Se você está aqui, certamente deve estar querendo entender quando a LGPD entra em vigor e o que o seu negócio pode fazer a respeito dela.
A Lei Geral de Proteção de Dados institui um Marco Regulatório em relação à privacidade e proteção dos dados pessoais das pessoas físicas no país.
Agora, as empresas são obrigadas a informar os usuários sobre a coleta das informações e sua real finalidade, caso contrário poderão enfrentar multas gigantescas e perda de credibilidade no mercado.
Neste artigo, trouxemos alguns tópicos relevantes que todo gestor precisa saber sobre a LGPD, desde os riscos da não adequação até como implementar. Acompanhe a leitura!
Afinal, qual é a finalidade da LGPD?
A LGPD ou Lei Geral de Proteção de Dados tem como principal finalidade proteger os dados pessoais das pessoas físicas, visando regulamentar a coleta, o armazenamento e a manipulação das informações por parte de empresas públicas e privadas.
O objetivo é, portanto, garantir maior transparência na forma como as empresas lidam com a privacidade e a segurança dos dados de clientes e colaboradores.
A lei se aplica tanto a mídias online quanto offline, independente do país onde os responsáveis pelo tratamento estejam localizados ou o ambiente dos dados que serão foco desta operação.
Inspirada no Regulamento Geral de Proteção de Dados (GDPR), da legislação europeia, a LGPD altera alguns artigos do Marco Civil da Internet, define quais dados são sensíveis e determina sanções para negócios que infringirem os termos.
Na lei, são estabelecidos os conceitos de três tipos de dados, os dados pessoais, dados sensíveis e dados anonimizados:
- Dados pessoais: são aqueles que servem para identificar uma pessoa física e que direcionam para ela de alguma forma (ex: e-mail).
- Dados sensíveis: são aqueles conectados à identidade da pessoa e que possibilitam criar um “pré-conceito” dela (ex: religião, endereço, gênero).
- Dados anonimizados: são aqueles que devem ser coletados anonimamente, sem identificar as pessoas. Eles não são objeto da LGPD, exceto se forem revertidos e se tornaram dados pessoais.
A natureza do dado sempre vai depender de como a pessoa se identifica com ele. Para não enfrentar problemas, o ideal é que as empresas jamais coletem, armazenem ou manipulem dados sem a autorização do usuário, como veremos nos tópicos seguintes.
Quando a LGPD entra em vigor?
A LGPD entrou em vigor em setembro de 2020, mas as sanções administrativas previstas na lei só começam a ser aplicadas a partir de agosto de 2021.
Se antes era comum a prática de coletar dados de usuários sem permissão – e até a compra de listas de e-mail -, agora as empresas devem, obrigatoriamente, informar ao usuário que as informações dele estão sendo coletadas e para qual finalidade.
E o titular dos dados pessoais (pessoa física) poderá questionar sobre o tratamento de seus dados por meio de reclamações ao Procon, denúncias no Ministério Público e até mesmo ações na Justiça, caso não sejam acolhidas suas solicitações anteriores ou tenha ocorrido o descumprimento da LGPD.
Além disso, as organizações deverão disponibilizar canais específicos e nomear um encarregado para atender o titular dos dados pessoais em seus questionamentos sobre o tratamento à privacidade e segurança de suas informações.
Sanções administrativas e multas da LGPD
Segundo o artigo 52, as empresas que não estiverem em compliance com as normas da LGPD ou prejudicarem usuários de alguma forma, estarão sujeitas a diversas sanções administrativas como:
Multas de até 50 milhões de reais
As multas por descumprimento da LGPD podem ser de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, excluídos os tributos. Isso pode chegar a 50 milhões de reais por infração.
Má reputação da empresa
Ser punido por ignorar a privacidade e a proteção de dados pessoais transmite uma mensagem muito negativa para o mercado. E todo mundo vai saber porque a LGPD prevê a divulgação da infração após devidamente apurada e confirmada sua ocorrência.
Bloqueio e exclusão dos dados
Geralmente, os dados pessoais são coletados porque assumem importância nas estratégias organizacionais. Mas caso não haja cumprimento das normas, esses dados serão bloqueados e até mesmo excluídos, caso se identifique que a empresa está realizando a captação ou tratamento inadequado.
Suspensão ou proibição do tratamento de dados
Também poderá haver a suspensão do exercício do tratamento de dados pessoais referentes à infração por até 6 meses. A LGPD igualmente estabelece uma possível proibição, que pode ser parcial ou total, das atividades relacionadas ao tratamento.
A pergunta é: será que vale correr o risco de afundar o seu negócio dessa forma, quando podia simplesmente se adequar? Sabemos a resposta, e vamos ensinar como garantir o cumprimento da LGPD.
Como se adequar à LGPD? Passo a passo para sua empresa não enfrentar problemas
Inicialmente, é necessário estruturar um programa de governança de proteção de dados pessoais na empresa, padronizando procedimentos internos na coleta, armazenamento e tratamento.
Para entender melhor como se adequar e evitar problemas, confira o passo a passo abaixo:
1- Conheça a lei e as bases legais estabelecidas no tratamento de dados
O primeiro passo é conhecer o que a LGPD estabelece sobre o tratamento dos dados pessoais, ajustando os processos internos às novas regras. Se você não possui um banner de cookies, termos de uso e política de privacidade em seu site, aplicativo ou portal, solicitando a autorização do leitor para uso da informação e para quê quer utilizar, está na hora de providenciar isso imediatamente.
Nos termos da lei, a empresa deve nomear um profissional responsável pelos temas de privacidade e proteção de dados para garantir a adequação. Esse encarregado deverá, ainda, estar disponível em canais específicos para atender usuários com dúvidas sobre o uso das informações pessoais.
2- Identifique dados coletados e sua “ficha técnica”
Sabe aqueles dados que sua empresa possui de clientes, colaboradores e demais stakeholders? É hora de mapeá-los, entender de que forma são tratados, onde se encontram e para qual finalidade são utilizados. Também é importante analisar a classificação deles, se são pessoais ou sensíveis, por exemplo.
Aqui devem ser revisados, por exemplo, os contratos de trabalho, contratos com prestadores de serviços, fornecedores, terceiros e muito mais. A ideia é fazer um inventário dos dados tratados em cada departamento.
Nessa etapa, é preciso entender, ainda, em quais situações é necessário o consentimento do titular e revisar o consentimento para checar a forma e as condições impostas no processo de coleta de dados que serão objeto do tratamento. Tudo com um único foco: garantir que o aviso de uso de dados foi feito de forma válida e expressa, especificando o propósito.
Caso não seja necessário o consentimento do titular em alguns episódios, a empresa deverá enquadrar o tratamento dos dados pessoais em outra base legal da LGPD, como por exemplo, obrigação legal, cumprimento de contrato ou interesse legítimo.
3- Garanta os direitos do titular dos dados pessoais
Após conhecer as bases legais e realizar o mapeamento, a prioridade deve ser garantir os direitos do titular dos dados pessoais. Isso significa agir com transparência e possibilitar que a pessoa tenha controle sobre quais de seus dados podem ser tratados, onde estão armazenados e por quanto tempo.
A LGPD aborda que as organizações devem considerar alguns princípios na hora de coletar, armazenar ou manipular informações:
- Princípio da informação: a empresa informa de forma clara que vai usar os dados do usuário? (sem termos técnicos ou palavras dúbias);
- Princípio da finalidade: a empresa expressa para quê vai usar os dados? (ex: personalização da experiência);
- Princípio do consentimento: existe uma ferramenta para o usuário expressar se quer ou não que os dados sejam utilizados? (ex: pop-up com opção de permitir/bloquear);
- Princípio da revogação: a empresa garante a opção do usuário se descadastrar ou parar de receber um conteúdo ou ligação? (ex: opção de descadastro em newsletter, escolher não receber mais uma ligação, etc);
No meio digital, por exemplo, não é a quantidade que um e-mail é enviado que será considerado SPAM, mas a falta de consentimento do usuário que está recebendo a mensagem sem nunca ter autorizado o contato. Trata-se, pois, de uma informação coletada de forma não transparente.
4- Treine a equipe do seu negócio
Adequar a empresa à LGPD só é possível a partir do momento em que a equipe está envolvida no cumprimento do que a lei prevê. Por isso, é recomendado realizar treinamentos com os colaboradores, de modo a conscientizá-los sobre a importância de boas práticas no tratamento de dados e as duras consequências em caso de infração.
Nesse sentido, vale estabelecer políticas e procedimentos internos a respeito do manejo das informações, além de instituir protocolos de respostas a incidentes.
Outra dica é implementar sistemas de segurança da informação e adotar uma cultura de avaliação dos riscos, com a elaboração de relatórios, sempre alerta se todas as normas estão sendo cumpridas corretamente.
LGPD: entre arriscar e perder, eu fico com me adequar!
Mais do que uma obrigação a ser cumprida, a LGPD possibilita maior segurança jurídica para o negócio e protege os dados dos usuários.
As empresas ganham muito com a adequação, já que quando questionadas pelos órgãos fiscalizadores ou pelos usuários, vão estar preparadas, demonstrando pleno alinhamento, afinal, possuem uma gestão e tratamento dos dados pessoais consonante com a lei.
Esperamos que você esteja muito mais seguro sobre a LGPD e possa implementar na sua empresa de uma vez por todas.
Gostou do artigo? Então confira também o post O que são objetivos SMART, como aplicar e exemplos para melhorar seus resultados!