LGPD é a sigla de Lei Geral de Proteção de Dados (Lei nº 13. 709/18). Essa Lei determina regras para captação, armazenamento, tratamento e compartilhamento de dados pessoais e tem como objetivo garantir a privacidade das informações pessoas, além de controlá-las.

Bom, o fato importante é que toda pessoa, empresa, organização ou profissional autônomo que faz uso de dados pessoais deverão se adequar à Lei. A entrada em vigor da LGPD está pendente de julgamento (MP 959/2020), contudo, as sanções serão aplicadas a partir de 1º de agosto de 2021 (Lei nº. 14.010/2020).

Bom, o que realmente é a LGPD?

Como falado anteriormente, a Lei Geral de Proteção de Dados (LGPD) determina regras para quem adquirir ou captar dados/informações pessoais dos usuários e/ou clientes.

De acordo com a Lei, dados pessoais são quaisquer informações referentes à pessoa que possam identifica-la, ou seja, é qualquer elemento que permite o reconhecimento de uma pessoa. Exemplo: nome, e-mail, endereço, CPF, biometria, gênero, profissão, entre outros.

A captação desses dados acontece a todo momento, seja em um simples cadastro em um site para recebimento de conteúdo, seja no consultório médico ou no banco. Então, fica fácil perceber que isso afetará a todos.

A Lei garante direitos aos titulares, que são as pessoas a quem se referem os dados pessoais. Por exemplo: o titular pode pedir a correção, exclusão, portabilidade e revogação do consentimento de utilização dos seus dados.

Quando a Lei diz que os dados deverão ser tratados, o que isso quer dizer?

O tratamento significa toda operação que será realizada com os dados pessoais, como: a coleta, classificação, utilização, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, dentre outros.

Haverá penalidade para as empresas que não tratarem os dados?

Sim. Poderá haver punição para empresas que descumprirem a LGPD que vão variar conforme da gravidade da infração. As multas por não conformidade podem chegar a 2% do faturamento, limitadas a R$ 50 milhões por infração e, além disso, as empresas podem ter suas atividades suspensas, parcial ou totalmente.

A fiscalização será feita pela ANPD - Autoridade Nacional de Proteção de Dados (Órgão da Presidência da Republica) que deverá ser criada para estipular padrões técnicos da aplicação da Lei e aplicar e acompanhar as sanções.

Então, como adequar a minha empresa?

A primeira medida para adequação é fazer o mapeamento detalhado das informações pessoais tratadas. Para isso, é necessário saber como esses dados foram coletados (cadastro); como estão armazenadas (sistema, nuvem, físico, digital); quem tem acesso a eles (funcionários, colaboradores); e, caso sejam compartilhados com terceiros (empresas parceiras): quem são os terceiros? Eles possuem política de segurança de dados? Qual a finalidade do compartilhamento?

Em seguida, a empresa deverá adotar as seguintes medidas:

1) Medidas Internas Administrativas:

A segurança da informação deverá ser garantida pela empresa, certo? Isso pode ser feito, por exemplo, por meio de protocolos de segurança, servidores e sistemas, além de restringir as pessoas que terão acesso aos dados pessoais.

2) Elaboração dos Termos de Uso e Políticas de Privacidade:

A maioria das empresas possuem um site, aplicativo, SaaS ou qualquer outra plataforma, logo, será necessária a elaboração dos termos de uso e políticas de privacidades em conformidade com a Lei.

Os termos devem esclarecer o usuário a respeito do armazenamento dos dados e de suas respectivas finalidades, além de conter a autorização dos titulares (cláusula de consentimento) para manter os dados registrados e se os dados serão compartilhados com terceiros, informando quem terá acesso às informações.

3) Termo de Consentimento Específico:

Um ponto importante que merece total atenção é referente ao tratamento de dados de crianças e adolescentes, considerados dados sensíveis. Neste caso, será necessário fazer constar em um Termo de Consentimento Específico a autorização do responsável antes da coleta das informações.

4) Relatório de Impacto:

Outro ponto de atenção da lei acontece em relação ao tratamento de dados pessoais que possa restringir liberdades individuais e direitos fundamentais dos titulares.

Para o tratamento desses dados será necessário a elaboração de um relatório de impacto que deverá conter a descrição dos processos de tratamento de dados, além das medidas, preservações e mecanismos de redução de risco.

5) Canais de Comunicação

Será indispensável que a empresa disponibilize canais de comunicação para que os clientes e usuários (titulares) possam esclarecer as suas dúvidas e para que tenham suas solicitações atendidas, como a exclusão, alteração ou transferência dos dados, entre outras.

O canal de comunicação deve ser fácil e acessível (intuitivo) e tem como objetivo manter a transparência e prevenir possíveis conflitos com os titulares.

Por fim, as empresas deverão garantir a segurança dos dados pessoais dos seus clientes e/ou usuários e, inclusive, atentar-se na hora da contratação de empresas parceiras com quem, provavelmente, irão compartilhar esses dados. Isso porque a responsabilidade será solidária entre os agentes, podendo qualquer das empresas interligadas responder (penalidades previstas na Lei) pelas falhas e vazamento de dados.

Além disso, as empresas deverão comunicar possíveis falhas na preservação desses dados à Autoridade Nacional de Proteção aos Dados (ANPD), órgão regulador responsável.

Ficou com alguma dúvida sobre o assunto? Estamos à disposição, mande-nos uma mensagem!