Neste artigo você vai saber o que é LGPD (Lei Geral de Proteção de Dados), sua importância e como se adequar a ela de maneira simples.
Você já conhece a LGPD?
A LGPD ou Lei Geral de Proteção de Dados (Lei nº 13.709, de 14/8/2018) prevê não só como as empresas devem lidar com dados e informações pessoais de seus clientes daqui para frente, mas também manter a transparência sobre a coleta e como esse conteúdo é usado pela organização.
Quer entender melhor como essa lei pode afetar sua empresa e seus clientes? Então prossiga a sua leitura!
A LGPD foi criada baseada na GDPR (General Data Protection Regulation – Regulação Geral de Proteção de dados), a versão europeia dessa lei. Por lá ela entrou em vigor em 2018, impactando a vida de empresas e seus clientes.
Já aqui no Brasil ela afeta todas as empresas, sejam elas de pequeno, médio ou grande porte, bem como empresas estrangeiras que fazem negócios no país, pois determina algumas obrigações e responsabilidades que essas instituições devem seguir a partir de agora.
O descumprimento dessa lei acarreta uma multa de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no ano anterior, limitada ao valor total de R$ 50 milhões por infração.
Além disso, a lei também estabelece a possibilidade de seus clientes solicitarem a qualquer momento e de forma gratuita às empresas esclarecimentos sobre como seus dados pessoais estão sendo tratados, bem como requisitar a exclusão deles em casos nos quais forem obtidos sem o consentimento de seu titular, ou seja, a pessoa a quem pertencem estas informações.
O que é LGPD e por que foi criada?
Conforme os casos de vazamentos de dados foram aumentando pelo país e ao redor do mundo, notou-se uma necessidade de aumentar o cuidado com informações pessoais e o sigilo com relação a elas. Isso levou a uma grande preocupação com a área de segurança, pois eventos deste tipo trazem grandes danos a imagem da empresa, afetando a relação de confiança estabelecida entre ela e seus clientes, além de prejuízo girando em torno de milhares e até bilhares de dólares.
Para minimizar esse problema, várias medidas foram tomadas, como, por exemplo, a criação de leis como a GDPR e a LGPD e a posição de DPO (Data Privacy Officer) nas empresas.
Mas quem vai aplicar a LGPD?
Aqui no Brasil, a ANPD (Autoridade Nacional de Proteção de Dados) foi o órgão federal criado para ser responsável por fiscalizar e aplicar a Lei Geral da Proteção de Dados. A criação de uma entidade que trabalhe de forma independente é primordial para que empresas que possuem o acesso a dados pessoais possam seguir corretamente a legislação, e dessa forma serem auditadas quando não seguirem as regras estabelecidas na lei.
A ANPD faz parte do Poder Executivo do Governo Federal, e nasceu para fiscalizar e difundir em nosso país de que forma todas as informações e dados pessoais que circulam e são utilizados pelas organizações tem de ser tratados.
Esta agência é composta por membros não remunerados, que fazem parte de um conselho diretor formado por cinco pessoas que são indicadas pelo Poder Executivo e aprovadas pelo Senado. Além delas, temos também outros servidores separados entre a sociedade civil, as instituições científicas, os setores produtivos, o Senado, a Câmara dos deputados, o Ministério Público, empresários e também trabalhadores.
Somado a disso, dispor de uma autoridade nacional que realize essa regulamentação faz com que o Brasil concorde com Regulamento Geral de Proteção de Dados da União Europeia, o que credencia nosso país a enviar informações e dados para o bloco.
A ANPD tem poder de aplicar sanções quando houver a violação da legislação. As penas variam caso a caso, mas após uma minuciosa análise da ocorrência podem ser tomadas as seguintes providências: advertências simples, multas de até 2% do valor do faturamento da empresa ou grupo no ano anterior, bloqueio ou exclusão dos dados envolvidos na ocorrência e suspensão proibição do acesso ao tratamento de dados pessoais.
O que é dado pessoal e dado pessoal sensível?
Para se adequar a essa nova lei, é preciso entender o que é dado pessoal. Eles constam na seguinte relação:
- nome, RG, CPF;
- gênero;
- data e local de nascimento;
- telefone e endereço residencial;
- localização via GPS;
- retrato em fotografia;
- prontuário de saúde;
- cartão bancário, renda e histórico de pagamentos;
- hábitos de consumo;
- preferências de lazer;
- endereço de IP (Protocolo da Internet) e cookies, entre outros.
Resumindo, tudo aquilo que permite a identificação, de forma direta ou não, de uma pessoa viva.
Além disso, é necessário compreender também o conceito de dado pessoal sensível, que na LGPD é definido como tudo que pode causar discriminação a uma pessoa. Por esse motivo, as seguintes informações precisam de maior proteção:
- origem racial ou étnica;
- convicção religiosa;
- opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político;
- dado referente à saúde ou à vida sexual;
- dado genético ou biométrico.
Simples, não?
Como se adequar à LGPD?
Agora que já sabe o que é, porquê foi criada a Lei Geral de Proteção de Dados e as diferenças entre dados pessoais e informações pessoais sensíveis, aqui vão algumas dicas úteis do que você pode fazer para se adequar a essa nova lei:
- Caso sua empresa precise coletar dados pessoais, é necessário explicar ao seu cliente o motivo e a indicação da coleta, criando um termo de consentimento e guardando-o para futuras consultas;
- Documentos em forma física ou digital que contenham dados de clientes, funcionários e quaisquer outros públicos precisam ser armazenados de forma segura;
- Se sua empresa teve o consentimento do cliente e precisa repassar ou compartilhar dados pessoais para outras companhias e instituições, será necessário então obter autorização específica do titular para tal;
- Uma das exigências da LGPD é a criação do cargo de DPO (Data Protection Officer – Oficial de Proteção de Dados), um profissional cujo dever é ficar inteiramente responsável pela segurança dos dados de todos, ou seja, de funcionários, pessoas de fora da organização ou de ambos.
Na lei não há uma especificação sobre qual deve ser a formação deste profissional, mas é de grande importância que ele seja alguém que tenha conhecimentos tanto em leis como na área de TI, pois uma das atribuições desse cargo é prestar contas à ANPD (Agencia Nacional de Proteção de Dados) através do envio de relatórios sobre a proteção dos dados;
- É recomendável que sua empresa também faça um mapeamento e documente todos os dados que já possui e classifique essas informações;
- Além disso, é interessante verificar como estão guardadas essas informações e se este armazenamento está sendo feito de maneira segura;
Por fim, cabe ressaltar que os funcionários que trabalham com dados de clientes e outros públicos precisam garantir o sigilo dessas informações, lembrando sempre de seguir as boas práticas de segurança da informação.
E aí, o que você achou dessas dicas? Espero que tenham lhe ajudado na tarefa de se adequar a LGPD. Até a próxima!