Negócios são feitos de dados.
Quem são seus consumidores? Como eles consomem? Onde consomem? Por que consomem? Como entrar em contato com eles? Como fazer com que consumam mais? O que oferecer? Quais são seus interesses? E suas necessidades? E seus hábitos?
Coletando dados pessoais, é possível responder a todas essas perguntas e muitas outras. Eles se tornaram tão valiosos para as empresas que receberam a alcunha de “moeda do século XXI”.
A contrapartida de terem se tornado tão valiosos é que começaram a ser coletados e utilizados indiscriminadamente. A polêmica recente envolvendo a Cambridge Analytica lançou alguma luz sobre o tema e atentou para a necessidade de um controle mais rígido sobre quais dados podem ou não ser aproveitados pelo mercado – e como.
Afinal, mais do que bens, dados pessoais são indicadores de individualidade, únicos e intransponíveis. É justo que sua individualidade seja comercializada?
A esse questionamento, a reação é o surgimento de uma série de leis e normas que visam proteger os direitos fundamentais de liberdade e privacidade dos indivíduos e inibir o uso desenfreado de suas informações pessoais..
Um dos destaques desse movimento é a General Data Protection Rules, criada na União Europeia e mais conhecida como GDPR. Da data da sua promulgação até agora, o impacto já foi sentido por gigantes como Google e Facebook, que estão sendo processadas em base das diretrizes da lei e, se condenadas, deverão desembolsar aproximadamente 8 bilhões de euros em reparações.
No Brasil, a resposta é a Lei Geral de Proteção de Dados, ou LGPD, baseada na lei europeia.
Promulgada, entrará em vigor em agosto de 2020, a LGPD vai transformar a forma como os dados pessoais são manipulados no Brasil e, sobretudo, a forma como empresas brasileiras operam e fazem negócios.
Em uma realidade onde organizações públicas e privadas dos mais distintos setores – da Saúde à Educação – tratam grandes volumes de dados sem quaisquer protocolos ou transparência, é esperado que o impacto seja significativo e severo.
A sua empresa está preparada?
Neste artigo, vamos entender melhor as implicações da LGPD – da teoria à prática -, para que você entenda como estar em conformidade com a lei independentemente do tamanho da sua empresa e da sua área de atuação.
E, antes de mais nada, se quiser um material de adequação prática a LGPD, temos um guia especial em PDF que você pode consultar.
O que você vai encontrar no Guia de Implementação da LGPD: passo a passo para adequar sua empresa:
Já deu pra perceber que a jornada da LGPD é desafiadora. Mas, com este guia em mãos, você vai:
- Entender os fundamentos da nova Lei Geral de Proteção de Dados e como eles vão impactar o dia a dia da sua empresa;
- Tirar suas principais dúvidas sobre implementação da LGPD diretamente com especialistas em compliance;
- Encontrar um passo a passo exclusivo para implementação da LGPD;
- Descobrir como soluções tecnológicas podem te ajudar na implementação do projeto.
Para ter acesso ao material, basta clicar neste link ou na imagem abaixo. Boa leitura!
Eis os tópicos que vamos abordar:
O que é a LGPD?
Fundamentos da LGPD
As diretrizes da LGPD
Bases legais da LGPD
Atores, papéis e agentes da LGPD
Exceções da LGPD
LGPD nas empresas
O que muda com a LGPD?
LGPD na prática
O que acontece se a empresa não seguir a LGPD?
Normas e resoluções que apoiam a LGPD
Tecnologias de suporte para implementação da LGPD nas empresas
Conclusão
O que é a LGPD?
A lei número 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, ou LGPD, é a lei que dispõe sobre a proteção dos dados pessoais de todas as pessoas naturais em território brasileiro. Foi decretada pelo Congresso Nacional em 14 de agosto de 2018 e entrará em vigor em agosto de 2020.
A lei acompanha um movimento internacional em prol da proteção de dados pessoais dos cidadãos de todo o mundo. Baseada diretamente na General Data Protection Rules da União Europeia, a regulamentação visa inibir que sejam coletados “dados em excesso”, bem como limita seu uso para fins com os quais seus titulares não tenham explicitamente concordado.
Fundamentos da LGPD
A lei foi escrita em base de 7 fundamentos. São eles que delimitam o que é legal e o que é ilegal no que tange à proteção de dados, permeando os princípios e as bases legais da lei.
De acordo com o Artigo 2º da LGPD, são eles:
- I – o respeito à privacidade;
- II – a autodeterminação informativa;
- III – a liberdade de expressão, de informação, de comunicação e de opinião;
- IV – a inviolabilidade da intimidade, da honra e da imagem;
- V – o desenvolvimento econômico e tecnológico e a inovação;
- VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
- VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Mas o que isso significa?
O interesse dos titulares dos dados é que vai ditar quais dados serão coletados e como eles serão operados. Além disso, o titular é livre para solicitar qualquer informação a respeito do processo de tratamento, bem como solicitar a eliminação de seus dados da base de pessoas ou organizações que estejam em posse deles, se assim lhe convir.
Assim, a transparência e a garantia de privacidade se tornam os pilares de toda empresa que deseje se posicionar com credibilidade no mercado e de toda organização que preze por uma boa imagem junto ao público.
Trata-se de um compromisso incontestável com a segurança e o respeito aos dados dos cidadãos brasileiros.
As diretrizes da LGPD
A lei elenca 10 princípios para o tratamento de dados pessoais. É com base nessas diretrizes que você deve realizar qualquer operação concernente aos dados, da coleta à sua utilização conforme os propósitos da empresa.
Finalidade
Com a implantação da LGPD, todo e qualquer tratamento de dados pessoais deve ter um fim específico, explícito e claramente informado a seu titular. Isso significa que, além de informar quais dados deseja-se coletar, será necessário explicar para o que cada dado coletado será utilizado.
O objetivo é assegurar que sejam coletados apenas os dados indispensáveis para o fim explicitado pela organização. Por exemplo, se uma organização precisa dos dados de um cliente para gerar um contrato de prestação de serviços, ela deve deixar bem claro que dados são esses (nome, telefone, RG, CPF, endereço, etc.) e o porquê de sua necessidade (identificação contratual).
Com a lei, fica também vedada a modificação da finalidade durante o tratamento.
Adequação
Todos os dados pessoais devem estar de acordo com a finalidade informada. A razão pela qual a coleta será feita deve ter relação com o tipo de dado solicitado. Retomando o exemplo do contrato de prestação de serviços, não teria, a princípio, razão para se solicitar a data de nascimento do titular, certo? Mas, se no contrato consta que são prestados serviços personalizados na ocasião de aniversário, essa coleta pode ser justificada.
Necessidade
Deve-se utilizar os dados estritamente para alcançar as necessidades apresentadas pela empresa (identificação do indivíduo para geração do contrato de prestação de serviços, ainda conforme o exemplo). Qualquer desvio de conduta será punido.
Livre-acesso
Toda e qualquer pessoa física tem o direito de consultar, junto à organização, de forma simplificada e gratuita, todos os dados dos quais seja titular e que tenham sido coletados por dita organização. O que foi e o que será feito com esses dados, bem como por quanto tempo eles serão tratados, deve ser explicitado ao titular.
Qualidade dos Dados
Garante, aos titulares dos dados, a exatidão, a clareza, a relevância e a atualização constante dos dados, de acordo com a necessidade da organização e para o cumprimento da finalidade de seu tratamento, previamente informada ao titular.
O nível de detalhamento e exatidão vai variar de acordo com a necessidade e finalidade do tratamento de dados.
Transparência
Os titulares dos dados têm direito a informações claras, precisas e facilmente acessíveis quanto aos responsáveis pelo tratamento de dados e à realização do tratamento de dados, observados os segredos comercial e industrial – isto é, respeitando as informações que as organizações mantêm como confidenciais junto às legislações pertinentes.
Em caso de transferência de dados a terceiros, como fornecedores, por exemplo, o titular deve ser informado.
Segurança
É responsabilidade da organização buscar os meios, processos e a tecnologia necessária para garantir a proteção de dados pessoais. Deve-se impedir o acesso por terceiros não-autorizados, assim como tomar medidas preventivas para solucionar acidentes que possam vir a ocorrer.
Prevenção
As organizações devem tomar precauções para evitar danos em virtude do tratamento de dados, ou seja, impedir seu vazamento ou que sejam utilizados para fins que possam prejudicar seus titulares.
Não-Discriminação
De acordo com a lei, fica proibida a utilização de dados pessoais para discriminar ou promover qualquer forma de abuso contra seus titulares. Este princípio trata sobre dados pessoais sensíveis, como origem racial, étnica, religião, posicionamento político, saúde e similares.
Responsabilidade e Prestação de Contas
As organizações devem comprovar que estão seguindo todas as prerrogativas da LGPD, a fim de demonstrar boa-fé e diligência.
Bases legais da LGPD
Toda coleta e processamento de dados deverá se atentar à base jurídica imposta pela Lei Geral de Proteção de Dados, onde estão previstas hipóteses que poderiam tornar ilegais o tratamento de dados pessoais pelas organizações. As duas mais comentadas são:
Consentimento
Para a obtenção dos dados, é necessário e irrevogável o consentimento do titular destes
dados. Em outras palavras, toda a informação coletada deve ser fornecida livremente pelos titulares, estando estes livres para escolher entre permitir ou negar a coleta de dados e solicitar sua exclusão da base de dados da organização quando conveniente.
Legítimo Interesse
Organizações e empresas poderão promover o tratamento de dados pessoais caso possuam finalidades legítimas, transparentes e partindo de situações concretas.
Como ressalva, apenas os dados pessoais estritamente necessários para a finalidade pretendida podem ser tratados, conforme explicamos anteriormente nos itens Finalidade e Adequação.
Atores, papéis e agentes da LGPD
A LGPD detalha em seu texto quatro envolvidos nos processos de privacidade de dados:
Titular
A pessoa física proprietária dos dados pessoais.
Controlador
Quem coleta os dados pessoais e toma as decisões em relação a todo o processo de tratamento dos dados, razão de sua utilização e o tempo de armazenamento.
Operador
A organização ou pessoa física que vai realizar todo o processo de
tratamento e processamentos dos dados pessoais coletados. O operador irá seguir as orientações do controlador.
Encarregado
A pessoa física, indicada pelo controlador, responsável pela comunicação
entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados, que realizará a fiscalização do tratamento de dados. Também é responsável por orientar o controlador (seja organização ou pessoa física) sobre as melhores práticas em relação ao tratamento de dados.
Exceções da LGPD
A LGPD discorre sobre algumas exceções em sua atuação. Conforme elucidado pelo Artigo 4º da lei, elas incidem sobre:
Fins particulares e não-econômicos
Trata-se da coleta de dados realizada por pessoa natural para fins particulares e que não incida em qualquer tipo de ganho econômico. Observe que essa exceção se limita a pessoa natural; logo, isso significa que empresas sem fins lucrativos também respondem à LGPD.
Fins exclusivos
Faz referência a atividades às quais a lei não se aplica devido à natureza de sua finalidade, como:
- Jornalísticas e artísticas;
- Acadêmicas;
- De segurança pública;
- De defesa nacional;
- De segurança do Estado;
- Investigação e repressão de infrações penais.
Provenientes de fora do território nacional
Todos os dados coletados fora do território nacional que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamentos brasileiros ou transferência internacional de dados com outro país, desde que ele tenha algum tipo de legislação voltada à proteção de dados.
Além disso, todo e qualquer tratamento de dados deve ter um término e descarte previstos pela organização. Via de regra, os dados devem sempre ser excluídos pelos controladores.
No entanto, existem 4 exceções admitidas pela lei, registradas no artigo 16:
Cumprimento legal ou mandato
Quando mantidos por força de lei – isto é, em casos determinados judicialmente -, os dados não devem ser descartados mesmo após o término do tratamento.
Órgãos de pesquisa
Refere-se aos órgãos de pesquisa, determinando que os dados coletados podem ser mantidos. A exigência para isto é que os órgãos forneçam garantia de anonimização (quando dado perde a possibilidade de associação, direta ou indireta, a um indivíduo).
Transferência de dados a terceiros
Quando os dados forem transferidos a terceiros, existe a possibilidade de não-encerramento, uma vez que os dados estão sujeitos à necessidade de um mediador a mais. Não obstante, todas as diretrizes de tratamento de dados devem ser cumpridas.
Dados para uso exclusivo do controlador
Por outro lado, quando os dados são para uso exclusivo do controlador, é vedado qualquer acesso a terceiros, a não ser que os dados sejam anonimizados.
LGPD nas empresas
A LGPD irá afetar decisivamente todas as pessoas jurídicas, administrações públicas,
varejo (B2B ou B2C) e, em alguns casos específicos, pessoas físicas. De modo geral, toda entidade que lidar com dados pessoais, por menor que seja, será contemplada pela lei.
Nisso são incluídas também atividades de tratamento realizadas fora do país, mas que tenham como objetivo a oferta e/ou fornecimento de bens e serviços no Brasil.
Como a LGPD vai afetar sua empresa
A Lei Geral de Proteção de Dados vai entrar em vigor em agosto de 2020 e, com ela, é esperado um impacto significativo no ambiente empresarial brasileiro. Até essa data, é essencial que as organizações, especialmente aquelas que tratam um grande volume de dados pessoais, estejam em compliance com a LGPD.
A questão é que o tratamento de dados não se limita aos dados pessoais de clientes. Os dados pessoais de colaboradores também são contemplados pela nova lei.
Dá para imaginar a complexidade dessa adequação, não é?
Na Europa, onde a General Data Protection Regulation (GDPR) já está em vigor desde de maio de 2018, o impacto foi imediato. Gigantes como Facebook e Google, por exemplo, foram acionados judicialmente e multados em bilhões de euros.
A ideia da LGPD é causar o mesmo efeito no Brasil, fortalecendo os direitos pessoais e a segurança dos dados dos cidadãos.
O compliance à LGPD é uma questão de imagem
Dados pessoais são a identidade de uma pessoa e não existe bem maior do que a nossa identidade. Ela é intransferível e, sobretudo, inestimável. Em razão disso, os dados pessoais são o maior bem de um indivíduo e é natural que queiram preservá-los.
Amparados pela lei e, possivelmente, pela Constituição Federal, qualquer prejuízo decorrente do tratamento inadequado dos dados pessoais será uma ação ilegal e, dependendo da aprovação da PEC 17/2019, anticonstitucional.
Finalmente, a julgar pela consulta pública realizada pelo Senado, aproximadamente 95% dos brasileiros concordam com a constitucionalidade da proteção aos dados pessoais. Sendo assim, a pressão pública, na mesma medida que a força da lei, dão uma dimensão da importância do compliance.
Uma empresa que não garanta a privacidade dos dados pode sofrer prejuízos muito maiores do que o de dinheiro. Pode perder sua credibilidade no mercado, a confiança dos consumidores e a força da sua marca.
O que muda, na prática, com a LGPD?
O time de TI, o time Comercial, o time de RH, o time de Marketing, o time de Vendas, o time Financeiro, enfim, qualquer um que lide com dados, seja online ou offline, será afetado pela LGPD.
De forma geral, isso significa que os fluxos de operação de dados deverão ser mais cuidadosos e transparentes. Mas como garantir a proliferação de um comportamento que priorize a segurança e a privacidade por todos na empresa?
O nascimento do DPO
Com a implantação da Lei Geral de Proteção de Dados, entra em cena um novo profissional: o Data Protection Officer (DPO).
Pela lei, ele é o encarregado – o intermediador entre os titulares dos dados, as empresas e a fiscalização. “Importado” da General Data Protection Regulation (GDPR), a ocupação é novidade para a grande maioria das empresas e pode gerar alguma confusão na hora de criar um projeto de compliance.
Acontece que, de acordo com a LGPD, é obrigatório ter um encarregado, mas não é obrigatório que ele seja um DPO. Porém, o profissional que melhor se enquadra no que se exige de um encarregado, considerando os exemplos lá de fora, é o DPO.
Complicado? Pois é. Mas vamos simplificar.
Basicamente, é preciso contar com um profissional designado para administrar todo o fluxo de informações, da coleta e tratamento à exclusão dos dados ao fim da operação ou quando solicitado pelo titular.
Assim, podemos resumir suas funções nos seguintes itens:
- Administrar o fluxo de dados;
- Orientar funcionários;
- Fazer a conexão entre a organização e a ANPD;
- Fiscalizar as práticas da organização.
Esse profissional deve possuir autonomia o suficiente, pois irá exercer diversas funções que muitas vezes não são desenvolvidas com uma única área de conhecimento. Portanto, o ideal é que ele seja alguém que possua uma boa formação interdisciplinar.
Ele deverá ter ao menos as seguintes características.
- Conhecimento das novas legislações;
- Conhecimento de governança e base de dados pessoais;
- Conhecimento sobre segurança da informação;
- Habilidade de posicionamento perante a ANPD e os titulares da base de dados;
- Habilidade de fiscalização;
- Habilidade em tomar decisões diante de situações de risco;
- Habilidade no treinamento de funcionários.
A LGPD determina que o controlador – neste caso, a organização – deve indicar um encarregado. Empresas maiores, que seguem modelos internacionais, geralmente encontram em um membro do seu corpo jurídico o profissional mais adequado e já contam com o profissional em plena atuação, sob o título de DPO mesmo. É altamente provável que esse modelo seja replicado para a maioria dos casos.
Mas, para quem tudo é novidade, a complicação é um pouco maior. O DPO, ou o encarregado, não possui uma formação específica elucidada pela lei e, no país, o perfil ainda está em formação. Além disso, é uma função de extrema responsabilidade e nem sempre os profissionais mais indicados vão se sentir confortáveis para assumir esse compromisso.
Alguns perfis têm se destacado no mercado como os mais preparados para assumir a função. Geralmente, eles têm:
- Formação em riscos
- Formação em compliance
- Formação em tecnologia e segurança
Na eventualidade de não haver, na empresa, alguém adequado ao cargo de DPO, mas sendo o encarregado uma função obrigatória para a conformidade com a lei, o serviço pode ser terceirizado para uma consultoria.
Os formatos e modelos ainda serão definidos pelo mercado, porém já existem escritórios de advocacia especializados em direito digital, por exemplo, prestando esse tipo de serviço.
Qual o envolvimento da TI no projeto?
A equipe de Tecnologia da Informação terá um papel fundamental no projeto de compliance, sendo a responsável pela implementação prática da LGPD. Ela vai cuidar da implantação e adequação de sistemas em compliance com a lei, do desenvolvimento dos fluxos de operação e, sobretudo, da segurança dos dados nos ambientes digitais.
Sendo assim, o ideal é que seja fornecido um treinamento em LGPD à equipe de TI, facilitando o alinhamento do setor com a visão do compliance.
Mas qual é o setor da empresa responsável por gerir a LGPD? A TI, o jurídico ou outros?
Tanto o jurídico quanto a TI tem forte tendência a assumir grandes responsabilidades, mas o ideal é que o compliance não se limite a nenhum dos dois. É preciso criar uma Cultura da Privacidade, unindo gestores de variados setores da empresa em um comitê multidisciplinar de conformidade.
O comitê não é obrigatório, no texto da lei, mas pode ser muito mais benéfico para as organizações, uma vez que facilita o alinhamento das equipes em prol de um bem comum.
Jurídico, Governança, TI, Financeiro, Marketing, RH – é importantes que os principais afetados pela lei participem das reuniões de compliance, a fim de que todos sigam sempre pelo mesmo caminho quando o tema for proteção de dados.
Desse modo, evita-se que o time de Marketing e RH, por exemplo, tome decisões que não sigam as orientações do Jurídico – como a utilização de um sistema que não esteja em compliance com a LGPD – o que poderia, futuramente, dificultar o trabalho da TI e do Financeiro, dentre outros cenários prejudiciais à empresa como um todo.
Contudo, para todos os casos teremos o encarregado encabeçando o comitê, seja ele um DPO ou não (verificar tópico anterior), que vai representar a empresa se e quando houver a necessidade de prestar contas para a fiscalização.
LGPD na prática: como adequar sua empresa
Você já entendeu a teoria. E agora? Como adequar seu dia a dia para que as operações estejam em compliance com a lei?
É o que veremos a seguir:
Coleta de dados
A finalidade, a necessidade e o consentimento são os princípios que permeiam uma coleta de dados em compliance com a LGPD.
Sendo assim, será necessário que o titular esteja explicitamente de acordo em ceder os dados que a empresa determinar como imprescindíveis para que ela alcance determinado objetivo. Isso poderá ser feito por meio de formulários específicos, personalizados conforme a necessidade.
Vamos voltar ao exemplo do contrato, lá do começo do texto? Na hora de criar uma ficha ou formulário para solicitar os dados, eles devem seguir a lógica:
- Finalidade: identificação do indivíduo para contrato de prestação de serviços;
- Necessidade: os dados sem os quais não é possível fazer a identificação contratual (nome, RG, CPF, endereço, telefone, etc.)
- Consentimento: deve haver uma cláusula no contrato que esclareça que o indivíduo concordou em ceder os dados para o fim disposto no contrato.
Todos esses pontos devem estar claros para o titular dos dados e, se algum não estiver, ele deve ter condições de solicitar o esclarecimento junto à empresa.
O modelo se aplica a todo tipo de coleta, variando apenas os detalhes conforme a finalidade e a necessidade para cada caso.
Mapeamento de dados
O mapeamento dos dados pessoais é a principal ação a ser tomada na sua gestão de riscos. Ele envolve tanto os dados de clientes quanto os de colaboradores e é o que vai garantir que a sua empresa está em conformidade com a lei.
Esse processo tem como objetivo identificar quais dados estão em posse da empresa e assegurar sua privacidade dos dados, salvaguardando empresas que porventura possam vir a enfrentar problemas como vazamentos, denúncias e afins.
A adequação pode ser um processo demorado, dependendo do estágio de aderência da empresa à Lei Geral de Proteção de Dados, mas é imprescindível.
Algumas etapas simples a serem seguidas:
Mapear e inventariar os dados tratados pela empresa
Com que dados sua empresa lida? Onde estão armazenados? Como foram adquiridos? Qual a finalidade de cada dado?
Respondendo a essas perguntas, você já tem um bom norte. Depois, é importante identificar qual o fluxo dos dados, isto é, como eles entram, quem os coleta, onde são guardados, como serão eliminados, dentre outros processos comuns.
Lembrando que isso inclui tanto os dados online – oriundos de ERPs, CRMs e afins – quanto os dados offline. Sabe aquela ficha cadastral que o cliente preencheu e assinou pro Financeiro e tá guardado dentro de uma pasta dentro de um arquivo dentro de uma sala isolada? Então. Isso também deve ser mapeado.
Mapear os agentes envolvidos em todo o processo do controle de dados
Quem serão os operadores dos dados? Quem vai gerir o fluxo dos dados? Quem vai supervisionar a equipe? É importante poder identificar os agentes envolvidos na garantia de privacidade.
Também é fundamental, no caso de haver compartilhamento de dados com terceiros, detalhar como ele é feito e quem são os responsáveis pelo tratamento desses dados também do lado de lá, na empresa receptora.
Conheça o perfil de todos os usuários envolvidos e entenda os níveis hierárquicos de acesso, para garantir que ele seja feito somente por pessoal autorizado em todas as etapas do tratamento.
Mapear as ferramentas e processos envolvidos no tratamento dos dados
Outro aspecto fundamental do mapeamento é entender quais são os sistemas que a sua empresa utiliza para armazenar os dados pessoais.
É preciso incluir desde aplicativos, serviços e programas do dia a dia que de alguma forma armazenem dados – como Whatsapp, Google Drive, Gmail, etc. – a sistemas de suporte ao marketing, vendas, recursos humanos e todos os setores cabíveis – como Salesforce, RD Station, ERPs, dentre outros.
Finalmente, após mapeá-los, é válido incluir que tipos de dados cada sistema identificado armazena.
Compreenda todo o escopo do seu negócio, sabendo até onde a lei se aplica dentro dele
É importante entender como a empresa funciona em todas as suas esferas e identificar as áreas com maior acesso a dados pessoais em suas operações. Departamentos de Marketing, Vendas, Recursos Humanos e Comercial são alguns exemplos. Busque compreender como o compliance à lei vai afetar o trabalho de seus colaboradores e o que pode ser feito para facilitar o tratamento dos dados em conformidade à LGPD.
Para isso, vale realizar um trabalho em conjunto com as áreas de gerenciamento de riscos, visando a identificação de algum controle interno que possa dificultar o cumprimento de alguns princípios estabelecidos na LGPD. A partir de seus resultados, compreenda quais são os objetivos e finalidades da empresa, a fim de analisar os dados que efetivamente são necessários para atingir esses objetivos.
O próximo passo é definir, junto de todas as áreas envolvidas, o fluxo de operação desses dados, especialmente no que se refere à sua eliminação. Aqui, é preciso estar atento a alguns pontos:
- Em quais situações os dados serão descartados?
- Como os dados serão descartados?
- Quem é o responsável pelo descarte?
- Qual o processo de formalização do descarte?
Vale ter sempre em mente que se o titular solicitar a eliminação dos dados ou quaisquer informações concernentes ao seu tratamento, bem como na eventualidade de uma visita da fiscalização, a equipe responsável deverá estar preparada para fornecê-las de forma clara.
Logo, todo o processo de mapeamento deve considerar, também, o pressuposto de que ambas as hipóteses podem acontecer a qualquer momento.
Como fazer a transferência de dados conforme a LGPD?
A lei de proteção de dados irá impactar basicamente em dois tipos de transferências: a transferência de dados a terceiros e a transferência internacional de dados.
A seguir, elucidamos ambas:
Transferência de dados a terceiros
A transferência de dados a terceiros ocorre quando enviamos ou compartilhamos os dados pessoais com qualquer outra empresa ou entidade parceira. Pode ser o caso de um fornecedor, um consultor ou prestador de serviços.
Nesse caso, é importante entender que as prerrogativas da proteção de dados devem continuar sendo seguidas à risca, fazendo-se necessário o consentimento do titular e a transparência em relação à finalidade também na hora de fazer a transferência.
Outro ponto importante é quando falamos sobre a flexibilização em relação ao tratamento de dados pessoais sensíveis, como ocorre no setor de saúde, por exemplo. A MP 869/2018 acrescentou à LGPD a proibição da comunicação ou uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde, com o objetivo de obter qualquer vantagem econômica.
Em outras palavras, ela inibe que os dados pessoais sejam utilizados para a obtenção de lucros, na área da saúde. A exceção aparece apenas quando existe a necessidade de comunicação para a adequada prestação de serviços.
Já as práticas de estudos em saúde pública terão o tratamento de dados limitados exclusivamente dentro do órgão (sem possibilidade de transferência) e estritamente para o objetivo do estudo. O poder público que tiver acesso a dados pessoais sensíveis, que não deveriam ser compartilhados, pode ser impedido de tratá-los, conforme regulamentação da autoridade nacional.
Transferências internacional de dados
A LGPD não vale apenas para empresas brasileiras. Empresas estrangeiras que atuem em território nacional também deverão respeitar as diretrizes da LGPD.
Isso significa que, mesmo que a matriz de uma multinacional, por exemplo, esteja situada em outro país, se atuar no Brasil, a empresa deve seguir os procedimentos impostos pela legislação.
Porém, em caso de necessidade, existe a possibilidade de realizar transferência de dados para uma filial ou sede estrangeira, contanto que exista uma única condição: leis abrangentes de proteção de dados no país de destino. Em outras palavras, a transferência só será permitida para países que garantam um tratamento de dados equivalente aos exigidos no Brasil pela Lei Geral de Proteção de Dados.
Quando ocorrer o término da necessidade efetiva, os dados devem ser excluídos como dita a LGPD. Exceções ocorrem apenas por força de lei.
O que acontece se a empresa não seguir a LGPD?
Parece um trabalhão – e é. Mas as consequências de não estar em compliance com a LGPD dão mais trabalho ainda, além de acarretar em prejuízos diversos.
Aqui, vamos falar um pouco das sanções e danos oriundos da não-conformidade com a lei. Continue conosco!
A ANPD
No dia 09 de julho de 2019, foi publicada a Lei nº 13.853/2019, que cria a Autoridade Nacional de Proteção de Dados no Brasil, ou ANPD.
A ANPD entra para a lista das diversas siglas de órgãos governamentais (ANCINE, ANVISA, ANATEL, etc.) e será a responsável por fiscalizar a correta adoção da coleta, tratamento e compartilhamento de dados pessoais – essencial para o bom andamento e a correta implementação da LGPD no país.
Seu objetivo, portanto, é fiscalizar, controlar e, se for o caso, multar as empresas que lidam com dados pessoais e privacidade.
Ela é o grau máximo, hierarquicamente, na esfera administrativa da Lei Geral de Proteção de Dados. Este fator não elimina o poder de fiscalização de outros órgãos, apenas define a limitação de suas competências.
Dentre as principais atribuições da ANPD, temos:
- Estabelecer os padrões técnicos para o cumprimento da lei;
- Determinar os requisitos necessários para a elaboração dos Relatórios de Impacto;
- Fiscalização e aplicação de advertências, multas e demais sanções;
- Celebrar compromissos com as empresas;
- Comunicar às autoridades competentes as infrações penais das quais obtiver o conhecimento;
- Receber e processar toda e qualquer reclamação de pessoa física titular de dados;
- Atividades para difundir e educar a população sobre a LGPD.
A cargo dessas atribuições, teremos um conjunto de profissionais distribuídos por diferentes setores.
A estrutura da ANPD
A Autoridade Nacional de Proteção de Dados foi criada com uma estrutura que se organiza em 6 setores:
Conselho Diretor
Será formado por 5 membros, responsáveis por administrar, planejar e tomar decisões pertinentes ao bom funcionamento da LGDP. Um Diretor-Presidente será designado para encabeçar o Conselho.
Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
Possuindo uma formação de diversos nichos, será composto por 23 membros da sociedade, sem direito a voto nas tomadas de decisões da ANPD. Conforme o Artigo 58 da lei, desses 23, serão:
- 5 (cinco) do Poder Executivo federal;
- 1 (um) do Senado Federal;
- 1 (um) da Câmara dos Deputados;
- 1 (um) do Conselho Nacional de Justiça;
- 1 (um) do Conselho Nacional do Ministério Público;
- 1 (um) do Comitê Gestor da Internet no Brasil;
- 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;
- 3 (três) de instituições científicas, tecnológicas e de inovação;
- 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;
- 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e
- 2 (dois) de entidades representativas do setor laboral.
Corregedoria
Setor especializado na apuração de erros ou práticas que não estejam em conformidade com a lei. Em caso de erros dos agentes públicos, o setor será o responsável por aplicar as penalidades necessárias.
Ouvidoria
Especializado em atender a população, é a ponte entre os titulares dos dados e a ANPD, responsável por atender a reclamações, dúvidas e mensagens, em geral.
Órgão de assessoramento jurídico próprio
É o setor especializado em consultoria e assistência jurídica na aplicação da LGPD, para pessoas físicas e jurídicas. É quem vai apoiar a implementação da lei esclarecendo as principais dificuldades que possam ser apresentadas durante os projetos de compliance.
Unidades administrativas e especializadas
Setor formado por diversos órgãos, que serão os responsáveis diretos pela aplicação do que dispõe a Lei Geral de Proteção de Dados.
Porém, como foi criada muito recentemente, a real atuação da ANPD será revelada de forma fracionada. Até agosto de 2020, quando a LGPD entrar em pleno vigor, teremos condições de saber o real funcionamento da ANPD. Por enquanto podemos nos basear em agências internacionais similares e ficarmos atentos a qualquer movimentação.
Sanções da LGPD
Ao sancionar a Lei Geral de Proteção de Dados, o governo brasileiro espera que todas as empresas sigam seus requisitos. Porém, em caso de organizações infratoras, existem punições previstas no texto que vão desde uma advertência até uma multa de até 50 milhões de reais.
O intuito da lei é criar uma cultura de privacidade no ambiente de negócios brasileiro. Por essa razão, as penalidades sempre seguirão critérios objetivos, de modo que a valorização da cultura de proteção de dados seja incentivada, enquanto a de displicência, punida.
Se o controlador (empresas e organizações) não cumprir com o exigido, a ANPD é a responsável por aplicar advertências, penalidades e, dependendo da gravidade do caso, multas, como veremos a seguir:
Advertência
A ANPD pode advertir formalmente uma organização a fim de permitir que ela corrija as infrações sem maiores consequências. Será fornecido um prazo para adoção das medidas corretivas determinadas pelo órgão.
Multa simples
O valor da multa será de até 2% do faturamento da pessoa jurídica no seu último exercício. O teto será de R$ 50 milhões por infração e os valores das multas arrecadadas com a fiscalização da ANPD em conformidade com a Lei Geral de Proteção de dados serão destinados ao Fundo de Defesa de Direitos Difusos.
Multa diária
Além da multa simples, poderá ser instituída uma multa diária. O limite continua sendo de R$ 50 milhões por infração.
Publicitação da Infração
Divulgação pública da infração da empresa, nos meios de comunicação pertinentes, explicitando os delitos cometidos em toda a sua extensão.
Bloqueio dos Dados Pessoais
Os dados a que se referirem à infração serão bloqueados até que as autoridades competentes solucionem o caso. Impossibilitando o manejo e, por consequência, qualquer tipo de atividade ligados a eles.
Eliminação de Dados Pessoais
Os dados que caracterizaram a infração deverão ser apagados do sistema da empresa, ocasionando na perda de todo investimento efetuado na captação de tratamento desses dados.
Por que não seguir a LGPD significa perda de dinheiro a longo prazo para a sua empresa?
Além do aspecto financeiro, existem algumas desvantagens a longo prazo para quem não seguir a LGPD:
Prejuízo à imagem
De forma geral, uma empresa depende de sua reputação para sobreviver e, sobretudo, prosperar. Uma organização com a imagem arranhada pode sucumbir à concorrência.
Como disse o investidor e filantropo Warren Buffet:
“Se você perder dólares da empresa por uma decisão ruim, eu entenderei. Mas, se você perder a reputação de uma empresa, eu serei impiedoso.”
Isso porque o impacto de um dano do tipo na empresa vai muito além da perda de dinheiro. Significa um comprometimento do principal ativo de qualquer organização: sua credibilidade.
Prejuízo financeiro
Uma consequência direta da perda de credibilidade é a perda de dinheiro. Porém, esta não é a única possível causa de uma perda massiva de capital quando nos referimos à falta de conformidade com a LGPD.
Supondo que a ANPD de fato entre com um processo contra a sua empresa, ela correrá o risco de perder acesso ao seu principal ativo de trabalho: os dados envolvidos na infração. Ou seja, não poderá vender, emitir notas, divulgar, nem mesmo editá-los!
E como a implementação ainda é novidade no país, não existe realmente um prazo concreto para todo esse processo ocorrer. O ideal, portanto, é não deixar que o destino de sua organização fique nas mãos do judiciário brasileiro.
Possível inconstitucionalidade
O Senado aprovou, no dia 02 de julho de 2019, a PEC 17/2019. Em suma, ela diz que a proteção de dados pessoais em meios digitais será incluída na lista de garantias individuais da Constituição Federal. O autor, Senador Eduardo Gomes (MDB-TO), diz que a proteção de dados pessoais é uma continuação da proteção de intimidade. Caso seja aprovada em todas as instâncias, a proteção de dados se torna constitucional e um direito de todo e qualquer cidadão brasileiro.
Na prática, isso significa que uma empresa que esteja em desacordo com a Lei Geral de Proteção de Dados poderá estar infringindo um direito básico do cidadão, o que, em linhas gerais, torna a própria empresa inconstitucional e exposta a todo o rigor da lei.
Ou seja: é mais lucrativo seguir a lei
De forma geral, é mais lucrativo – ou menos prejudicial – seguir a Lei Geral de Proteção de Dados.
Mesmo em organizações que possam absorver o valor de 2% da multa, provavelmente o dano em credibilidade será o suficiente para convencê-las do contrário.
A boa notícia é que, seguindo os precedentes de nosso judiciário e pelos princípios postos em lei, existem maneiras de se salvaguardar. A criação de relatórios de impacto, a cooperação com as autoridades e a total transparência nos processos fazem com que o ambiente se torne mais seguro para quem seguir fielmente a legislação.
Normas e resoluções que apoiam a LGPD
Muito além da Lei Geral de Proteção de Dados, existem outras regulamentações brasileiras e internacionais com o objetivo de assegurar a proteção dos dados pessoais.
Algumas delas contribuíram para a criação da LGPD, seja influenciando diretamente em sua criação ou agindo em seu campo de atuação, e expandem a noção de como a lei deve operar, servindo de referência para sua aplicação:
Resolução 4.658 do BACEN
A resolução BACEN 4658 obriga as instituições reguladas pelo Banco Central a desenvolverem políticas de segurança cibernéticas, com um plano de ação para respostas a possíveis incidentes, assim como um planejamento para a continuidade dos negócios.
Ela também estipula requisitos na contratação de serviços terceirizados e na nuvem e determina criação de uma política cibernética, que contempla, no mínimo:
- Objetivos de segurança cibernética
- Procedimentos e controles para reduzir a vulnerabilidade à acidentes
- Controles específicos para a segurança de dados sensíveis
- Registro e análise das causas e impactos de incidentes
Além disso, especifica os procedimentos e controles tecnológicos no intuito de reduzir a vulnerabilidade da instituição. Os requisitos mínimos para isso são:
- Autenticação do usuário
- Criptografia do sistema
- Prevenção e detecção de intrusos
- Prevenção de vazamento dos dados
- Testes e varreduras periódicas para detectar vulnerabilidade do sistema
- Proteção contra softwares maliciosos
- Implantação de mecanismos de rastreio
- Controle de acesso e segmentação da rede
- Manutenção das cópias de segurança dos dados
A resolução foi aprovada em 26 de abril de 2018 pelo Conselho Monetário Nacional e entrou em vigor imediatamente.
PCI-DSS
O Payment Card Industry – Data Security Standard (PCI-DSS) é um padrão de mercado que garante a segurança no uso de cartões de crédito e foi criado por uma união privada de grandes operadoras, como American Express e Discover Financial Services, na forma de um conselho de avaliação das condições de segurança no uso de seus cartões.
As diretrizes do PCI-DSS se aplicam a todos os elementos dos sistemas que participam do processamento de dados de cartão de crédito, indo dos componentes de rede, servidores e aplicativos aos gerenciadores de bancos de dados, que participam quando um número de cartão de crédito é transmitido, processado ou armazenado em uma transação comercial (durante uma compra online, por exemplo)
Para que o processamento digital do cartão de crédito seja feito de forma segura, o PCI-DSS define uma série de requisitos:
- Construir e manter uma rede segura;
- Proteger as informações dos portadores de cartão;
- Manter um programa de gerenciamento de vulnerabilidades;
- Implementar medidas fortes de controle de acesso;
- Monitorar e testar as redes regularmente;
- Manter uma política de segurança da informação.
Mas, apesar de ser um importante regulador de segurança, não é uma determinação legal, isto é, não é uma norma, e sim uma certificação de boas práticas.
ISO 27001 e ISO 27002
A International Organization for Standardization (ISO) é uma organização sediada em Genebra, na Suíça, cujo propósito é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo.
Nesse cenário, a ISO 27001 é a norma internacional que define os requisitos para Sistemas de Gestão de Segurança da Informação (SGSI), auxiliando empresas a adotarem um sistema de gestão da segurança da informação que reduza os riscos de segurança aos seus ativos (dados).
Já a ISO/IEC 27002 é um código de práticas que favorece a aplicação do SGSI, funcionando como um guia de implementação do sistema, onde são descritos quais controles devem ser estabelecidos e de que forma. Ela tem como base uma avaliação de riscos dos ativos mais importantes da empresa e concernem principalmente às equipes de TI, de modo geral.
Marco Civil da Internet
Trata-se da lei nº 12.965/14, que regulamenta a utilização da internet e estabelece princípios e garantias para tornar a rede livre e democrática no Brasil.
A lei está em vigor desde 23 de junho de 2014, com o intuito de assegurar os direitos e os deveres dos usuários e das empresas provedoras de acesso e serviços online.
Dentre os pontos abordados pelo Marco Civil da Internet, temos o da privacidade. De acordo com ele, os provedores de internet só poderiam guardar registros de conexão dos usuários por no máximo um ano, sendo também proibido armazenar e monitorar informações pessoais e histórico de navegação.
Já empresas, nacionais ou estrangeiras, devem armazenar informações por no máximo seis meses. Autoridades só podem acessar dados pessoais com ordem judicial.
No entanto, em bom português, a lei “não colou”. Pouco se discutiu sobre essa questão à época de sua implementação e pouco foi feito em termos de regulamentação prática. O marco, porém, pode vir a complementar a LGPD, especialmente no que diz respeito à atuação online.
Código de Defesa do Consumidor
Finalmente, temos a lei nº 8.078 de 11 de setembro de 1990, popularmente conhecida como Código de Defesa do Consumidor.
Ela trata das relações de consumo nas esferas civil, administrativa e penal, definindo as responsabilidades e os mecanismos para a reparação de danos causados, os mecanismos para o poder público atuar nas relações de consumo e estabelecendo possíveis infrações e as sanções pertinentes.
Até a atuação efetiva da LGPD, o Código de Defesa do Consumidor é quem dá amparo em casos de vazamentos de dados ou danos oriundos do descuido com dados pessoais de consumidores, uma vez que podem ser enquadrados pela Justiça como danos morais e materiais ao consumidor.
Foi o que aconteceu no caso da Netshoes, por exemplo. O vazamento de duas listas de credenciais entre 2017 e 2018 custou R$ 500 mil à empresa como indenização por danos morais – um acordo fechado com o Ministério Público do Distrito Federal e Território (MPDFT), que, na ausência, à época, de um órgão exclusivo para o este fim, fez o que agora será trabalho da ANPD.
Tecnologias de suporte para implementação da LGPD na empresa
Quanto maior e mais complexa for a sua empresa, maiores serão os desafios no desenvolvimento de uma cultura de privacidade. Mas, se você leu até aqui, já entendeu a importância do compliance à LGPD e sabe que não tem como fugir: a lei vai bater à porta, mais cedo ou mais tarde.
Em empresas e organizações menores, o início de implementação da Lei Geral de Proteção de Dados não deve ser muito complexo. Porém, quando nos referimos a empresas maiores, especialmente as que possuem conselhos para tomadas de decisões, a demora em iniciar o processo pode ser prejudicial para todos.
Por isso, o primeiro passo é definir quem serão os responsáveis pelo projeto de compliance. Se for decidida a criação de um comitê, é hora de escolher quem vai representar cada setor. Também é interessante providenciar os primeiros treinamentos para as equipes.
Outro aspecto relevante a se ter em mente é que o bom e velho “atualizamos nossa política de privacidade” será insuficiente quando o prazo terminar. Será necessário pensar em soluções que facilitem o trabalho em conformidade com a lei.
Nesse cenário, vale considerar a contratação de um software para auxiliar no controle das operações.
Ter um sistema de gerenciamento de privacidade de dados compensa?
O mapeamento de dados e a adequação da empresa à LGPD requer um trabalho intenso e complexo. Infelizmente, não há muito o que fazer quanto a isso.
Porém, ter um sistema de gerenciamento de privacidade de dados compensa na medida que:
Facilita o acesso à informação por parte dos operadores
Sempre que o titular dos dados solicitar informações sobre a existência ou o acesso aos seus dados pessoais, a empresa deve apresentá-la em prazo razoável.
A lei determina que os dados pessoais sejam armazenados em formato que favoreça o exercício do direito de acesso, para que esses possam ser fornecidos por meio eletrônico, seguro e idôneo (para esse fim) ou de forma impressa.
Com um sistema próprio para isso, as informações são acessadas e compartilhadas facilmente.
Consentimento e direito de recusar
As empresas devem obter consentimento dos titulares de dados para utilização de dados pessoais, especificando qual a finalidade dessa utilização – e esse consentimento pode ser retirado a qualquer momento pela pessoa.
Um sistema de gerenciamento de privacidade de dados gerencia o ciclo de consentimento, revogação e exclusão oferecendo a transparência e segurança que a LGPD exige.
Avaliações de proteção de dados
O sistema de gerenciamento de privacidade de dados facilita o mapeamento de dados e permite a geração de relatório de impacto sobre proteção de dados pessoais, ajudando a organização a visualizar os dados coletados e quais as medidas necessárias para protegê-los e garantir conformidade com a LGPD.
Comunicação de incidente
O controlador (organização) deve informar à Autoridade Nacional e ao titular dos dados sobre a ocorrência de incidentes de segurança que possam ocasionar riscos ou danos para os detentores de dados.
Um sistema de gerenciamento de privacidade de dados permite resolver incidentes de modo rápido e, ainda, simplifica a produção do relatório de incidente – documento obrigatório e que tem prazo para ser apresentado às autoridades.
Base legal
Toda empresa precisa estabelecer uma base legal para ter e manter dados pessoais. Um sistema de gerenciamento de privacidade de dados permite a identificação das bases legais relacionadas a cada sistema e processo, tornando o fluxo de operação mais rápido, seguro e adequado à lei.
Conclusão
Não há dúvidas: a LGPD vai impactar significativamente a forma como os dados pessoais são tratados no Brasil. Seguindo a mesma linha da GDPR, a LGPD contempla cartões de créditos, transações comerciais, contratos, rotinas diárias, redes sociais, enfim, qualquer informação que permita que se identifique uma pessoa, independentemente de como o dado será utilizado.
Ela estabelece diversas regras sobre como os dados serão coletados, armazenados, tratados e compartilhados. Aqueles que não se adequaram serão penalizados com advertências, multas e, em casos mais graves, até bloqueios.
A conformidade será fundamental para toda empresa que deseja se posicionar como idônea no mercado, que preza por sua credibilidade e que valoriza a confiança de seus clientes.
Esperamos que este guia te ajude a desenvolver a cultura de privacidade de dados na sua empresa. Se você quiser saber um pouco mais sobre como podemos te ajudar a agir em conformidade com a lei, entre em contato com o nosso time e confira nossas soluções!
