Depois da Lei Geral de Proteção de Dados (LGPD) entrar em vigor, muito tem se falado sobre as exigências e adequações exigidas. Com tantos comentários diversos, também surgem as dúvidas. E além dos questionamentos, há as suposições sobre os detalhes da legislação.
Mas você sabe o que é a LGPD? Já ouviu falar por aí?
Se não sabe, mas ficou curioso para entender como essa lei pode impactar a sua vida e, principalmente na sua empresa, é só continuar lendo. Se você já conhece e quer entender mais do assunto, você também é bem-vindo.
A partir dessa leitura, há tudo o que você precisa saber sobre a LGPD: o que significa, qual o objetivo da lei, o que ela protege, quem fiscaliza e quais são exigências determinadas.
Então, bora lá ao que interessa?
O que é a LGPD?
A Lei Geral de Proteção de Dados é um documento que estabelece algumas diretrizes importantes para garantir a proteção de dados dos cidadãos que estão no Brasil.
Essa legislação brasileira é também conhecida como Lei nº13.709. Ela foi aprovada em 2018, mas começou a valer mesmo a partir de agosto de 2020.
O documento prevê que qualquer movimentação das suas informações pessoais está protegida pela LGPD – seja a coleta, processamento e/ou armazenamento de dados.
É importante lembrar que essas exigências valem para pessoas, empresas e órgãos públicos que administram dados na internet ou no mundo real.
O que a LGPD protege?
Basicamente, a LGPD protege dados. E para começar essa conversa de verdade, é importante deixar bem explicado o que são dados.
De acordo com o Serviço Federal de Processamento de Dados, qualquer informação que permita identificar, direta ou indiretamente, uma pessoa que esteja viva é considerado um dado.
Isso vale para o seu nome, RG, CPF, data de nascimento e telefone por exemplo. Informações digitais como seu endereço de IP, localização via GPS e cookies também são considerados dados – e dos caros, viu? Mas é assunto pra outra hora!
Por isso, a lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos.
É o exemplo dos dados sensíveis, aquelas informações mais íntimas, que geralmente podem causar preconceito ou discriminação. Informações como a sua origem racial, étnica, convicção religiosa e até mesmo a sua opinião política é um dado sensível.
Outro caso são os dados sobre crianças e adolescentes. Você sabia que a LGPD exige que o tratamento desses dados deve ser informado de um jeito adequado às idades? Ou seja, tudo tem que ser bem explicado e de maneira simples, de forma que leve a informação necessária, inclusive aos responsáveis por aquele jovem.
O último conceito bem importante de entender é sobre o “tratamento”, que significa toda operação realizada com os dados pessoais. Portanto, tudo que for feito com aquela informação, seja a coleta, classificação, utilização, reprodução, transmissão ou armazenamento, é tratamento de dados.
Até aqui, tudo ok, né?
Conseguimos entender o que é a lei e o que ela protege. Mas vamos saber a intenção disso tudo? Essa legislação tem alguns objetivos principais.
Para que serve a LGPD?
- O primeiro objetivo é assegurar o direito à privacidade e à proteção de dados pessoais dos usuários. Isso acontece por meio de práticas transparentes e seguras, garantindo direitos fundamentais;
- O segundo é estabelecer regras claras sobre o tratamento de dados;
- Outro objetivo, o terceiro, é fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais. A intenção é garantir a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo;
- O quarto ponto principal é promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.
Dados só podem ser captados com autorização
Este é um detalhe importante. Todos os dados tratados precisam de consentimento do titular, ou seja, do dono ou proprietário das informações, seja como você preferir chamar. Na LGPD, o consentimento é considerado elemento essencial para autorizar o tratamento.
É necessário, de alguma forma, fazer com que as pessoas tenham esse controle. É literalmente entregar o poder do indivíduo aceitar o fornecimento de seus dados. Porém, essa regra tem uma única exceção, que é no caso de dados pessoais sensíveis.
Lembra do que falamos agora pouco? Pois é!
Essa exceção é para casos previstos no artigo 11, mais especificamente no inciso II da LGPD. Diz que os dados sensíveis podem ser tratados sem autorização do titular caso seja totalmente indispensável, e tenha acontecido alguma das hipóteses citadas na própria lei.
Além das exigências, é legal citar que a lei traz várias garantias ao cidadão, como:
- Poder solicitar que os seus dados pessoais sejam excluídos;
- Revogar o consentimento; e
- Transferir dados para outro fornecedor de serviços.
Por fim, esse tratamento dos dados deve ser feito levando em conta a finalidade e necessidade daquelas informações serem recolhidas. Entretanto, para tudo isso dar certo e se manter funcionando, alguém tem que regulamentar e ficar de olho nisso, certo?
Quem fiscaliza se a LGPD é cumprida?
Para manter a lei funcionando, foi criada a Autoridade Nacional de Proteção de Dados Pessoais. ANPD tem responsabilidade de regular, orientar, fiscalizar e aplicar sanções quando necessário.
Caso a empresa não esteja regularizada, pode acarretar alguma das consequências. Elas vão desde:
- Advertência;
- Multa de até 2% do faturamento anual da empresa (limitada a R$ 50 milhões);
- Multa diária (soma limitada a R$ 50 milhões);
- Tornar pública a infração;
- Suspensão do banco de dados a que se refere a infração; até a
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Com essa sequência de sanções, fica complicado andar fora da linha, hein?
Controlador, operador e encarregado
A LGPD também prevê a existência dos agentes de tratamento de dados para dar um suporte nessa regulamentação. Algumas de suas funções também são delimitadas em lei:
- O controlador é quem toma as decisões sobre o tratamento;
- Operador realiza o tratamento, em nome do controlador;
- E o encarregado interage com os titulares dos dados pessoais e a autoridade nacional.
Para exemplificar isso, podemos pensar em um site corporativo. O controlador é a empresa dona do site. O operador é a instituição responsável pela captação de dados (como o CRM que faz a gestão dos seus leads). O encarregado é o escritório jurídico que foi contratado para dar suporte quanto às leis.
Ficou mais fácil de entender, não é?
Pronto… Com essas informações estruturadas em mente, o assunto evolui para os impactos da LGPD na web, seja em sites ou nas plataformas digitais.
Não é só colocar um checkbox e um pop-up!
Como a lei já está em vigor, todos os produtos digitais precisam atender às diretrizes que a LGPD determina. Em uma software house, como a Nano Incub, todo processo de desenvolvimento precisa ter como base a segurança de dados desde o início.
Para garantir que está tudo certo e dentro da legislação é importante que determinar os termos de privacidade e segurança. Este documento deve informar claramente o que será feito com os dados que os usuários fornecem ao acessar o site, por exemplo.
É aquela história do consentimento, lembra? O titular sempre tem que ser informado!
Por isso, também é essencial entender que os dados colhidos são criptografados. Para conseguir extrair informações úteis deles, é necessário descriptografá-los. Existe risco de vazamento de dados durante esse processo, porque geralmente é realizado em nuvem. Isso torna mais complicado ainda de se ter controle daquela codificação.
Como ficar em dia com a LGPD?
Desde o início alguns cuidados devem ser tomados no processo de tratamento de dados realizado pela sua empresa, seja ela uma software house ou não. Por isso, é importante entender que:
- Alguns aplicativos possuem dados sensíveis que devem ser protegidos. Vale a pena checar a necessidade de um apoio jurídico de acordo com a área de mercado que você está lidando;
- Pode ser legal ter um mapa de quais dados são necessários para o usuário ter acesso ao produto digital que você criou. Sem gambiarras e automações para captar detalhes adicionais, seja claro e justo;
- É importante especificar qual dado será usado em cada momento da jornada do cliente no seu produto digital. Essa é uma dica que aprimora a experiência do usuário;
- Às vezes pode ser necessário compartilhar com outro software os dados colhidos por você. Se isso acontecer, é relevante solicitar uma garantia de que eles vão proteger as informações enviadas pela sua empresa.
Então, quando você está ali, navegando na internet e abre um site novo… Puff! Aparece um pop-up na sua tela que te questiona se você quer aceitar os cookies da página…
“Puts… Queria navegar logo nesse site.”
É a primeira coisa que a gente pensa, certo?
Mas queremos saber: você sai apertando qualquer botão? Lê alguma coisa do que está escrito?
Seja sincero… É muito difícil fazer isso naturalmente, não é? Sabemos que sim!
Só que tem mais um detalhe…
Não é só colocar um checkbox ou um pop-up na sua página, e muito menos só sair ‘aceitando’ qualquer termo de uso. É importante que você entenda na prática que a LGPD vai bem além disso.
LGPD: Veja em 7 etapas como adequar a postura da sua empresa
A Lei Geral de Proteção de Dados tem relação com a postura que a empresa adota. Muitas adequações começaram ser realizadas depois que essa legislação entrou em vigor.
Veja abaixo em 7 etapas o processo de melhoria que pode ser implantado para adequar a postura da sua empresa diante da LGPD:
1. Faça o mapeamento dos dados para descobrir possíveis riscos
Identifique quais são as políticas, procedimentos e as ferramentas que a sua equipe tem usado atualmente para entender o que precisa ser revisto e ajustado. Tenha anotado quais dados precisam ser coletados, quais já estão sob controle da empresa e como estão sendo tratados atualmente.
2. Reveja contratos e documentos para fazer modificações se necessário
Tenha em mente que todo conteúdo deve explicar as formas de tratamento dos dados feita pela empresa. Isso vale para qualquer contrato com clientes e fornecedores, ou até mesmo documentos – como a Política de Privacidade do site.
3. Determine políticas internas para manter um padrão de qualidade
Essas políticas precisam envolver os princípios, procedimentos e ferramentas usadas pela empresa. Aproveite para definir um plano de resposta a incidentes caso aconteça algum vazamento, fraude, roubo ou perda dos dados.
4. Estabeleça medidas necessárias para garantir a segurança da informação
Garanta a segurança com sistemas de criptografia de dados, além de implantar barreiras físicas e virtuais (como cadeados e até mesmo senhas). Uma boa dica para estimular a equipe é assinando termos de responsabilidade e confidencialidade com colaboradores.
5. Ofereça informação para equipe e promova uma cultura interna
Trabalhe uma cultura de proteção aos dados para deixar claro aos colaboradores qual é a real importância da segurança da informação e do cumprimento da lei.
Esse é um ótimo momento pra gente lembrar do episódio #001 do NanoCast, onde o Maurílio Novais, COO da Nano Incub, falou um pouco mais sobre cultura empresarial.
6. Encontre a pessoa ideal e defina como responsável pela proteção dos dados
É esse profissional que responde aos titulares dos dados e à Autoridade Nacional de Proteção de Dados Pessoais (ANPD), e ainda cuida da organização das políticas e procedimentos de proteção.
7. Monte uma equipe para garantir a boa implementação
A responsabilidade dessa equipe envolve todas as etapas citadas. Desde o mapeamento de dados, até a conscientização de outros colaboradores. Por fim, esse grupo também irá monitorar se as medidas de adequação à Lei Geral de Proteção de Dados (LGPD) realmente estão de acordo e fazer ajustes quando necessário.
Conclusão
Em resumo, isso é tudo o que precisa saber para estar adequado ao que a LGPD determina. Seguindo estas boas práticas e dicas que trouxemos aqui, você estará em acordo com a lei em um patamar bem acima da maioria das empresas do Brasil.
E aí, como se sente agora depois de ler tudo isso? Mais tranquilo ou mais preocupado? Parece muita coisa, né? Relaxa, não é não.
Só o que precisa ter em mente (sempre) é que a Lei Geral de Proteção de Dados apenas pede que as empresas sejam transparentes com as pessoas sobre o que fazem com os dados delas. E isso é o que as empresas precisam colocar em suas Políticas de Privacidade de Dados. Não precisa ser aquele documento chato e técnico. Pode ser um texto com uma linguagem mais amigável falando sobre:
- Quais informações são coletadas;
- Pra quê;
- De que forma, ou seja, por quais canais e em quais momentos;
- Quem terá acesso a estes dados;
- Como os dados são tratados; e
- Deixar claro que a pessoa pode solicitar a exclusão dos dados a qualquer momento e que sua empresa não fará nada com os dados sem ter o consentimento dela.
Ufa!
Quanta dica boa, fala sério?! Foi um prazer compartilhar tanta informação com vocês.
Este conteúdo foi produzido para o episódio #002 do NanoCast, o podcast da Nano Incub. Essa é uma iniciativa do Mindset Startup, um canal para falar sobre tecnologia e cultura startup de um jeito prático. Ouça agora e fique ligado com a Nano!
Valeu pela companhia até aqui. Até a próxima, galera!
Quero ver mais conteúdos da Nano Incub!