconteceu um incidente de segurança, e agora?

Casa aconteça um incidente de segurança com os dados (art. 48) tratados por você ou sua empresa, e que cause riscos ou prejuízos aos titulares, é preciso:

O que fazer em caso de incidente de segurança com os dados, de acordo com a LGPD

Como fazer para implantar a LGPD no meu negócio?

A LGPD Brasil orienta as empresas a seguir 11 passos para implantar a Lei Geral de Proteção de Dados. São eles:

Como implementar a LGPD na sua empresa

Conclusão

Os dados pessoais tem um valor enorme para as empresas, sendo solicitados para diversos objetivos. Mas, como vimos, estes dados precisam estar suportados por uma base legal e possuir um objetivo. 

Este objetivo precisa ser claro para o titular dos dados, que também precisa estar de acordo com esse objetivo.

Ao tratar os dados pessoais, é preciso, ainda, seguir os princípios estabelecidos pela LGPD, entre eles, a garantia de segurança desses dados contra acessos de terceiros e vazamentos.

Cada empresa deve ter, ainda, um profissional responsável pelo esclarecimento do tratamento de dados aos titulares e que responda ao órgãos reguladores. Em caso de incidentes com esses dados, tanto empresa como operador de dados serão responsabilizados.

Os titulares têm direito a confirmar, acessar, anonimizar, bloquear, eliminar, fazer a portabilidade e revogar o tratamento de seus dados pessoais. Podem também fazer a portabilidade ou revogar o consentimento do tratamento de seus dados.

A LGPD garante aos titulares também os direitos do consumidor, como pedir aos controladores que forneçam as provas de que precisam para basear seu processo; a alegação de hipossuficiência, isto é, não ter todos os conhecimentos sobre o processo de tratamento de dados. Além de ter direito à informação e explicação sobre o tratamento dos dados.

Quando um incidente de segurança acontecer – e causar riscos ou prejuízos ao titular – a empresa poderá sofrer uma advertência com prazo para resolver o problema, ser multada em até 50 milhões de reais e/ou ter o incidente levado a público.

O procedimento a ser seguido em casos de incidentes com os dados é descrever os dados pessoais afetados, avisar ao titular sobre o ocorrido e informar os riscos envolvidos (justificando a demora, caso este não seja informado imediatamente) e informar o que será feito para corrigir a situação.

Uma questão de idoneidade

Seguir a LGPD vai além de somente cumprir a lei e evitar multas e penalidades, é ter respeito e compromisso com seus clientes, demonstrando uma preocupação com a integridade dos seus dados. Ou seja, mostrar que sua empresa é séria e honesta.

Quero deixar claro que a Leads2b preza pela segurança e proteção dos dados dos clientes e usuários. Nossas rotinas de segurança são revistas periodicamente e nossos colaboradores são instruídos sobre sigilo e confidencialidade, que são diretivas da LGPD.

Referências:

.

Bruno Correia

DevOps Engineer, formado em Gestão de Tecnologia da Informação. Sou curitibano orgulhoso, com aspirações a barman, cozinheiro e astrofísico. Tenho dois cachorros que me acompanham nas maratonas de séries, Star Wars e O Senhor dos Anéis.

Artigos Recentes​

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *