O que é a LGPD e quando será aplicado?
O nome oficial da nova lei brasileira é Lei Geral de Proteção de Dados Pessoais, que é oficialmente abreviado para LGPD. Foi aprovada em 14 de agosto de 2018 e sancionada conclusivamente pelo presidente Bolsonaro em julho de 2019. A data efetiva da aplicação da LGPD é 15 de agosto de 2020.
A LGPD é modelada de perto após o GDPR Regulamento Geral sobre a Proteção de Dados europeu e cria uma estrutura legal para a forma como os dados pessoais podem ser tratados no Brasil. Contém sessenta e cinco artigos.
Essência da lei LGPD
A LGPD confere poderes aos titulares de dados com nove direitos, define o que constitui dados pessoais, cria dez bases legais para o processamento legal. Também atribui às empresas e organizações a nomeação de um Oficial de Proteção de Dados (DPO) e estabelece a Autoridade Nacional de Proteção de Dados (ou ANPD, a nova autoridade nacional de proteção de dados do Brasil) com poderes de supervisão, orientação e execução de suas sanções administrativas.
O que a LGPD determina em casos de vazamento de dados?
A LGPD estabelece que vazamentos de dados, problemas de segurança que comprometem os dados de seus clientes e colaboradores, devem ser relatados às autoridades competentes em tempo hábil. Após a análise da situação, as autoridades indicarão para a sua empresa os próximos passos.
Qual a punição para o descumprimento da LGPD?
A punição para casos de descumprimento da LGPD varia de acordo com a situação analisada e da gravidade do quadro em questão. Primeiramente, as autoridades analisam se houve mesmo, ou não, um caso de infração da LGPD. Caso seja comprovada a infração, a LGPD estipula que a empresa poderá receber advertências, até uma multa equivalente a 2% do seu faturamento (limitada ao valor máximo de R$ 50 milhões). Existe também a possibilidade de ter as suas atividades ligadas ao tratamento de dados total, ou parcialmente, suspenso e, responder judicialmente a outras violações previstas pela LGPD, quando for o caso.
Qual o órgão responsável pela fiscalização da LGPD?
O projeto da LGPD prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD), entidade está vinculada ao Ministério da Justiça. Inicialmente, a sua criação foi vetada pelo Poder Executivo, pois implicaria em inconstitucionalidade do processo legislativo por trazer vício de iniciativa (a criação teria que partir do Executivo Federal).
Esta entidade tem como responsabilidade fiscalizar e garantir a aplicação da LGPD por parte das organizações públicas e privadas.
A LGPD definiu também a figura do encarregado, a qual pode ser uma pessoa natural ou jurídica, de direito público ou privado, assim como as figuras do Controlador e do Operador.
O Encarregado atuará como canal de comunicação entre o Controlador e os titulares de dados pessoais e a ANPD.
Os seus agentes de tratamento devem adotar medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Qualquer incidente envolvendo dados pessoais que possam acarretar em risco aos seus titulares deverão ser reportados à ANPD, assim como às próprias vítimas, por meio dos Encarregados, conforme determina a LGPD.
Essa comunicação deverá ser feita em tempo hábil, contendo:
- A descrição da natureza dos dados pessoais afetados;
- As informações sobre os titulares envolvidos;
- A indicação das medidas técnicas e de segurança utilizadas;
- Os riscos relacionados ao incidente;
- Eventuais motivos da demora, no caso da comunicação não ter sido imediata;
A LGPD se aplica apenas a empresas de tecnologia?
Não. Toda empresa de qualquer setor e tamanho que colete ou armazene dados pessoais está sujeita à LGPD e deverá cumpri-la. Da farmácia que pede um CPF para dar um desconto no medicamento, ao condomínio que cadastra seus visitantes, todos serão impactados. É possível que a ANPD estabeleça regras diferentes para certos setores ou tamanhos de empresas no futuro, mas isso ainda não está definido.
Que tipos de dados são considerados pela LGPD?
São considerados dados de identificação pessoal, como nome, e-mail, CPF, telefone e endereço, entre outros, bem como dados identificáveis, ou seja, dados que mesmo que não identifiquem uma pessoa diretamente, possam revelar sua identidade quando cruzados com outros dados disponíveis.
Há ainda os chamados dados sensíveis como aqueles relacionados a condições de saúde, preferências religiosas, políticas, comportamento sexual, além de dados biométricos. Estes devem ter especial atenção à sua guarda e segurança.
O que será preciso fazer com esses dados para cumprir a lei?
A partir de agosto de 2020, toda empresa que coletar informações pessoais precisará ter uma base legal para isso. A mais discutida delas é o consentimento. Ou seja, será preciso informar às pessoas para quais finalidades os dados serão utilizados e solicitar sua autorização prévia para a coleta, garantindo a elas o direito de optar por não informá-los. Deverá ser garantido também o direito ao esquecimento, que consiste em apagar todos os dados de uma pessoa quando solicitado por ela.
No caso de dados de crianças e adolescentes, será necessário o consentimento explícito dos pais ou responsáveis. As empresas deverão ainda zelar pela segurança e proteção desses dados, utilizando sistemas seguros e adotando de forma proativas práticas e processos baseados nas melhores práticas disponíveis para tanto. Devem dispor ainda de planos de contingência e gestão de crise a serem acionados no caso de vazamentos de dados e designar uma pessoa responsável por essas ações, profissional que ficou conhecido como DPO.
O que as pequenas e médias empresas devem fazer para estar de acordo com a lei?
É importante mapear as áreas que tocam dados pessoais dos clientes e melhorar a gestão desses dados. Vale também refletir se a empresa realmente precisa de tudo o que está sendo coletado. A coleta de dados sensíveis deve ser evitada ao máximo. Está surgindo um mercado de empresas de consultoria e sistemas especializados, que podem ser contratadas para auxiliar nesses processos. As empresas fornecedoras de sistemas de gestão e marketing também estão se adaptando. Por exemplo, os sistemas de e-mail marketing estão passando a incluir o controle de consentimento, finalidades, bem como o registro base legal pra que aquele dado seja guardado, assim como oferecendo meios para que os clientes solicitem que seus dados sejam apagados.
Na prática, será importante verificar se seus fornecedores e parceiros estão em conformidade com a lei e eventualmente trocar processos antigos, como manter o cadastro de clientes numa planilha em alguma pasta no computador, por um sistema online para esse fim, que já tenha implantadas políticas de segurança e gestão conforme a legislação.