Caso você não tenha estado na lua pelas últimas semanas, é bem possível que já tenha ouvido o termo LGPD ou tenha percebido que várias empresas estão produzindo conteúdos focados nisso.

No entendo, o que é essa tal de LGPD? Quando começa a valer? Já está valendo? Como ela pode afetar a sua empresa?

Imagino que essas perguntas estejam martelando a sua cabeça, mas vamos com calma. A ideia deste texto é responder a essas perguntas e, além disso, dar um direcionamento para você seguir e adequar seu negócio.

O que é a LGPD?

LGPD é a sigla para Lei Geral de Proteção de Dados. Essa lei foi inspirada na General Data Protection Regulation (GDPR), lei que regulamenta o tratamento de dados na União Européia desde 2016.

Sancionada em agosto de 2018, a lei número 13.709/2018 surgiu da necessidade de se criar regras para o tratamento dos dados pessoais aos quais as empresas têm acesso. É importante ressaltar que a LGPD não diz respeito a qualquer dado, são apenas dados pessoais (logo vamos explicar o que são esses dados pessoais).

Após ter o seu início adiado por duas vezes, a lei entrou em vigor em 18 de setembro de 2020. Ela impõe uma série de obrigações para empresas e organizações sobre coleta, armazenamento, tratamento e compartilhamento de dados.

Com a Lei Geral de Proteção de Dados, o Brasil entra para o grupo de mais de 120 países que possuem lei específica para a proteção e tratamento de dados pessoais.

Dados pessoais

Ok, mas o que são esses dados pessoais? De certo modo, isso pode ser encarado de uma forma bem aberta. No entanto, a LGPD define dados pessoais como “qualquer dado, isolado ou em conjunto com outros dados, que possa identificar uma pessoa, ou que possa sujeitar uma pessoa a determinado comportamento”.

Para muitas pessoas, o número de CRM (Conselho Regional de Medicina) não é um dado pessoal. Porém, se for possível identificar uma pessoa através desse número, pela LGPD ele é considerado um dado pessoal.

Logo, informações como nome, número de CPF e RG, e-mail corporativo, registro na OAB, etc podem ser considerados dados pessoais e gerar sanções para a sua empresa, caso esses dados sejam utilizados de forma indevida.

Dados sensíveis

Diferente dos dados pessoais, os dados sensíveis são aqueles dados que não deveriam servir para identificar uma pessoa, mas que combinados com outros dados, podem ser um identificador.

Por exemplo, a geolocalização é um dado que, sozinho, não significa muita coisa. Mas se for combinado com outros dados, pode acabar revelando o local de trabalho da pessoa. Logo, é um dado sensível.

Segundo a Lei Geral de Proteção de Dados, informações como opção sexual, raça e faixa salarial podem ser considerados dados sensíveis. Tendo em vista que, dependendo do contexto, servem como identificadores.

As figuras da LGPD

Podemos destacar 4 figuras que ganham destaque a partir de agora, são elas:

  • Dado em si (nome, e-mail, CPF, RG, etc);
  • Titular do dado;
  • Controlador dos dados (responsável por tomar as decisões referentes ao tratamento dos dados pessoais);
  • Operador dos dados (quem realiza o tratamento dos dados pessoais em nome do controlador).

Dependendo do tamanho da sua empresa, é possível que você tenha uma pessoa realizando as duas funções: controlador e operador. No entanto, o ideal é que sejam duas pessoas distintas para essas atividades.

Algumas empresas estão optando por contar com um DPO (Data Protection Officer), mas muitas outras estão preferindo terceirizar esse serviço. Ou seja, contratam uma empresa terceira que se responsabiliza pelo tratamento dos dados.

Mas fica o alerta: se algum desses dados vazar, a responsabilidade será da sua empresa e não da terceirizada. Pois a sua empresa é a detentora desses dados pessoais. Logo, muito cuidado ao escolher esse parceiro de proteção de dados.

Quem vai fiscalizar a LGPD?

A fiscalização da Lei Geral de Proteção de Dados será responsabilidade Autoridade Nacional de Proteção de Dados (ANPD). Entre as atividades desse órgão, estará a solicitação de relatórios de dados.

A ANPD ainda não foi instituída, a previsão é que isso aconteça no início de 2021. Talvez esse fato faça você pensar que a LGPD não está valendo ainda, mas não é bem assim. Continue a leitura!

A LGPD não está valendo?

A lei está em vigor desde 18/09/2020, mas as sanções previstas só poderão ser aplicadas a partir de agosto de 2021. Mas a possibilidade de ingressar em juízo e pleitear judicialmente a reparação pelo dano já está valendo. Ou seja, qualquer pessoa já pode fazer isso imediatamente.

Prova disso é que em 21/09/2020, três dias após a lei entrar em vigor, o Ministério Público do Distrito Federal já ajuizou a primeira ação embasada na LGPD.

Alguns dias depois tivemos a segunda ação ajuizada: contra uma empresa que compra e vende dados. Essa companhia comprava e vendia esses dados sem atender aos critérios da lei.

Em resumo, todas as normas da lei já estão valendo, as únicas coisas que ainda não estão valendo são as penalidades. Fique atento para sua empresa não ser pega pela LGPD. Até mesmo porque as penalidades são altas.

As multas previstas

A Lei Geral de Proteção de Dados prevê uma série de penalizações para quem tratar de forma indevida dados pessoais de clientes e colaboradores. Entre elas, vale destacar:

  • Multa de até 2% do faturamento bruto do último ano;
  • O valor pode chegar a até 50 milhões, dependendo do porte da empresa;
  • Multas diárias;
  • Outras penalidades dispostas em lei.

Também é importante ressaltar que essas multas são por infração, ou seja, a sua empresa pode ser penalizada mais de uma vez em um único ano, caso não esteja de acordo com a lei.

Bases Legais

As bases legais são “mandamentos” da Lei Geral de Proteção de Dados que autorizam a utilização de dados pessoais. A partir do momento em que a LGPD entrou em vigor, empresas que utilizarem dados sem uma base legal adequada, serão tratadas como infratoras.

Um fato curioso é que a falta dessa justificativa embasada nas bases legais é a maior razão para sanções da GDPR na Europa.

As 10 bases legais da LGPD são:

  1. Consentimento – Declaração clara e inequívoca de uma pessoa concordando com o uso de seus dados para as finalidades propostas pela empresa.
  2. Legítimo interesse – Permite o uso de dados sem a necessidade de obtenção de consentimento, desde que haja interesse de ambas as partes.
  3. Contratos – Pode ser usada em dois casos: cumprir uma obrigação proposta em contrato ou validar o início/fim de algum acordo.
  4. Obrigação Legal – Quando a empresa precisa utilizar ou armazenar dados para cumprir obrigações legais.
  5. Execução de Políticas Públicas – Quando o tratamento de dados pessoais é resguardado pelo interesse público.
  6. Estudos por órgãos de pesquisa – Dados que podem ser tratados para fins de pesquisa (o órgão em questão precisa estar credenciado).
  7. Processo Judicial – Dados que podem ser tratados para exercício de direito em ações judiciais.
  8. Proteção da Vida – É possível justificar a utilização de dados quando o seu uso é de interesse vital seja do titular.
  9. Tutela da Saúde – Quando profissionais de saúde, serviços de saúde ou autoridade sanitária precisam tratar dados pessoais.
  10. Proteção de Crédito – Dados tratados para a aprovação de crédito, reduzindo os riscos da transação.

Vale ressaltar que essas bases legais não têm dependência ou predominância entre si.

O que fazer com os dados?

Nesse momento, muitas empresas estão pensando que o melhor a se fazer é, simplesmente, se livrar de todos os dados. Mas cuidado, isso pode ser um tiro no pé!

Por exemplo, funcionários demitidos podem entrar com ações trabalhistas por até dois anos. Se você sair jogando todos os dados no lixo, como iria se defender em uma situação como essa? Logo, cuidado ao apagar os dados.

O mais importante, é você saber lidar com esses dados. Algumas perguntas são importantes de serem feitas:

  • Como esses dados chegam a sua empresa?
  • O que é feito com esses dados?
  • Depois de usados, são eliminados ou não?
  • Se não são eliminados, por quê?

A LGPD visa fiscalizar o tratamento de dados, ou seja, como eles são utilizados. Logo, o problema não é você ter os dados, e sim não saber usá-los.

Também é importante ressaltar que a lei não é só online! Sabe aquele arquivo morto cheio de papel que você tem em sua empresa? Caso tenha alguma irregularidade no tratamento de dados lá, sua empresa também será penalizada.

Até mesmo um documento importante que é esquecido em cima de uma mesa e vazado em uma rede social, por exemplo, é passível de sanções. Por isso é fundamental treinar e capacitar todos os colaboradores da sua empresa, todos precisam estar adequados a LGPD.

Conclusão

É muito comum ouvirmos no Brasil a expressão “essa lei não vai pegar”, tendo em vista o alto número de leis que possuímos em terras tupiniquins e desconhecemos. No entanto, esse não é o caso da LGPD.

Como citado anteriormente nesse texto, ela já pegou!

Sua empresa não deve esperar até agosto de 2021 para começar a se movimentar, porque aí já será tarde demais. Inclusive, se a sua empresa ainda não se adaptou às novas regras, ela já está atrasada.

A UDS é uma consultoria especialista em transformação digital continuada de médias e grandes empresas, como: Oi, Calvin Klein, DHL, C&A, Reserva, Médicos Sem Fronteiras, e outras.

Para adaptar todos os setores da sua empresa ao que é imposto pela LGPD, entre em contato com a nossa equipe e saiba como fazer isso com a empresa escolhida por multinacionais como parceira de transformação digital. Conte conosco para guiar seu negócio de forma rápida e segura na nova Lei de Proteção de Dados!

Comentários desabilitados.