A Lei Geral de Proteção de Dados (LGPD) acabou de entrar em vigor. A sua empresa já se preparou?
Estar alinhado com a LGPD é uma forma de evitar riscos e manter o negócio dentro do padrão nacional de uso de informações privadas. Ao mesmo tempo, evita multas e torna a empresa mais confiável. Por isso, é fundamental que a sua companhia se adapte o quanto antes.
Quer saber mais sobre a Lei Geral de Proteção de Dados e como ela afetará a sua companhia? Então continue a leitura!
O que é a Lei Geral de Proteção de Dados?
A Lei Geral de Proteção de Dados, ou apenas LGPD, é um conjunto de normas sancionadas pelo governo federal. Elas têm como principal objetivo dar aos brasileiros mais controle sobre os seus dados. Além disso, ela torna a relação entre empresas, órgãos públicos e donos de dados mais transparente e objetiva.
Com a entrada em vigor da LGPD, as políticas de segurança de dados e privacidade tem que seguir um padrão em comum por todo o território nacional. Isso ocorreu em agosto de 2020, portanto, quem não estiver adaptado à regulamentação deve se apressar para fazer as mudanças necessárias.
A nova lei foi inspirada na GDPR (General Data Rule Protection, ou Regulamento Geral sobre a Proteção de Dados), uma regulamentação semelhante aprovada na União Europeia. Assim como a lei nacional, ela tem como objetivo tornar a coleta, o uso e o compartilhamento de dados mais transparentes. Ou seja, dar mais controle a clientes e usuários de serviços públicos sobre como as suas informações são utilizadas.
Existem exceções, porém. Tratamento de dados para fins acadêmicos, jornalísticos e artísticos não se aplicam. O mesmo vale para os usos para fins de segurança pública ou do Estado, de defesa nacional, usos pessoais por pessoa física ou atividades de investigação e repressão de crimes e infrações legais.
Linha do tempo da GDPR e LGPD
O histórico dessas legislações voltadas à privacidade dos usuários na internet tem as suas raízes no ano de 2012, quando foi apresentada a primeira proposta da GDPR por uma comissão ligada à União Europeia. Após ajustes e votações, foi adotada pelo Parlamento Europeu em 2016.
A partir de 2018, a GDPR passou a valer de forma definitiva, incluindo as penalidades para quem violasse as suas regras. A sua área de abrangência envolvia apenas o continente europeu, mas serviu como uma forte tendência a ser adotada no resto do mundo.
Nessa época, empresas de tecnologia que lidam com a internet já se viram forçadas a ajustar os seus processos, pois isso seria um requerimento para continuarem funcionando no território da União Europeia. No Brasil, a LGPD teve a sua publicação em 2018 e passou a valer em 2020.
Como a LGPD mudará o meu negócio?
A LGPD é válida para todas as empresas e órgãos públicos que façam o processamento de dados no Brasil ou de pessoas que aqui estejam. Portanto, se o seu negócio se qualifica nessa categoria, é importante estar alinhado com as novas normas. As novidades incluem pontos como:
- todo o uso e toda a coleta de dados devem ser feitos a partir da autorização expressa do dono das informações;
- o titular deve saber que tem a opção de não ter os seus dados utilizados e as consequências que a autorização traz;
- sempre que uma mudança ocorrer na política de tratamento de dados, o negócio deve solicitar uma nova autorização;
- caso as informações sejam compartilhadas com terceiros, um pedido de liberação específico deve ser feito;
- a autorização pode ser revogada a qualquer momento pelo dono das informações;
- cada usuário pode, a qualquer momento, pedir a mudança, a visualização, a exclusão ou a portabilidade das suas informações;
- em caso de vazamentos, o negócio deve comunicar o fato aos titulares das informações rapidamente;
- dados sensíveis (como religião, características físicas ou orientação sexual) terão o seu uso restrito e não devem ser utilizados para fins que levem a situações discriminatórias;
- informações médicas não podem ser utilizadas para fins comerciais, salvo nos casos em que o usuário autoriza o negócio a isso de maneira expressa;
- a política de privacidade e uso de dados deve ser clara, objetiva e acessível.
A partir dessas medidas e obrigações, o governo federal pretende dar mais transparência para o modo como órgãos públicos e empresas lidam com os dados dos brasileiros. Além disso, há a intenção de criar um padrão comum de segurança digital para toda a economia. Desse modo, certificações podem ser distribuídas com facilidade e riscos são evitados de um modo mais amplo.
Para regular o uso das informações e fiscalizar empresas, foi criada a Autoridade Nacional de Proteção de Dados (ANPD). Entre as suas atribuições, há a permissão para avaliar todos os vazamentos de dados e a aplicar multas.
O que acontecerá com quem não se adaptar?
Não se adaptar à LGPD pode trazer uma série de multas para negócios brasileiros. As penalidades mais simples incluem alertas e advertências. Porém, caso o negócio cometa uma infração grave, os prejuízos em dinheiro podem inclusive ter o seu valor aumentado diariamente.
A penalidade máxima terá como referência o valor de 2% sobre o faturamento anual do negócio. Essa cifra ficará limitada a um limite de R$ 50 milhões por infração.
Se algum problema ou mau uso de dados ocorrer, a empresa deve informar a ocorrência aos usuários e às autoridades imediatamente. A manutenção das operações fica proibida até que a falha ou ataque seja exposto ao público.
Como me adaptar à Lei Geral de Proteção de Dados?
O primeiro passo para ficar alinhado com a LGPD é revisar os processos internos da empresa. Eles precisam ser adequados às novas regras e reformulados quando necessário. Se a empresa ainda não tem uma política de privacidade e segurança digital, é importante que ela seja formulada considerando o perfil do negócio e a Lei Geral de Proteção de Dados.
O gestor de TI deve investir em novas soluções e capacitar os profissionais para esse fim. Esses passos têm como objetivo garantir que as rotinas sejam corretamente incorporadas e vulnerabilidades mitigadas. Além disso, facilita a manutenção de um processo de armazenamento de dados robusto e confiável.
Uma vez que a empresa estiver adaptada, todos os processos futuros deverão ser feitos considerando a LGPD. O mesmo vale para a formulação de projetos, desenvolvimento de produtos e soluções para o mercado. Afinal de contas, a confiabilidade dos consumidores e parceiros comerciais precisa ser reforçada continuamente.
Por isso, o investimento em políticas e processos que adaptem o negócio à Lei Geral de Proteção de Dados deve ser considerado uma opção estratégica para a companhia. Além de alinhar o negócio com as normas locais, isso também diminuirá riscos de vazamentos e vulnerabilidades de segurança. Com isso, a empresa tem mais um diferencial para se manter à frente da concorrência.
Como os provedores de internet devem se adaptar?
Empresas que prestam serviços como provedoras de internet podem aproveitar a cartilha publicada pela Associação Brasileira de Provedores de Internet e Telecomunicações (Abrint) para saberem como os seus processos devem ser adaptados.
O provedor de internet é considerado controlador dos dados segundo a LGPD, já que cabe a ele tomar as decisões adequadas referentes ao tratamento dos dados pessoais dos clientes e de seus próprios funcionários.
O primeiro passo é entender que, sim, a LGPD se aplica aos provedores de internet brasileiros. As empresas que não seguirem as regras correm o risco de sofrer sanções da ANPD, então é fundamental conhecer as suas particularidades e fazer os devidos ajustes o quanto antes.
Veja a seguir os pontos mais importantes que se referem à adaptação dos provedores de internet para a LGPD:
- é recomendada a criação de um programa de compliance para acompanhar as mudanças e atestar o seguimento das diretrizes da LGPD;
- como a LGPD trata exclusivamente da proteção de direitos pessoais, ela não se aplica à comercialização de serviços de internet a clientes pessoas jurídicas;
- a proteção dos dados dos clientes deve fazer parte do desenvolvimento dos seus produtos e serviços desde a sua concepção (o que também chamado de “by design”) e por padrão (“by default”);
- devem ser implementadas medidas de segurança que evitem o acesso não autorizado aos dados dos clientes e que os protejam de invasões e perdas;
- são considerados dados pessoais de clientes informações como nome, sobrenome, números de documentos, endereço, telefone, e-mail e até endereço de IP;
- é preciso ler atentamente a íntegra da LGPD antes de implementar novos serviços que façam uso de monitoramento de tráfego e perfil de acesso, já que informações comportamentais dos clientes também são consideradas dados pessoais.
Com as informações deste artigo, você já tem tudo o que precisa para olhar para os processos da sua empresa e se adequar às determinações da LGPD. Trata-se de uma tendência mundial de se movimentar mais em direção a oferecer um foco na privacidade dos dados dos usuários. Acompanhar essas movimentações é fundamental para o seu posicionamento no mercado não ser ameaçado. Também é muito importante para alcançar novas oportunidades.
Gostou dessas dicas e quer entender mais sobre o que pode comprometer o uso de dados pessoais? Então veja no blog o nosso texto sobre os problemas mais comuns para usuários de internet!