A partir de agosto de 2020, as empresas devem estar adequadas à Lei Geral de Proteção de Dados (LGPD) e os titulares de dados podem exigir todos os seus direitos ao DPO ou ao canal de atendimento determinado pela empresa.
As sanções administrativas previstas nos artigos 52, 53 e 54 da LGPD não terão aplicação ainda, somente a partir de agosto de 2021. Entretanto, os titulares dos dados já podem fazer reclamações e autuações junto aos órgãos públicos, tais como PROCON e Ministério Público.
Mas, afinal, do que trata a LGPD?
O que é LGPD?
LGPD é a sigla da Lei Geral de Proteção de Dados, prevista na Lei n° 13.709, de 14 de agosto de 2018.
A LGPD dispõe sobre regras e diretrizes para a coleta e o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa física ou por pessoa jurídica de direito público ou privado.
O objetivo principal é proteger os direitos fundamentais de liberdade e de privacidade dos consumidores e cidadãos, dando mais transparência aos dados coletados e armazenados por parte das empresas.
Isso significa que qualquer empresa, seja física ou virtual, que trate dados de clientes ou funcionários, deverá se adequar à LGPD.
O que são dados pessoais?
A LGPD, em seu art. 5°, I, define que são dados pessoais todas as informações relacionadas a uma pessoa identificada ou identificável.
São exemplos de dados pessoais: nome, RG, CPF, localização, e-mail, endereço de IP etc.
Também são considerados dados pessoais pela LGPD (art. 12, §2°) os metadados, utilizados para formação do perfil comportamental de determinada pessoa, se identificada.
O que são dados pessoais sensíveis?
Nos termos da LGPD, art. 5°, II, os dados sensíveis são os dados pessoais sobre origem étnica ou racial, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político. Também são os dados referentes à saúde ou à vida sexual, dado genético ou biométrico dos indivíduos.
O que são dados anonimizados?
O art. 5°, XI, define que os dados anonimizados são os dados que perdem a possibilidade de associação, direta ou indireta, a um indivíduo. São dados que anteriormente pertenciam a uma pessoa determinada, porém passaram por meios técnicos que os desvincularam desta, de forma a impedir a associação ou identificação de sua origem.
O que é tratamento de dados?
Nos termos do art. 5°, X, tratamento de dados são todas as operações realizadas com dados pessoais das pessoas naturais. Assim entendidos como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Princípios da LGPD
Todo tratamento de dado deve observar a boa-fé e os seguintes princípios:
– Finalidade: tratamento realizado para fins legítimos, específicos, explícitos e informados ao titular;
– Adequação: compatibilidade do tratamento com a finalidade informada ao titular;
– Necessidade: mínimo necessário de tratamento de dados para a realização de suas finalidades;
– Livre acesso: disponibilização de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade dos dados pessoais;
– Qualidade dos dados: exatidão, clareza, relevância e atualização dos dados;
– Transparência: fornecimento de informações claras e precisas sobre o tratamento de dados e os respectivos agentes de tratamento;
– Segurança: utilização de medidas aptas a proteger os dados pessoais;
– Prevenção: devem ser adotadas medidas quando do tratamento de dados, de modo a prevenir a ocorrência de danos;
– Não discriminação: o tratamento dos dados não pode ser usado para fins discriminatórios ilícitos ou abusivos;
– Responsabilização e prestação de contas: o agente deverá adotar medidas eficazes e capazes de comprovar o cumprimento e a observância das normas de proteção de dados.
Por que devo me preocupar com a LGPD?
Ainda que sua empresa não realize tratamento de dados como atividade principal, nem trate dados pessoais dos clientes, todas as empresas estão sujeitas às regras da LGPD. Sendo assim, as empresas que tratam apenas os dados pessoais de seus funcionários também deverão atender às exigências da LGPD.
Uma das principais bases da LGPD é o consentimento expresso para o tratamento dos dados. Isso significa que as empresas deverão deixar claro a finalidade das informações coletadas.
A LGPD garante aos titulares de dados o direito de responsabilizar as empresas caso os seus dados sejam roubados por terceiros.
Quem descumprir a LGPD estará sujeito a sanções administrativas, que podem ser multas e até mesmo a suspensão das atividades da empresa até regularização. Além disso, a LGPD prevê a publicidade das infrações e dos infratores, o que comprometerá a reputação da empresa envolvida e a confiança de seus clientes restará abalada.
Para evitar qualquer penalidade e estar apto a cumprir as exigências dos titulares de dados, as empresas devem estar adequadas à LGPD, passando por todo o processo de implementação e adequação. Parece complicado, mas de fato não é se for realizado com planejamento e organização, com acompanhamento profissional.
Elaborar política de privacidade é suficiente à adequação?
Um projeto de adequação à LGPD é realizado por etapas. Tem início com o diagnóstico das situações que devem ser corrigidas, passa pelo mapeamento dos dados coletados pela empresa e posterior adequação da coleta e armazenamento dos dados. Com essas informações chega o momento da adequação dos contratos com fornecedores e clientes, elaboração da política de privacidade, cookies e termos de uso.
A LGPD requer uma mudança de cultura dos setores das empresas, de modo que o tratamento e a preocupação com a proteção dos dados pessoais seja uma constante de agora em diante.
Portanto, não basta elaborar uma política de privacidade, termos de uso e política de cookies para estar adequado à LGPD. Estes devem ser elaborados com base no data mapping da empresa. Isso significa que sem saber quais dados a empresa trata, a base legal, finalidade e consentimento do titular de dados, a política de privacidade, cookie e termos de uso ficarão comprometidos e não irão refletir a situação real da empresa.
Se a política de privacidade, cookies e termos de uso não refletirem a realidade da empresa, estes se tornam inválidos.
Fique atento para que a implementação da LGPD em seus negócios seja feita por profissionais que realmente entendam e sigam as normas e exigências da lei geral de proteção de dados.
O que é data mapping?
Data mapping é um inventário de dados. O objetivo deste mapeamento é listar e elencar todos os dados pessoais dentro de uma empresa.
Neste mapeamento também constará a finalidade, o tempo de retenção e a base legal do tratamento de dados realizado pela empresa.
Sem o data mapping não é possível realizar as alterações nos instrumentos jurídicos.
É o data mapping que lista os dados que estão sendo tratados por determinada empresa e esta será a base para as alterações dos instrumentos jurídicos, das políticas de privacidade, termos de uso e políticas de cookies, dos contratos, dos contratos de trabalho dos funcionários.
O data mapping, junto com o diagnóstico, é o ponto de partida de uma implementação bem feita, confiável e organizada.
A quem se aplica a LGPD?
A LGPD tem aplicabilidade a todas as pessoas físicas ou jurídicas que realizem tratamento de dados, independentemente do meio (online ou offline), do país de sua sede ou onde estejam localizados os dados, desde que:
– A coleta ou o tratamento dos dados seja realizada no Brasil, ou
– A oferta ou o fornecimento de bens ou serviços seja feita ao mercado consumidor brasileiro, ou
– Tenha estabelecimento no Brasil.
Qual o melhor software de adequação à LGPD?
Com a entrada em vigor da lei de proteção de dados (LGPD), todas as empresas, seja uma startup, microempresas, de pequeno, médio ou grande porte, terão de se adequar às normas impostas na nova legislação para proteção e tratamentos dos dados pessoais.
Assim, começam a proliferar inúmeros softwares e sites com modelos prontos de política de privacidade na internet para simples adaptação das empresas.
Mas onde encontrar o software ideal ou modelo de política de privacidade que atenda à sua empresa?
Em primeiro lugar, devemos deixar de lado o pensamento equivocado de que basta utilizar como base os modelos de política de privacidade de outras empresas que o seu negócio estará pronto para os desafios da LGPD.
É necessário levar em consideração inúmeros fatores como o porte da empresa, o número de colaboradores e departamentos, quais os dados estão sendo coletados, como estão sendo armazenados, quem tem acesso, por quanto tempo estão sendo armazenados, de que forma serão eliminados, dentre outros. Todas essas informações são reunidas no data mapping da empresa, que é o ponto de partida e base para todas as adequações de contratos, políticas de privacidade, termos de uso, cookie etc.
Portanto, ao invés de optar por ferramentas padronizadas ou simplesmente copiar modelos de outras empresas na internet, o responsável pelo tratamento de dados de cada empresa terá que buscar uma solução personalizada que possa identificar de acordo com os tipos de dados pessoais que são tratados do seu público, ramo de atividade e especificidades de cada empresa para que possa ter uma correta adequação à LGPD.
Impacto da LGPD nas Startups
Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), todas as empresas, independentemente do seu segmento ou porte, deverão se adequar, de modo a garantir o direito dos titulares de dados.
É fato que as empresas que operam sistemas de tecnologia, como as startups, são muito afetadas e devem estar o quanto antes em conformidade com a LGPD. É necessário um planejamento para implementação que, a depender do volume de dados tratados, pode impactar nas operações e na cultura dentro das startups.
O processo de adequação à LGPD para uma startup tem início com um diagnóstico de todos os problemas que devem ser corrigidos e a elaboração do data mapping, que é o mapeamento de todos os dados tratados – como é feita a coleta, armazenamento, compartilhamento, eliminação etc.
Com base no data mapping serão elaborados e revisados todos os contratos (clientes, operadores, funcionários e fornecedores), política de privacidade, termos de uso e política de cookies.
A ideia é que, uma vez feita a implementação, a preocupação com a proteção de dados faça parte da cultura e da rotina, devendo ser revisada e monitorada continuamente dentro das startups.
Impacto da LGPD na área da saúde
A Lei Geral de Proteção de Dados tem grande relevância e impacto na área da saúde. Mas por que isso acontece?
As empresas na área da saúde, tais como clínicas médicas, laboratórios e hospitais, tratam dados sensíveis. Os dados sensíveis são os dados de saúde dos usuários, biometria e qualquer outro dado que possa gerar algum tipo de discriminação.
Por este motivo, devem ter especial controle e segurança no tratamento destes dados pessoais.
Impacto da LGPD em microempresas e empresas de pequeno porte
A Lei Geral de Proteção de Dados é importante e causa impactos em empresas de todos os portes. No entanto, micro e pequenas empresas são as mais impactadas pela LGPD.
Isso porque as microempresas e empresas de pequeno porte podem perder contratos e concorrências com grandes empresas se não estiverem adequadas à LGPD.
A adequação dessas empresas envolve uma análise minuciosa sobre como é efetuada a coleta, armazenamento, processamento, compartilhamento e eliminação dos dados pessoais dos titulares.
A implementação em microempresas e empresas de pequeno porte deve ser adequada à sua própria realidade, com procedimentos diferenciados e simplificados, observando sempre a capacidade de investimento de cada empresa.
Estar adequado à LGPD não é apenas uma obrigação legal, mas a adequação e implementação de boas práticas de governança e proteção de dados por todos os setores da empresa visam mitigar os riscos de vazamento de dados e eventuais paralisações das atividades em decorrência de um incidente de segurança da informação.
Além das sanções previstas pela LGPD, que incluem elevadas multas, as empresas podem sofrer prejuízos intangíveis em demandas judiciais, o que geraria, além de perdas de ordem financeira, também teria sua reputação abalada, uma vez que a publicidade deve ser garantida em casos de vazamento de dados.
Impacto da LGPD na área da educação
Com a entrada em vigor da Lei Geral de Proteção de Dados, todos os setores são impactados. A área da educação merece atenção especial pelas escolas e instituições de ensino que tratem dados pessoais de crianças e adolescentes.
A LGPD traz regras para a coleta e tratamento de dados de menores de idade, como a exigência do consentimento prévio, expresso, específico e destacado do pai, mãe ou responsável legal que legitime o tratamento dos dados.
Os dados pessoais são os dados de identificação, como nome, dados dos pais, endereço, telefone, e-mail, entre outros.
Além dos dados pessoais, a área da educação também costuma tratar dados sensíveis dos alunos. Dados sensíveis são os dados que contenham informação sobre origem racial ou étnica, informações de saúde, religião, opinião política, dado biométrico etc.
A LGPD, na área da educação, impacta diretamente as escolas, creches, universidades, mantenedoras sociais e religiosas. Para além destas, também há impacto em todos fornecedores que atuam em conjunto, tais como empresas de transporte escolar e responsáveis por passeios e excursões, plataformas digitais de ensino à distância e atividades online, aplicativos e todas as empresas que forneçam bens e serviços a estas instituições de ensino.
A LGPD determina uma nova cultura de proteção de dados, de forma permanente. Para isso, as instituições de ensino devem buscar profissionais para uma correta adequação às normas de proteção de dados e, manter e gerenciar o tratamento de dados atualizado e garantir a aplicação das regras de proteção de dados, com a designação de um DPO, que pode ser interno ou terceirizado.
Deve ser realizado um cronograma de implementação nessas empresas, com foco especial, em princípio, nos setores que atuam diretamente com o público – como recepção, RH, marketing – de modo a garantir os direitos dos titulares de dados.
A elaboração do mapeamento dos dados coletados é necessária para atualização dos contratos de trabalho e fornecedores, contrato de ensino, política de privacidade e cookies, termos de uso, entre outros. É no mapeamento dos dados que constarão todas as informações de coleta, armazenamento, compartilhamento, utilização, finalidade e tempo de armazenamento e eliminação dos dados tratados.
As sanções administrativas previstas nos artigos 52, 53 e 54 da LGPD terão aplicação a partir de agosto de 2021. Entretanto, os titulares dos dados já podem fazer reclamações e autuações junto aos órgãos públicos, tais como PROCON e Ministério Público. Além de estar sujeito a demandas judiciais, em caso de descumprimento das normas da LGPD.
Ainda não me adequei, e agora?
Um processo de adequação envolve etapas e não acontece do dia para noite. Porém, diante da entrada em vigor da LGPD, as empresas que ainda não estão adequadas podem estabelecer algumas ações principais mínimas com relação aos pontos mais críticos. Tais medidas objetivam minimizar os impactos, enquanto o processo de implementação está em curso.
Lembrando que a LGPD vale tanto para dados online como para offline.
Essas ações emergenciais incluem cookie banner, termos de uso, política de privacidade adequada à coleta realizada, cláusulas de consentimento em contratos. Além disso, a elaboração do data mapping dos dados que os usuários têm contato das áreas que estão mais expostas na empresa é imprescindível.
Se ficou com dúvidas sobre esse tema, envie um e-mail para cksassoadv@gmail.com