LEI GERAL DE
PROTEÇÃO DE DADOS
A Lei Geral de Proteção de Dados (LGPD) está gerando uma mudança na forma como as empresas tratam os dados pessoais. Isso impacta diretamente na cultura da empresa e nos processos internos, também na forma de se relacionar com o cliente, vender produtos e prestar serviços.
O desafio do trabalho de consultoria é tornar esta adequação à LGPD algo mais seguro e transparente, com o mínimo de impacto possível ao negócio.
O QUE É A LGPD?
A Lei 13.709/18, chamada Geral de Proteção de Dados (LGPD), dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
QUAL É A FUNÇÃO DA LGPD?
A função da Lei Geral de Proteção de Dados é dúplice, pois busca fomentar o desenvolvimento econômico tecnológico e ao mesmo tempo garantir a proteção dos direitos e liberdades fundamentais.
A LGPD surgiu para regular e permitir o controle do tipo de dados pessoais que as organizações (e pessoas físicas) captam dos cidadãos, e permite o controle do que está sendo feito com os dados pessoais, dentro das organizações.
A LGPD traz como princípios básicos a boa-fé, transparência nas relações a proteção dos direitos fundamentais e outros. O desafio das organizações é se adequar às novas regras, evitando punições, multas, e criando um diferencial competitivo para a empresa que se adequar.
A QUEM SE APLICA A LGPD?
A LGPD se aplica a todos – pessoa física ou pessoa jurídica, pública ou privada – que realizam algum tratamento de dados pessoais, nos meios físicos ou digitais. A legislação protege os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade das pessoas naturais.
Portanto, se por algum motivo você trabalha com tratamento de dados pessoais, seja para vender seu produto, seja para marketing, ou até mesmo nas relações trabalhistas entre empregado e empregador, você terá que se adequar à Lei Geral de Proteção de Dados.
Se a empresa tem funcionários, esta relação deverá ser documentada e adequada à LGPD.
Se o site da empresa capta somente contatos comerciais através do formulário “Fale Conosco”, sua empresa precisa de um processo de adequação, visando normatizar a coleta de dados através de Google Analytics e cookies, que deve ser consentida.
QUANTO CUSTA ADEQUAR MINHA EMPRESA A LGPD?
Os custos de implantação de um programa de privacidade irão variar de acordo com o porte da empresa, quantidade de funcionários, e principalmente volume e tipo de dados pessoais que impactam no negócio.
Assim, somente após um primeiro mapeamento é possível definir com mais precisão qual é o valor necessário para adequação à LGPD.
Porém, como a adequação é dividida em fases, e pode ser fracionada em setores dentro das organizações, é possível que a empresa se adeque na medida de sua capacidade e necessidade. O mais importante é começar, criando uma cultura de proteção de dados, que irá se disseminar por toda a empresa, funcionários e parceiros de negócios.
QUANTO TEMPO DEVO MANTER ARMAZENADO UM DADO COLETADO?
Chamado de “Ciclo de vida dos dados pessoais”, os dados pessoais passam pelas seguintes fases: coleta, retenção, processamento, compartilhamento e eliminação. O momento correto de eliminar os dados depende da sua função, pois cada dado deverá atender à uma legislação específica.
Por exemplo, enquanto os dados de menores de idade não podem sequer ser armazenados, o prazo prescricional para o empregado exigir seus créditos e direitos trabalhistas derivados das relações de trabalho é de 5 (cinco) anos, até o limite de 2 (dois) anos após a extinção do contrato, sendo esse o prazo de armazenamento.
COMO INICIAR UM PROCESSO DE ADEQUAÇÃO À LGPD?
Para que a empresa possa se adequar, existem alguns passos importantes que devem ser seguidos:
1 – Conscientização da Empresa – sendo esse o primeiro passo para a criação de uma cultura de proteção de dados pessoais dentro das organizações.
2 – Mapeamento de Dados – Em linhas gerais, a empresa precisa mapear as áreas onde existem dados pessoais e identificá-los, focando nos pontos vulneráveis.
3 – Análise da legislação na qual cada dado mapeado se enquadra, e assim identificar as falhas e inconsistências na utilização de dados pessoais.
4 – Confecção da documentação necessária à adequação, com os ajustes necessários e implementação dos mecanismos de controle.
5 – Monitoramento e revisões periódicas: o processo de implantação da LGPD tem começo e meio, mas “não tem fim”, na medida que exige acompanhamento e revisão ao longo do tempo.
7 ERROS COMUNS NO PROCESSO DE ADEQUAÇÃO À LGPD
1 – Colocar apenas a política de privacidade e o botão de aceite no site
A implementação de uma cultura de adequação à Lei Geral de Proteção de Dados vai muito além de elaborar uma política de privacidade.
Somente após a realização de um mapeamento dos processos internos é que se torna possível encontrar as bases legais que justificam o tratamento de dados pessoais, de acordo com o seu modelo de negócio.
2 – Achar que dados pessoais se limitam apenas a nome, CPF e telefone.
Muito além do nome, CPF e telefone, são dados pessoais todos aqueles dados que permitem ou podem permitir a identificação de uma pessoa. Ex.: Se o aplicativo de transporte identifica que a bateria do celular do usuário está acabando e por isso lhe oferece um valor mais caro para fechar a corrida, o nível da bateria se torna um dado pessoal.
3 – Implementar um programa de Adequação e não conscientizar os colaboradores.
O sucesso de um processo de adequação se inicia pela conscientização de todos dentro da organização, pois vai exigir mudanças de hábitos internos e criação de procedimentos que deverão ser observados pela coletividade.
Portanto, o programa de adequação à LGPD vai muito além da elaboração de documentos, pois trata de uma mudança de cultura organizacional..
4 – Não criar um comitê para tratar da LGPD
Por ser um requisito exigido pela Lei Geral de Proteção de Dados, toda empresa deve ter um DPO (encarregado de dados) nomeado.
Além disso, recomenda-se a criação de um comitê especializado na manutenção dos processos internos dentro dos padrões estabelecidos pela LGPD.
Privacy by Design: tratamento adequado aos dados pessoais, desde sua concepção até o seu descarte definitivo.
5 – Criar o canal de oposição e não monitorá-lo.
Outro erro bastante comum é a criação do canal de oposição – veículo pelo qual o titular de dados poderá exercer seus direitos de acesso, cancelamento, explicação, portabilidade, retificação, oposição e revisão de decisões automatizadas – e não prestar a devida atenção às possíveis demandas que chegarem por este canal.
Lembrando que existe um prazo legal para resposta de 15 dias, o que significa que este canal deve ser monitorado constantemente.
6 – Não registrar e documentar todo o processo
Tão importante quanto ser honesto é parecer honesto. Da mesma forma, se adequar a legislação significa mapear e documentar todos os processos, gerar manuais de boas práticas, criar procedimentos internos nos casos de incidentes de dados pessoais ou até mesmo nos casos de tratamento de dados em dissonância com a permissão dada pelo titular de dados.
7 – Alterar a finalidade do tratamento dos dados pessoais sem informar ao titular
A LGPD trabalha com o princípio da finalidade e da transparência, dentre outros. Por isso, se o dado armazenado foi coletado para uma determinada finalidade e agora está sendo utilizado para outra, cabe ao controlador de dados informar ao titular a modificação e conseguir novo consentimento para o novo tratamento dos dados coletados.
DÚVIDAS FREQUENTES SOBRE LGPD
O recomendável é que solicite novamente a permissão, mas agora se atentando para o fato que deve deixar claro para qual finalidade o tratamento dos dados será aplicado.
Por exemplo: se você antes mandava uma newsletter semanal e agora quer mandar anúncios de parceiros para esta mesa base, precisa conseguir o consentimento para esta nova forma de interação.
Portanto, recomenda-se para todas as bases existentes na empresa, que atualize o consentimento e que seja transparente detalhando para qual tipo de tratamento será dado.
Confira este post que detalha explica um pouco mais sobre a base legal do Legítimo Interesse.
A LGPD estabelece uma série de providências que devem ser adotadas pelos agentes de tratamento, que incluem o mapeamento e o registro das operações de tratamento de dados pessoais que realizarem, incluindo a identificação das respectivas bases legais e finalidades; a adoção de medidas técnicas e administrativas e de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais; e o estabelecimento de um canal de contato com os titulares de dados pessoais.
A Lei determina, no art. 41, que os controladores de dados devem indicar um Encarregado para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Em determinadas circunstâncias, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, a ANPD poderá estabelecer hipóteses de dispensa da necessidade de sua indicação (art. 41, § 3º).
A regra é que o cidadão pode exigir a exclusão dos seus dados pessoais sempre que solicitar (deixar de consentir). Porém, se o tratamento dos dados for feito de acordo com outra base legal do art. 7º da LGPD que não seja o consentimento, os dados podem ser mantidos pelo tempo determinado pela lei ou contrato, por exemplo.
A LGPD expõe, de forma taxativa em seu art. 7º, as 10 bases legais para o tratamento de dados pessoais. Cada dado pessoal deverá ter (apenas) uma base legal que justifique/permita a sua utilização, como por exemplo quando necessário para a execução de contrato, ou por determinação legal.
Não é necessário apagar tudo. Desde que os dados captados sejam tratadas de acordo com finalidades específicas, necessárias e adequadas para as atividades da empresa naquele momento, a sua utilização (aproveitamento) é possível, ainda que seja necessário anonimização, granulação ou outros mecanismos de controle de dados. Mas recomendamos rever todos os tratamentos e a permissão que foi dada, na dúvida realize uma nova ativação pedindo a permissão dos titulares.
Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo. Assim, de acordo com o art 5º, II, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.
Existem algumas exceções, onde a LGPD não se aplica ao tratamento de dados pessoais realizados:
- no caso de tratamento de dados feito por pessoa física para fins exclusivamente particulares e não econômicos;
- quando o tratamento de dados pessoais tiver fins exclusivamente jornalísticos, acadêmicos ou artísticos;
- no caso de Segurança do Estado, Segurança Pública (investigações penais) e Defesa Pública.
Tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Portanto, se você esta executando alguns dos verbos citados acima, você esta tratando dados.
É uma documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Este documento em caso de algum problema ou questionamento sobre o tratamento de dados, deverá ser apresentado à ANPD – (Autoridade Nacional de Proteção de Dados Pessoais). E principalmente deve ser implementado e seguido a risca pela empresa.