Muita gente já deve ter ouvido falar da LGPD, mas talvez não faça ideia do que se trata. É a Lei Geral de Proteção de Dados, sancionada em agosto de 2018, e que começa a valer a partir de agosto de 2020. Resumidamente, pelas novas regras da LGPD, as empresas precisam se atendar em coletar e usar dados de usuários mediante transparência, propósitos legítimos e segurança.
Inclusive, o assunto é tão levante que há uma proposta de emenda constitucional para incluir a proteção de dados pessoais entre os direitos fundamentais do cidadão, como liberdade de expressão e privacidade, por exemplo.
É algo que vai mudar – e muito – a relação empresa consumidores, que estão cada vez mais atentos ao uso ético de seus dados. Muito mais do que as sanções previstas na Lei, que podem chegar a 50 milhões de reais, as empresas devem se atentar que a confiança de seus clientes dependerá de uma relação de extrema transparência. A partir de agora, as organizações deverão prover o controle dos dados aos próprios indivíduos (privacy as a service).
Pensando nisso, criamos um pequeno guia com informações importantes sobre a LGPD, para que você possa entender o que muda a partir do ano que vem.
Origem da LGPD
A LGPD surge como um marco geral sobre o tema de várias leis setoriais já existentes, como o marco civil da internet, o código de defesa do consumidor, lei de sigilo bancário, entre outras. O Brasil, com a Lei, acompanha um relevante movimento global de padronização de legislações, como o GDPR, da União Europeia.
A LGPD tem origem na legislação europeia, a GDPR
Preocupado com a obtenção e uso indiscriminado das informações dos usuários (como quando acessam websites, e-commerce e afins) e incidentes que afetam indivíduos no mundo inteiro, como o Cambridge Analytica, o governo resolveu harmonizar e atualizar conceitos. Na prática, colocou regras claras para o uso ético, seguro e consciente de dados pessoais.
E afinal, para que serve?
Hoje, quando você navega em um portal, por exemplo, tem grandes chances de ser monitorado e ter seus dados captados e usados pelas empresas. Existe uma grande discussão o quanto isso é ético e invasivo à nossa privacidade, e algumas empresas defendem que ajuda a aprimorar o consumo e oferecer melhores produtos e serviços aos consumidores. O fato é que não é incomum você pesquisar sobre um produto e em poucos segundos receber uma enxurrada de ofertas sobre ele, de empresas que você nunca ouviu falar na vida. Um simples cadastro para acessar uma notícia ou promoção pode ser o início de uma saga na qual você receberá e-mails, pop-ups, telefonemas e toda sorte de ações de marketing sem ter solicitado. A LGPD não impede o uso de tais dados, mas mostra o caminho a ser seguido.
A LGPD também surge com o intuito de assegurar a segurança e individualidade dos cidadãos. Os dados podem ser usados não apenas para ações de marketing, mas também em eleições, monitoramento de seus hábitos, entre outros. Por mais que a intenção de algumas empresas seja boa, de oferecer produtos e serviços de acordo com nossos interesses, o quanto elas devem ter permissão para monitorar nossos desejos?
Essas, entre outras questões, fomentaram a grande discussão que geraram o GDPR e a LGPD. Não importa de qual lado do balcão você esteja, em algum momento você terá seus dados usados. Isso pode até ser inofensivo em termos de marketing, mas ninguém garante que não tenha um desvio de finalidade. Vivemos, recentemente, denúncias de que em eleições mundo afora dados de internautas tenham sido usados para fins eleitorais. Para evitar isso, o governo resolveu padronizar e estabelecer o que pode e o que não pode, quem fiscaliza, e punições para quem não cumpre a lei.
O que muda com a LGPD?
A lei é extensa e tem diversas mudanças, mas algumas se destacam e é sobre elas que vamos falar neste texto. Em primeiro lugar, é a questão do consentimento, que é apenas uma de outras bases legais para utilização de dados pessoais.
Quando essa for a base legal, para poder armazenar – e utilizar – quaisquer dados de internautas, as empresas deverão obter do indivíduo uma manifestação livre, informada e inequívoca pela qual ele concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Hoje, muitas empresas colocam em cadastros de seus sites essa informação escondida. Com a LGPD, deverá ter tudo de forma mais clara. Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais. Autorizações genéricas para o tratamento de dados pessoais serão nulas. O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado,
Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato.
A partir de 2020, então, o consumidor tem total controle sobre como e onde seus dados podem ser coletados (autodeterminação informativa).
Será direito do consumidor, também, solicitar informações para as empresas a respeito da privacidade de seus dados, a qualquer momento em que achar conveniente. Pela nova legislação a empresa deverá responder com urgência a este pedido, e não lhe será permitida a negativa em relação a isso.
Empresas deverão adequar sua estrutura
Outro ponto sensível da LGPD é a necessidade das empresas de adequarem sua estrutura para atender às especificidades da lei. As empresas deverão investir em Comitês de Segurança da Informação, com um profissional exclusivo para executar as diretrizes da LGPD. As empresas deverão avaliar periodicamente a maturidade dos processos e impacto de riscos e executar iniciativas de Cibersegurança para diminuir a exposição do consumidor. Também deverão monitorar empresas subcontratadas, que passam a ser solidárias em caso de ação jurídica.
Se por um lado isso pode gerar um custo extra em segurança na área de TI e planejamento de ações de captação de dados, isso pode ser um avanço de maturidade para o mercado. Muitas empresas especializadas surgirão, com a possibilidade de crescimento para os profissionais da área. Quanto mais qualificado for este profissional, menor a chance de ele executar algum ato fora da lei, protegendo assim a empresa contratante.
Na prática, a LGPD afasta um pouco os amadores e curiosos da área de TI e serviços digitais, dando prioridade a quem realmente está atualizado com as boas práticas. Lembremos que a multa mínima será de 2% do faturamento bruto, e poderá chegar a 50 milhões de reais.
Quem está sujeito à LGPD
Um dos pontos mais polêmicos da LGPD deverá ser a sua relação com empresas estrangeiras atuando no Brasil. A lei no Brasil terá validade para todas as empresas que atuam aqui, explorando o tratamento de dados pessoais em território nacional. Isso significa que gigantes como Google, WhatsApp, Facebook e Instagram estão sujeitos à nova regulamentação, quando o dado for captado em terra brasileira.
Com a iminente e anunciada integração entre os aplicativos WhatsApp, Facebook e Instagram, por exemplo, haverá discussão sobre se há autorização para captação de dados dos usuários. O argumento é que a pessoa pode ter autorizado somente em uma das 3 redes sociais, ou até mesmo em nenhuma delas. A discussão promete ir longe, e provavelmente teremos muitas batalhas na justiça.
Se não há um consenso claro em relação à utilização destes dados e à forma como são captados (criptografados ou não), não há nenhuma garantia em relação à segurança deles e não utilização. O Facebook tem sofrido um processo grande e desgastante nos EUA, com audições na câmara dos deputados e no senado, para tentar esclarecer essas questões de forma técnica.
Com a LGPD, será que os dados de navegação dos consumidores estarão finalmente seguros?
Fiscalização e Categorias de dados especiais na LGPD
Com a LGPD, surge também a figura da ANPD – Agência Nacional de Proteção de Dados. É ela quem deverá zelar pelo cumprimento da lei, acompanhando as ações das empresas. Caberá à ANPD solicitar relatórios de risco à privacidade, quando detectar que há conduta perigosa, e aplicar as sanções previstas em lei.
Este órgão terá papel fundamental no funcionamento da LGPD, com a esperança que haja uma construção colaborativa da Autoridade com a iniciativa privada.
Alguns dados pessoais foram classificados pela Lei como sensíveis. Eles integram uma categoria especial por representar normalmente uma possibilidade de preconceito no caso do seu tratamento indevido. Dados de saúde, raça, genética, biometria, crenças e opiniões políticas terão condições específicas para tratamento.
A ideia é manter o máximo possível de proteção sobre o indivíduo, mas também não impedindo novos negócios que são pautados na moeda de economia digital, que são justamente os dados pessoais.
Com a LGPD, as empresas terão mais responsabilidade sobre o tratamento desses dados. Se irá funcionar, somente o tempo irá dizer, mas é um novo Compliance, que agora visa o uso ético e seguro dessa comoditie tão relevante.
Curso de Extensão em Lei de Proteção de Dados Pessoais – LGPD
Você está preocupado com as ações de sua empresa, e acha que precisa conhecer mais sobre a LGPD? Venha conhecer nosso curso de curta duração, e adeque suas atividades à nova legislação!