10 pontos de como a Lei Geral de Proteção de Dados (LGPD) vai mudar sua empresa

10 pontos de como a Lei Geral de Proteção de Dados (LGPD) vai mudar sua empresa

O mundo empresarial é muito focado na captação de dados para análise de seus resultados. Afinal o que não é medido não pode ser melhorado. A captação de dados pessoais que era feita com uma regulamentação genérica, passará a ser fortemente regulada a partir do mês de agosto de 2020! Essa data parece distante, mas irá causar um impacto muito grande em todas as empresas. A Lei Geral de Proteção de Dados (LGPD) entrará em vigor no país e obrigará todas as empresas, tanto físicas quanto virtuais, a se adequar ao novo modo de relacionamento com seus clientes.

Como a LGPD vai mudar a sua empresa?

A LGPD tramitou por mais de 8 anos no Congresso Nacional. O empurrão final para sua aprovação veio com a entrada em vigor do GDPR (General Data Protect Regulation), em maio de 2018, na União Europeia. Com a aprovação da LGPD, o Brasil se coloca entre os países com uma legislação de proteção de dados pessoais específica. Essa regulamentação irá mudar o relacionamento entre empresas e clientes.

A LGPD não deve ser encarada não só como uma simples lei. Ela é uma forma de melhorar a experiência entre a empresa e o cliente. Afinal, trará mais transparência e gerará mais confiança às empresas que fizerem bom uso.

Apesar da data de início de vigência da LGPD parecer distante, as medidas necessárias devem ser tomadas desde já.

Assim, conheça os 10 principais pontos da LGPD que sua empresa não pode deixar de observar.

 

1) O que são dados pessoais?

 

Será considerado dado pessoal qualquer informação relacionada a pessoa natural identificada ou identificável. Assim, se um dado levar à identificação de uma pessoa, ele será considerado um dado pessoal. São exemplos de dados pessoais: nome, e-mail, números de documentos, endereço, dentre outros.

Dentro dos dados pessoais, a LGPD traz ainda um outro grupo que são os dados pessoais sensíveis. Se enquadram nessa categoria os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Esses dados possuem um regime de tratamento especial que iremos tratar no item 6 abaixo.

 

2) Quem deve observar a lei?

 

A LGPD foi pensada para aplicação de 10 princípios para a proteção de dados (finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção e não discriminação). Para garantir o cumprimento desses princípios, a LGPD é aplicável tanto para pessoas físicas quanto jurídicas que tenham acesso a dados pessoais de terceiros. Nisso se incluem dados de clientes, parceiros, empregados, colaboradores, dentre outros. Com isso, todas as pessoas que tenham contato com dados pessoais de terceiros devem estar atentas aos princípios e determinações da LGPD.

Por outro lado, a LGPD não se aplica quando o tratamento de dados for para fins exclusivamente particulares e não econômicos, para fins jornalísticos, artísticos ou acadêmicos, bem como tiver finalidade exclusiva de segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais ou provenientes de fora do território nacional para fins específicos previstos em lei.

 

3) Onde a lei se aplica?

 

A lei se aplica em todo território nacional e também às empresas que não possuem estabelecimentos no Brasil  quando os dados forem tratados no Brasil, forem coletados para prestação de produtos ou serviços no Brasil, os dados coletados forem de residentes no território nacional ou tenham sido coletados no país.

Assim, a regra de aplicação da lei é do local onde os dados foram coletados, tratados ou utilizados, independentemente da nacionalidade ou da localização de quem o faça.

 

4) O que é a autorização necessária para uso dos dados?

 

Para a coleta e utilização dos dados pessoais, a LGPD especifica uma lista de situações que podem ser feitas.

A que chama mais atenção e está ligada diretamente no cotidiano das empresas é a necessidade de consentimento do titular dos dados. Com isso, as empresas só poderão tratar os dados pessoais de terceiros se houver a autorização expressa para isso. Não só isso. Ao titular dos dados deve ser esclarecida a oportunidade de não dar o consentimento e quais as consequências que sua negativa trará. De qualquer modo, sem autorização do titular a utilização dos dados será ilegal e estará sujeita às sanções que trataremos no item 9 abaixo.

 

 

5) Quais os direitos dos titulares dos dados?

 

O grande avanço das legislações que tratam da proteção de dados pessoais é dar aos titulares uma série de direitos. Além da necessidade de consentimento tratada no item 5, destacam-se também os direitos de acesso aos dados, a portabilidade, a correção de dados incompletos, inexatos ou desatualizados, a anonimização de dados, a eliminação dos dados pessoais, a informação de como os dados foram utilizados ou compartilhados e a necessidade de receber informações sobre a possibilidade de não consentir com o tratamento de seus dados.

Veja que o titular dos dados deve ter amplo acesso aos seus dados. Deve saber quais dados as empresas tem, como utilizam e tem o poder de pedir sua alteração/exclusão quando quiser.

O prazo previsto em lei para o atendimento às solicitações do titular dos dados é de até 15 dias.

 

6) Há regras específicas para dados de menores de idade, dados sensíveis e para transferência internacional de dados?

 

Os dados referentes aos menores de idade, os dados sensíveis e para transferência internacional receberam um tratamento especial pela LGPD.

Esses três tipos de dados recebem atenção especial da LGPD pelo risco em sua má utilização. Além da necessidade de consentimento do titular ou seu representante (no caso de menores de idade), o mau uso desses dados pode causar danos graves aos seus titulares ou a coletividade a que pertencem.

Com isso, a lei prevê regras específicas para a utilização desses dados para proteger seus titulares por eventual mau uso e mesmo para o não envio de dados indevidos para outros países.

 

7) Qual a estrutura que uma empresa deve ter para fazer o tratamento de dados?

 

O primeiro ponto que se deve entender é do que se trata o chamado tratamento de dados. O tratamento de dados é o conjunto de operações sobre dados pessoais que inclui a coleta, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação, a comparação, o apagamento ou a destruição dos dados pessoais.

Como pode se observar, é um leque bem amplo de situações que envolvem os dados pessoais. Para isso, as empresas deverão se preparar para realizar o tratamento dos dados pessoais que tiverem acesso.

A preparação começa pela nomeação de um encarregado para o tratamento de dados. Deverão ser adotadas medidas de segurança para evitar o uso indevido ou vazamento dos dados. Por fim, deve-se estabelecer regras de compliance para os colaboradores usem os dados de acordo com a lei.

A nomeação do encarregado será uma peça chave na segurança da empresa. O encarregado é responsável pelo tratamento dos dados e a comunicação com autoridades públicas e com os titulares dos dados.

A falta de estrutura para o tratamento de dados pessoais, poderá trazer prejuízos às empresas. A lei prevê que eventual dano causado pelo uso indevido dos dados deverá ser reparado. Para dificultar ainda mais, o juiz poderá determinar a inversão do ônus da prova em favor da vítima. Isso implica dizer que as empresas não serão responsabilizadas somente se provarem não ter feito tratamento de qualquer dado da vítima, que não houve uso incorreto dos dados ou que o dano foi por culpa exclusiva da vítima.

Se a empresa não mantiver os relatórios de usos de dados sempre em dia, fazer essa comprovação dentro dos prazos legais será difícil e poderá acarretar no dever de indenizar. Além das multas administrativas que iremos tratar no item 9.

 

8) Quando a empresa é obrigada a notificar algum incidente de segurança?

 

Esse é um ponto que merece muita atenção das empresas. Sempre que houver um incidente de segurança em relação aos dados pessoais, a empresa deverá comunicar a autoridade competente e o titular dos dados.

Atenção: A comunicação não deve ser feita somente se houver um vazamento de dados. Ela deve ser feita sempre que houve algum incidente que possa resultar no vazamento de dados pessoais.

A comunicação deverá ser feita em prazo ainda a ser fixado quando da criação da autoridade nacional.

 

9) Quais as penas em caso de descumprimento?

 

A LGPD foi rígida nas sanções para o seu descumprimento. Além da possibilidade de indenização aos titulares dos dados eventualmente lesados, há a possibilidade de aplicação de sanções administrativas.

As sanções vão de advertência a multa de 50 milhões de reais. Além da publicidade sobre a infração, bloqueio de uso de dados pessoais ou a eliminação dos dados pessoais referentes à infração.

Apesar das sanções serem pesadas, elas só poderão ser aplicadas após processo administrativo que possibilite ampla defesa da parte acusada.

 

10) Quem será responsável por fiscalizar?

 

A fiscalização e regulação do uso dos dados pessoais será feita pela Autoridade Nacional de Proteção de Dados (ANPD). Muito embora a criação da ANPD tenha sido vetada do texto original da lei, esta acabou sendo criada através da Medida Provisória nº. 869 de 27 de dezembro de 2018.

A votação da Medida Provisória ainda aguarda votação no Congresso Nacional e a ANPD ainda não foi estabelecida de fato.

A criação da ANPD será de grande importância para regular procedimentos e prazos referentes aos usos de dados e para a fiscalização das obrigações trazidas pela LGPD. A existência de um órgão central de fiscalização será benéfica para uniformizar o entendimento da aplicação da lei e trazer maior segurança jurídica sobre a matéria.

 

Como vimos, há diversos pontos que as empresas devem ficar atentas em relação ao uso de dados. Começar a se preparar o quanto antes trará uma vantagem competitiva e deixará o relacionamento com seus clientes mais transparente.

Não deixe para depois seu planejamento para adequação à LGPD e procure um advogado para lhe assessorar nesse processo.

Deixe uma resposta

Fechar Menu