A Lei Geral de Proteção de Dados, popularmente conhecida como LGPD, sancionada em 2018, entra em vigor a partir de agosto de 2020.

Além de alterar o Marco Civil da Internet – Lei n° 12.965/2014 – a LPGD chega para preencher lacunas e complementar a estrutura de mais de 40 diplomas legais que fornecem as normas para o uso de dados no país hoje.

Tendo como principal influência o GDPR (General Data Protection Regulation), que regulamenta a segurança e privacidade dos clientes e usuários nos países europeus, seu principal objetivo é assegurar mais transparência no uso dos dados das pessoas físicas em quaisquer meios. 

Com a LGPD, o Brasil avança na política de segurança da informação e passa a integrar o grupo dos 120 países que possuem lei específica para a proteção de dados pessoais.

Para as empresas, o desafio agora é saber como se adequar à LGPD com sucesso. Quer conhecer a proposta e as exigências da nova lei? Continue lendo o guia completo que produzimos para você!

#1 Qual é o objetivo da LGPD?

Seguindo a mesma proposta do regulamento europeu, a LGPD irá transformar o modo como as empresas conduzem a coleta, o armazenamento, o tratamento e o compartilhamento de dados pessoais.

Na prática, a lei apresenta regras claras para esses processos, visando aumentar o nível de proteção das informações. Além disso, as penalidades para o não cumprimento da norma também se tornam mais rigorosas.

O objetivo central é assegurar a proteção dos dados das pessoas físicas.

#2 O que muda com a LGPD?

A partir de agosto de 2020, a coleta e o processamento de dados das empresas deverão ser feitos atendendo às normas legais da LGPD.

A lei apresenta dez hipóteses que tornam lícitos os tratamentos de dados. Confira a seguir cada uma delas:

1. Mediante o fornecimento de consentimento pelo titular;

2. Para o cumprimento de obrigação legal ou regulatória pelo controlador;

3. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

4. Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

5. Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

6. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei de Arbitragem;

7. Para a proteção da vida ou da incolumidade física do titular ou de terceiro;

8. Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

9. Para atender aos interesses legítimos do controlador ou de terceiro, exceto quando prevalecem os direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

10. Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

#3 Princípios da LGPD

Para se adequar às novas exigências e diretrizes da proteção de dados, as empresas precisam se manter atentas aos dez princípios elencados pela LGPD.

Veja, a seguir, quais são eles:

1. Finalidade: o tratamento de dados pessoais deve ser feito com finalidades específicas, legítimas, explícitas e informadas. Além disso, não é possível modificar essa finalidade durante o processamento dos dados.

2. Adequação: os dados pessoais solicitados e tratados devem ser compatíveis com o negócio da empresa e a finalidade informada. Se a empresa atua no varejo, por exemplo, não há porque solicitar dados de saúde aos usuários.

3. Necessidade: as empresas devem usar somente os dados estritamente necessários para alcançar as suas finalidades.

4. Livre acesso: o titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa possui sobre ele. Além disso, o cliente deve ter acesso a questões como: o que a empresa faz com as suas informações, como o tratamento é realizado e por quanto tempo.

5. Qualidade dos dados: o titular deve ter a certeza de que as informações que a empresa possui sobre ele são verdadeiras e atualizadas.

6. Transparência: a empresa não pode compartilhar dados pessoais com outras organizações ou pessoas de forma oculta. Se ela decide repassar os dados pessoais para terceiros, o titular precisa saber.

7. Segurança: as empresas devem buscar procedimentos, meios e tecnologias que assegurem a proteção dos dados pessoais de acessos por terceiros. Tudo para evitar crimes como ataques cibernéticos e roubo de dados.

8. Prevenção: as empresas devem adotar medidas preventivas para evitar a ocorrência de danos em virtude do tratamento de dados pessoais.

9. Não Discriminação: os dados pessoais não podem ser usados para discriminar ou promover abusos contra os seus titulares.

10. Responsabilização e Prestação de Contas: além de cumprirem as exigências impostas pela LGPD, as empresas devem ter provas e evidências das medidas adotadas. É uma maneira de mostrar sua boa-fé e diligência.

#4 Quem são os atores envolvidos?

A LGPD apresenta em detalhes o papel dos quatro agentes envolvidos na coleta e na proteção de dados pessoais. Veja quem são e a atribuição de cada um.

• Titular: é a pessoa física a quem se referem os dados pessoais.

• Controlador: é a empresa ou pessoa física que coleta dados pessoais e decide como qual a finalidade e como os dados serão tratados.

• O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.

• Encarregado: é a pessoa física indicada pelo controlador e responsável por intermediar a relação entre as partes (controlador, os titulares e a autoridade nacional). Além disso, ele orienta os profissionais do controlador sobre as melhores práticas de tratamento de dados.

#5 Penalidades previstas na LGPD

As empresas que não se adequarem às normas apresentadas na lei correm o risco de cumprir penalidades. Veja algumas das principais a seguir:

1. Para cada incidente existe a possibilidade de aplicação de multa isolada ou diária, ambas limitadas a R$ 50.000.000,00 (cinquenta milhões de reais) ou 2% do faturamento bruto da empresa.

2. Suspensão das atividades de tratamento de dados pela empresa e até a interrupção total de seu funcionamento.

A Agência Nacional de Proteção de Dados (ANPD), instituída após a sanção da LGPD, é o órgão responsável também por fiscalizar a aplicação da Lei e aplicar as devidas sanções.

#6 Como se adequar às novas exigências?

Como o prazo para adequação às regras da LGPD segue até agosto de 2020, agora é a hora de começar essa jornada. Mas, afinal, qual seria o passo a passo ideal para ajustar todos os aspectos exigidos?

Abaixo você confere as principais etapas:

1. Criação de um Comitê de Segurança da Informação: ele será responsável por analisar a atual situação dos procedimentos internos.

2. Mapeamento do tratamento dos dados: é importante entender como os dados pessoais vêm sendo processados, bem como o ciclo de vida deles dentro da empresa. É preciso identificar como é feita a coleta, para onde vão, em qual base ficam armazenados, quem tem acesso e se são compartilhados com terceiros.

3. Análise da maturidade dos processos: tomando como ponto de partida o resultado dessa análise, o próximo passo é avaliar o nível de maturidade dos processos dentro da empresa. Esse entendimento também deve proporcionar uma gestão de riscos mais assertiva.

4. Construção de uma nova política: detectadas as lacunas, é hora de construir uma nova estratégia de segurança da informação. Observando as exigências da LGPD, a empresa deve tornar o gerenciamento de dados totalmente seguro tanto para os consumidores quanto para a organização.

   Ficou interessado no tema? Então, acesse o artigo que produzimos sobre segurança da informação como estratégia competitiva.