Guia completo sobre a Lei Geral de Proteção de Dados (LGPD)
A Lei Geral de Proteção de Dados (LGPD) é uma legislação relativamente recente, que foi implementada no Brasil em 14 de agosto de 2018.
Se você é gestor ou empreendedor, certamente já ouviu falar sobre ela e está ciente da necessidade de adequação da forma como seu negócio lida com dados.
Isso porque o objetivo da LGPD é justamente o de estabelecer normas relacionadas ao processamento, armazenamento e utilização de dados sob os cuidados das empresas.
Como as empresas tiveram um tempo após aprovação da Lei pelo Senado para se adequarem, ela só entrou em vigor a partir de setembro de 2020.
Isso significa que, a partir desse momento, o descumprimento das regras já pode gerar diversas punições e impactar negativamente a imagem das empresas.
Muitos impactos já estão sendo sentidos, sobretudo a partir de uma crescente tomada de consciência da população em geral sobre a importância da proteção dos dados pessoais.
Se você ainda tem dúvidas a respeito desses possíveis impactos e quer entender a Lei Geral de Proteção de Dados, este artigo será uma grande ajuda.
Veja, a seguir, uma breve linha do tempo sobre a legislação:
- 1890 – Direito à Privacidade
- 1948 – Declaração dos Direitos Humanos
- 2010 – Iniciativa Brasileira
- 2011 – Lei 12.527 de Acesso à Informação
- 2012 – Lei 12.737 Carolina Dieckmann
- 2014 – Lei 12.965 Marco Civil da Internet
- 2018 – Lei 13.709 Proteção de Dados
Em Agosto, a Lei Geral de Proteção de Dados foi criada. Apesar de sancionada, houve o veto à criação da Autoridade Nacional de Proteção de Dados e a condição de entrada em vigor 18 meses (fevereiro de 2020) após sua publicação.
Ao final de 2018, em Novembro, o então Presidente da República Michel Temer promulgou a Medida Provisória nº 869/2019 que autorizou a criação da Autoridade Nacional de Proteção de Dados e aumentou o prazo da entrada em vigor da Lei para 24 meses (agosto de 2020), além de permitir o tratamento automatizado de dados pessoais, sem que seja necessária a revisão humana.
- 2019 – Lei 13.709 Proteção de Dados
Em Julho, o Presidente da República promulgou o decreto nº 9936/2019, que disciplinou o tratamento de dados para a formação de score de crédito no Brasil.
Em Outubro, um projeto de lei sugeriu a entrada em vigor da LGPD para 15 de agosto de 2022 (48 meses depois) mas foi rejeitado.
- 2020 – Lei 13.709 Proteção de Dados
Em Março, outro projeto de lei sugeriu a prorrogação da entrada em vigor da LGPD para 16 de fevereiro de 2022 (42 meses depois), que também foi rejeitado.
Em Junho, o PL 1179/2020 é sancionado e convertido na Lei nº 14.010/2020, que mantém a vigência da LGPD para agosto de 2020, mas com a condição de que as multas e sanções só comecem a valer a partir de 1º de agosto de 2021.
Nos próximos tópicos, você vai entender o que é a LGPD, quais são suas regras, quais são as sanções em caso de descumprimento e por que você deve se preocupar com as adaptações referentes a esta nova legislação.
Continue a leitura!
O que é a Lei Geral de Proteção de Dados?
A Lei Geral de Proteção de Dados é a legislação brasileira que determina como os dados dos cidadãos podem ser coletados e tratados e que, também, prevê punições para transgressões.
Ela estabelece uma série de regras que empresas e outras organizações atuantes no Brasil precisam seguir para permitir que o cidadão tenha mais controle sobre o tratamento oferecido às suas informações pessoais.
Esse tipo de legislação tem ganhado destaque em diversos países mundo afora, devido aos inúmeros problemas referentes ao vazamento de dados e aos crimes cibernéticos.
Mas a preocupação com a proteção de dados não é tão recente. A criação da LGPD apenas foi impulsionada pela velocidade com que os dados são processados no mundo cibernético.
A Constituição Federal de 1988 e o Código de Defesa do Consumidor, implementado em 1993, já mencionavam esta questão.
Com o passar do tempo, a necessidade de um dispositivo legal brasileiro que tratasse especialmente da questão do tratamento de dados foi ficando cada vez mais evidente.
As leis que garantem o direito à intimidade e ao sigilo de comunicações existentes anteriormente já não contemplavam o cenário tecnológico que se formou.
Nesse contexto, a Lei Geral de Proteção de Dados tornou-se não só relevante como também necessária.
Contudo, ainda que a LGPD já esteja vigente, muitas empresas ainda não dão a devida importância ao assunto, sobretudo os empreendimentos de menor porte.
Diversos gestores acreditam, por exemplo, que cibercriminosos só se interessam pelos dados armazenados e tratados pelas grandes corporações.
Mas a verdade é que os dados são um importante ativo para qualquer negócio, independente do seu porte ou do seu segmento.
Portanto, em maior ou menor grau, sempre haverá chances de vazamento de dados ou invasões a sistemas e bancos de dados internos.
Sendo a enorme quantidade de dados com que você e sua equipe lidam diariamente um artigo tão valioso para a sua empresa, é claro que protegê-los é o mínimo que você precisa fazer.
Por muito tempo, a falta de obrigatoriedade legal da implementação de ações que visam à proteção de dados foi uma justificativa para as negligências nesse quesito, inclusive em esferas governamentais.
Agora, a Lei Geral de Proteção de Dados ou Lei nº 13.709/2018, entrou em vigor e mesmo que em alguns casos seja apenas para não sofrer as sanções cabíveis, a maioria das empresas está buscando se adequar às regras.
É importante entender que a Lei só faz reforçar a necessidade de ações que protejam os dados de modo a favorecer tanto a empresa quanto seus clientes.
Em outras palavras, é importante se preocupar com a proteção de dados para fortalecer a sua marca e o relacionamento com os seus clientes.
Assim, além de cumprir o estabelecido na Lei Geral de Proteção de Dados, você cria uma imagem positiva e consolida o seu negócio.
Vamos falar em seguida sobre as principais regras da LGPD. Confira!
Principais regras da Lei Geral de Proteção de Dados
Uma das principais regras da LGPD diz respeito à coleta de dados pessoais, que, em diversas situações, só poderá ser feita por organizações públicas e privadas mediante consentimento do titular dos dados.
Para isso, a solicitação deve ser feita de maneira clara e o titular deve ser informado sobre quais dados serão coletados e para que eles serão utilizados.
Caso a empresa já tenha coletado os dados dos clientes e ocorra uma mudança na finalidade de sua utilização ou necessidade de repassar as informações a terceiros, um novo consentimento deve ser solicitado aos titulares desses dados.
Além disso, o cliente titular dos dados armazenados pela empresa pode revogar uma autorização existente sempre que desejar.
Ele também pode pedir acesso, exclusão de informações específicas, portabilidade, complementação ou correção de dados.
Um dos conceitos de destaque no texto da Lei Geral de Proteção de Dados é a categoria dos dados sensíveis, que correspondem às informações que podem causar discriminação.
É plausível que esse tipo de dado conte com um empenho ainda maior no que se refere à proteção.
A LGPD considera como dados sensíveis a origem racial ou étnica, as convicções religiosas, as opiniões políticas, as informações que dizem respeito à saúde ou à vida sexual do titular, os dados genéticos ou biométricos e a filiação a sindicatos ou organizações de caráter religioso, filosófico ou político.
O uso dos dados sensíveis é ainda mais restritivo do que o dos dados pessoais em geral e sua aplicação para fins discriminatórios possui penalidades específicas.
É perceptível que, de modo amplo, a Lei Geral de Proteção de Dados tem a missão de proteger os cidadãos do uso abusivo e indiscriminado de suas informações pessoais.
Outro aspecto importante da Lei diz respeito à necessidade da obtenção de dados. As empresas só podem conservar e processar os dados que têm uma finalidade clara e específica.
Como os dados são valiosos, antes da LGPD, muitas empresas conservavam bancos de dados enormes com informações que poderiam ser utilizadas algum dia, mas sem nenhuma finalidade imediata.
Agora isso já não é mais permitido. Além de, em diversas situações, ter que solicitar de forma clara o consentimento para a coleta de dados, essa solicitação só pode ser feita mediante a exposição da finalidade do uso dos dados.
Além disso, é preciso atender prontamente as demandas sobre manutenção e eliminação dos dados em seu devido tempo.
Com isso, o usuário pode questionar se a exigência realizada pela sua organização de determinado dado faz sentido em relação ao destino de uso.
O que acontece em casos de descumprimento da LGPD e de vazamento de dados?
Vazamentos de dados ou problemas de segurança que comprometem dados de clientes e colaboradores devem ser relatados às autoridades competentes em tempo hábil.
Após a análise da situação, as autoridades indicarão para a sua empresa os próximos passos, como determinar a divulgação do problema à imprensa.
Nesse sentido, não é uma boa ideia esconder uma situação desse tipo, já que as consequências podem impactar tanto o caixa quanto a imagem pública do seu negócio.
A punição em casos de descumprimento da lei geral de proteção de dados depende da gravidade de cada situação.
Existem diferentes penalidades e a mais temida delas é a multa, ainda que todas possam impactar negativamente a imagem e os resultados obtidos pela empresa.
Caso comprovada a infração, sua empresa poderá receber desde advertências até uma multa equivalente a até 2% do seu faturamento, mas limitada ao valor máximo de R$ 50 milhões.
Há também as multas diárias, que funcionam muito bem no sentido de impedir que o uso inadequado dos dados continue por muito tempo.
Já as advertências, embora não impactem direta e imediatamente os cofres da empresa, têm uma função educativa e influenciam a opinião pública sobre o seu negócio.
Além dessas penalidades mais conhecidas, existe a possibilidade de a empresa ter as atividades ligadas ao tratamento de dados total ou parcialmente suspensas, e responder judicialmente a outras violações previstas em lei, quando for o caso.
Essa possibilidade de interrupção imediata das atividades que envolvem os dados pessoais pode representar um prejuízo ainda maior que uma multa.
Assim, em termos gerais, se sua empresa ainda não se adequou plenamente às normas da LGPD, é melhor buscar essa adaptação o quanto antes.
Além disso, é importante fazer o acompanhamento constante de todas as atividades que envolvem a coleta e o tratamento de dados para garantir que as regras da Lei Geral de Proteção de Dados sejam cumpridas devidamente a todo momento e em todos os seus processos.
Para isso, os primeiros passos estão relacionados à necessidade de contar com profissionais especializados para tomarem decisões sobre os dados e à criação de um processo eficiente para realizar a coleta de informações.
Quem fiscaliza o cumprimento da Lei Geral de Proteção de Dados?
A entidade responsável por fiscalizar e garantir a aplicação da Lei Geral de Proteção de Dados é a Autoridade Nacional de Proteção de Dados (ANPD).
Trata-se de um órgão da administração pública federal cuja independência nas fiscalizações possibilita que o Brasil esteja de acordo com o Regulamento Geral sobre a Proteção de Dados da União Europeia.
Isso significa que o país está capacitado para realizar transações que envolvem os dados pessoais com países da União Europeia.
A ANPD está vinculada ao Ministério da Justiça e é composta por um Conselho Diretor (órgão máximo de direção), um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, uma corregedoria, uma ouvidoria e um órgão de assessoramento jurídico próprio, além de unidades administrativas e unidades especializadas necessárias à aplicação da Lei.
O Conselho Diretor da ANPD é composto por cinco diretores, que são nomeados pelo presidente da República e têm mandato de quatro anos.
Já o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade conta com 21 representantes do poder público e da sociedade civil com mandato de dois anos.
O grupo é responsável por realizar estudos, debates e campanhas referentes ao assunto de segurança cibernética, trabalhando com a conscientização digital de empresas dos mais diversos setores.
Desafios para atender às regras da LGPD
Como já foi mencionado anteriormente, a Lei Geral de Proteção de Dados já está em vigor e as empresas precisam cumprir cada uma das regras estabelecidas por ela.
Com isso, algumas ações têm sido implementadas no sentido de promover as adequações necessárias. Veja algumas delas:
- Nomeação de um encarregado de proteção de dados;
- Realização de uma auditoria dos dados presentes sob os cuidados da empresa;
- Elaboração de mapa de dados da empresa;
- Revisão das políticas de segurança existente na organização;
- Revisão de contratos com clientes e fornecedores;
- Elaboração de Relatório de Impacto de Privacidade;
- Revisão de processos que envolvem manuseio de dados sensíveis;
- Revisão de Norma de Proteção de Dados;
- Revisão de acessos privilegiados, especialmente da área da tecnologia da informação;
- Criação de Plano de Resposta a Incidentes Cibernéticos.
Sim, se você está preocupado com os custos, saiba que realmente a garantia da proteção de dados vai exigir investimentos.
Todas as empresas de pequeno, médio e grande porte precisam investir em cibersegurança e implementar sistemas de compliance efetivos.
E esse investimento não é realizado apenas uma vez. Como a preocupação com a segurança da informação é uma constante, os investimentos devem também ser aprimorados com frequência.
Mas a questão financeira não é uma desculpa para adiar o cumprimento das regras da LGPD, já que se sua empresa não seguir essas regras os prejuízos podem ser muito grandes.
Lembre-se que você e sua organização estarão sujeitos a penas caso não adotem a política de boas práticas determinada criteriosamente pela LGPD.
A boa notícia é que ser uma organização responsável e competente do ponto de vista da segurança da informação estimula a confiança e a fidelização de clientes.
Dessa forma, seu negócio estará mais forte e consolidado a partir dos seus investimentos em segurança. Quer saber mais sobre a Lei Geral de Proteção de Dados e os benefícios de cumpri-la? Leia nosso ebook completo sobre o tema.