Com o mundo (e as empresas) cada vez mais automatizado e o avanço da tecnologia, é preciso ter cuidados com relação ao armazenamento e precauções quanto ao vazamento de dados e informações, não só com os do seu negócio, mas, principalmente, com os dados de seus clientes. Por isso da importância em saber o que é a LGPD e como aplicá-la em sua empresa.
Se você, assim como muitos gestores, possuem dúvidas sobre essa lei e sua aplicabilidade, continue lendo esse artigo que vamos explicar tudo.
⚠️ Importante: o objetivo deste artigo é apenas informativo. A Microsum não realiza consultoria jurídica, nem se responsabiliza por medidas que possam ser adotadas pela sua empresa ou por terceiros.
O que é a LGPD?
LGPD é a sigla para Lei Geral de Proteção de Dados Pessoais do Brasil. Ela foi sancionada em 2018 e entrou em vigor em setembro de 2020, sendo que a aplicação de multas começou no final de agosto de 2021. Em janeiro de 2022 foram publicadas algumas regras específicas para micro e pequenas empresas, que iremos tratar mais adiante.
O principal objetivo da LGPD é dar às pessoas maior controle sobre suas próprias informações. A lei estabelece regras para empresas e organizações a respeito da coleta, uso, armazenamento e compartilhamento de dados pessoais, impondo multas e sanções no caso de descumprimento.
Algo importante a respeito dessa lei é que ela é aplicável para empresas e organizações que processam dados pessoais de cidadãos brasileiros ou residentes, independente da localização física da empresa, ou seja, se os dados pertencem a indivíduos localizados no Brasil, ou se foram coletados no país – casos em que o titular dos dados estava no Brasil no momento da coleta.
O que diz a lei?
A LGPD muda a forma de funcionamento e operação das empresas ao estabelecer regras sobre a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um maior cuidado com a proteção e penalidades significativas para o não cumprimento da norma.
Diante disto, fica claro que essa lei não veio para impedir a coleta de dados (como muito foi falado no início das discussões), mas definir diretrizes de como esses dados são classificados, tratados, protegidos e usados. Neste quesito, é importante entender alguns conceitos importantes:
Dados pessoais: toda e qualquer informação que identifique ou que possa vir a identificar uma pessoa. A lei trata esse conceito de forma bem ampla:
qualquer dado, isolado ou em conjunto com outros dados, que possa identificar uma pessoa, ou que possa sujeitar uma pessoa a determinado comportamento, pode vir a ser considerado um dado pessoal.
A LGPD não trata como dados pessoais apenas as informações básicas de uma pessoa, como nome, telefone, CPF ou e-mail. Agora você pode estar se perguntando: então aqueles cookies utilizados em sites para realização de campanhas de marketing e/ou remarketing são considerados dados pessoais? A resposta é sim.
Tratamento de dados: qualquer ação realizada com o dado pessoal, com a coleta, classificação, utilização, armazenamento, descarte, entre outros. A LGPD estipula normas para qualquer ação de tratamento.
Princípios: podem ser considerados como uma lista de “melhores práticas” a serem adotadas quanto ao tratamento dos dados, entretanto, o seu cumprimento é obrigatório. Dentre estes princípios, podemos citar o de Finalidade e Adequação, Necessidade e Transparência.
Bases legais: podem ser definidas como as hipóteses criadas pela LGPD que autorizam o tratamento dos dados coletados. A lei prevê 10 bases legais. Entre as bases mais utilizadas para as práticas de marketing e vendas, podemos citar:
- Consentimento: declaração clara e inequívoca de uma pessoa que concorda com o uso dos seus dados para as finalidades propostas pela empresa (devendo estar claras em sua política de privacidade e/ou termos de uso).
- Legítimo interesse: permite o uso dos dados, sem a necessidade de obtenção de consentimento. Entretanto, é necessário tomar alguns cuidados para entender em quais casos o legítimo interesse realmente pode ser aplicado: é necessário fazer uma análise para ponderar os interesses da empresa e os direitos do indivíduo.
- Contratos: os dados podem ser processados em dois casos, sendo o primeiro para que seja cumprida uma obrigação prevista em contrato, e o segundo quando o tratamento dos dados serve para a validação e início de vigência de um acordo.
Atores e papéis no tratamento de dados
A LGPD especifica dois principais agentes com responsabilidades distintas, sendo eles:
- Controlador: empresa/organização que toma as decisões em relação aos dados pessoais, que define quando e como os dados serão coletados, para quais finalidades serão utilizados, onde e por quanto tempo serão armazenados;
- Operador: empresa/organização que realiza o processamento de dados pessoais sob as ordens do controlador.
Direitos dos usuários na LGPD
O titular dos dados pessoais possui de obter do controlador, em relação aos dados por ele tratados, a qualquer momento e mediante solicitação:
- Direito de confirmação de existência do tratamento;
- Direito de acesso aos dados;
- Direito de correção de dados incompletos, inexatos ou desatualizados;
- Direito de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- Direito de portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- Direito de eliminação dos dados pessoais tratados com o consentimento do titular;
- Direito de informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- Direito de informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- Direito de revogação do consentimento.
O que a empresa deve fazer para atender a esses direitos?
As empresas hoje, em sua maioria, possuem os dados dos clientes alocados em diferentes sistemas e/ou departamentos.
Nestes casos, cabe a cada organização estabelecer mecanismos e processos internos, a partir dos seus próprios fluxos de dados e sistemas, que viabilizem o atendimento às solicitações dos titulares (dentro dos direitos a eles dispostos).
Caso a empresa tenha dificuldades, é recomendado a contratação de uma consultoria especializada para auxiliar na criação de fluxos e processos.
Regras para pequenas empresas
Em janeiro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela regulamentação e fiscalização da Lei Geral de Proteção de Dados, publicou um conjunto de novas regras visando desburocratizar a adequação de pequenas e médias empresas à lei. As principais regras suavizadas foram:
Encarregado de Proteção de Dados (DPO)
Os agentes de pequeno porte não precisam mais indicar um encarregado de Proteção de Dados. Até então, a indicação era obrigatória, independente do porte da empresa. Entretanto, a ANPD considera a nomeação deste profissional como uma boa prática de governança.
As empresas de pequeno porte que não indicarem um encarregado devem disponibilizar um canal de comunicação com o titular de dados.
Prazos
Os agentes de pequeno porte passam a ter prazo em dobro para atender às solicitações dos titulares sobre o tratamento de seus dados pessoais – a lei prevê um prazo de 15 dias – passando a ter 30 dias.
Também terão prazo em dobro para comunicar a ocorrência de incidente de segurança (desde que não haja risco de comprometer a integridade dos titulares ou a segurança nacional).
Segurança
Entre os requisitos de segurança dos dados que foram simplificados, podemos citar a criação de uma Política de Segurança da Informação simplificada.
Em outubro de 2021, a ANPD publicou um Guia Orientativo sobre Segurança da Informação para agentes de tratamento de pequeno porte, contendo um conjunto de medidas mínimas necessárias quanto à adoção de medidas administrativas e técnicas essenciais e necessárias.
Como adequar a sua empresa a LGPD
Apesar de ser um processo longo, quando realizado da forma correta, não há prejuízos para as suas atividades de vendas e marketing. Para te ajudar nesse processo de adequação, criamos um infográfico com os principais passos para adequação à LGPD. Para baixar, é só clicar na imagem abaixo.
