LGPD em vigor: qual é o impacto para as empresas?

LGPD em vigor: qual é o impacto para as empresas? A Lei Geral de Proteção de Dados vai mesmo passar a valer a partir de setembro de 2020. Porém, um estudo publicado em abril apontava que, até então, 84% das empresas brasileiras ainda não estavam prontas. Nesta série vamos abordar as origens e motivações da nova legislação de proteção de dados, além de explicarmos passo a passo o que a sua empresa precisa fazer para adequar-se às novas exigências.

De antemão, é preciso deixar muito claro que o impacto para as empresas – independentemente do porte – é profundo. A Lei Geral de Proteção de Dados traz para as empresas uma nova gama de responsabilidades sobre o ciclo de vida dos dados dos usuários, e inclui penalizações severas para casos de vazamento de dados.

O que é e pra que serve a LGPD?

A Lei Geral de Proteção de Dados (LGPD) é uma adaptação brasileira à General Data Protection Regulation (GDPR) europeia. Os temas “privacidade online” e “proteção e regulação do uso de dados pessoais” voltou à pauta na União Europeia em 2012 por um motivo bem simples: a legislação anterior datava de 1995. Por conta da idade, a lei dos anos 1990 já não atendia mais à realidade econômica, tecnológica e às práticas da Internet mundial. Portanto, precisava de atualizações urgentes.

Novos regulamentos sobre a forma como estes dados são coletados, armazenados, utilizados e compartilhados pelas empresas precisavam ser adotados com urgência. Afinal, até então o ecossistema de coleta e compartilhamento de dados online era gigantesco… E uma terra sem lei.

Esta ausência de normas gerou grandes e profundas distorções nos usos que as empresas poderiam fazer dos dados pessoais e de navegação coletados de seus usuários.

Sem regulamentação, as empresas estavam aptas reunir estes dados, cruzá-los com dados de terceiros, classificá-los, comercializá-los e utilizá-los a seu bel prazer para quaisquer fins. Não à toa, surgiu o ditado “dados são o novo ouro”.

A LGPD é, então, uma resposta legislativa que visa defender a privacidade do cidadão acima de tudo. Serve para regulamentar o consentimento sobre a coleta, as formas de uso, armazenamento e compartilhamento destes dados.

Mas afinal, que “dados” são estes?

Antes de avançarmos sobre a legislação propriamente dita, precisamos definir e entender bem “o que são dados”. Para fins de LGPD, existem quatro tipos de dados. São eles:

Dados Pessoais

Toda e qualquer informação que permita identificar uma pessoa viva é considerada um “dado pessoal”. Enquadram-se como dados pessoais nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP, cookies, entre outros.

Dados Sensíveis

Com a LGPD todos os dados exigem tratamento cauteloso e adequado. Porém, dentro deste universo existem dados que exigem uma camada proteção extra e um tratamento ainda mais cuidadoso.

São os dados considerados sensíveis, que versam sobre crianças e adolescentes ou sobre assuntos étnicos, religiosos políticos, filiações sindicais e informações genéticas, biométricas, de saúde ou vida sexual das pessoas.

Dados Públicos

A LGPD define que uma organização pode tratar de dados tornados manifestamente públicos pelo titular anteriormente sem precisar pedir autorização. Porém, para compartilhar estes dados com outras será necessário obter consentimento para este fim.

Dados relacionados à Lei de Acesso à Informação (LAI) também são dados considerados públicos e não requerem consentimento nem autorização para serem acessados, manuseados e compartilhados.

Dados Anonimizados

Os dados anonimizados eram originariamente vinculados a uma pessoa. Porém, estes dados passaram por etapas que garantiram a desvinculação dele da pessoa que os gerou. E quando os dados são anonimizados, a LGPD não se aplica a eles.

Vale ressaltar que um dado só é considerado efetivamente anonimizado se não for possível – via meios técnicos ou quaisquer outros – reconstruir o caminho percorrido e identificar quem era a pessoa titular do dado.

Caso esta engenharia reversa seja possível, este dado é considerado pseudonimizado e está sujeito à LGPD.

Internet, Terra Sem Lei: paraíso do mau uso de dados

A desregulamentação do uso de dados gerou práticas questionáveis como a compra e venda de listas de e-mails, telefones e leads segmentados, por exemplo. Sabe aquele telemarketing que te liga oferecendo algo que você jamais compraria ou sequer pesquisaria? E você fica se perguntando: “mas como foi que esta empresa conseguiu meu número”? Pois é: provavelmente foi através da aquisição de uma lista comprada que continha os seus dados. A nova legislação pretende por um fim a esta e outras práticas semelhantes.

Há também casos gravíssimos em que ataques hacker sequestram e vazam massivamente dados de clientes com nomes completos, e-mails, senhas, endereços e dados de cartões de créditos ativos. (Aliás, para descobrir se algum de seus e-mails ou senhas figuram em algum vazamento de dados, basta consultar a ferramenta Have I Been Pwned. Abordaremos este assunto com maior profundidade em uma matéria futura).

Ainda no campo dos exemplos de mau uso de dados pessoais, houve a prática de cruzamento de dados coletados em pesquisas de rede social para perfilar eleitores e induzi-los à mudanças de opinião. Foi o que apontou o escândalo da Cambridge Analytica na eleição de Donald Trump nos EUA em 2016. Caso queira entender melhor esta situação específica, a prática é explicada em detalhes no documentário “Privacidade Hackeada” disponível na Netflix.

As leis de proteção de dados vêm, então, para sanar estas distorções e evitar que casos semelhantes possam se repetir.

O que o Brasil e o mundo têm a ver com a GDPR?

O grande ponto é que a Internet não tem fronteiras. Portanto, qualquer país que queira manter relações de comércio – e de troca de dados – com a União Europeia precisa adequar-se à uma GDPR adaptada para cada país.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) foi criada ainda em 2016, e que foi sancionada em agosto de 2018. Porém, a sua validade continua incógnita por conta de divergências de entendimento sobre a data de entrada em vigor e a situação da agência reguladora.

Nova regra: Privacidade por Padrão

A principal função da lei de proteção de dados é defender a privacidade do cidadão na Internet. A nova legislação estabelece que é direito fundamental do cidadão saber quando e como seus dados estão sendo coletados, e para qual finalidade. O cidadão pode ainda exigir saber o que será feito com estes dados, como serão armazenados e por quanto tempo.

E principalmente: o cidadão tem direito de acessar estes dados quando bem entender, alterá-los ou ainda solicitar que sejam apagados completamente.

As leis de proteção de dados ao redor do mundo têm este ponto em comum: Privacy by Default, ou Privacidade por Padrão.

Portanto, a palavra de ordem passa a ser consentimento. A partir do momento em que a Lei Geral de Proteção de Dados entrou em vigor os usuários precisam positivamente tomar uma ação para autorizar a coleta, uso e armazenamento de seus dados pessoais e de navegação.

Além disso, sites e empresas também precisam disponibilizar acesso fácil às políticas de privacidade de suas plataformas, bem como o acesso e edição a estes dados.

Após o usuário autorizar expressa e conscientemente a coleta e uso de seus dados pessoais e de navegação, a parte externa da LGPD já está sendo contemplada. Entretanto, é necessário que todo o ecossistema de consentimento, política de privacidade e acesso aos dados esteja funcionando de forma adequada.

Portanto, a aplicação prática da LGPD é muito mais complexa do que apenas uma caixinha dizendo “Li e concordo com a política de privacidade” ou um simples “Aceito” que todo mundo clica sem ler.

LGPD em vigor: qual é o impacto para as empresas?

Em resumo, o impacto para as empresas é a obrigatoriedade de implementar as melhores práticas de proteção de dados pessoais e sensíveis, independentemente do tamanho da empresa. Porém, cabe ressaltar que micro, pequenas empresas e startups podem ter um tratamento diferenciado ao serem caracterizadas pela lei como agentes de tratamento de pequeno porte.

Para saber mais sobre como funcionam estas regras diferenciadas para agentes de tratamento de pequeno porte, acesse esta matéria aqui.

Quiz: Descubra se a sua empresa é um agente de tratamento de pequeno porte

Para facilitar e agilizar o processo de adequação LGPD das micro, pequenas empresas e startups, desenvolvemos um questionário baseado nas diretrizes da Agência Nacional de Proteção de Dados para o enquadramento de empresas como agentes de tratamento de pequeno porte.

Após responder às perguntas objetivas sobre as atividades da operação e o tipo e volume de dados que sua empresa coleta, você receberá o resultado e descobrirá se o seu negócio pode ou não ser enquadrado nesta categoria que possui regras flexibilizadas para a adequação à Lei Geral de Proteção de Dados.

Adequação, Gestão de LGPD e DPO como Serviço

A Rastek Soluções em TI desenvolver 3 níveis de planos de cobertura para pequenas empresas e startups que se enquadram como agentes de tratamento de pequeno porte. Descubra qual a melhor opção para a sua empresa clicando aqui.

Na próxima matéria

Vamos abordar falar sobre o cargo de DPO – Data Protection Officer e sobre o órgão regulador brasileiro que ainda está para ser criado: a Agência Nacional de Proteção de Dados. Até lá!

Conte conosco

A Rastek Soluções em TI está na vanguarda do estudo e aplicação da Lei Geral de Proteção de Dados à realidade das Pequenas e Médias Empresas. Por isso, estamos aptos a prestar todo o suporte à sua Empresa para adequar-se à LGPD.

Contamos com toda a base de conhecimento, expertise, profissionais e serviços necessários para implementar e gerir com sucesso todas as fases do ciclo de vida dos dados de seus usuários e clientes.

Portanto, não perca tempo: preencha o formulário abaixo e inicie a adequação da sua empresa a LGPD hoje mesmo!

Leia também:

Adequação LGPD: por onde começar a implantação na sua Empresa?