LGPD: como a nova lei afeta empresas e pessoas?

Todos nós, em algum momento da vida, já ouvimos falar sobre segurança de dados e a importância de buscarmos proteção sobre informações pessoais. E certamente você já recebeu uma de nossas mensagens para autorizar informações ou termos de uso, não é mesmo!? E sobre leis específicas desse tema, você já ouviu falar? A sigla LGPD lhe é familiar ou completamente desconhecida?

Essa sigla refere-se à Lei Geral de Proteção de Dados e tem se tornado mais presente nos meios de comunicação do Brasil recentemente. Isso porque, ela trata da Lei nº 13.709, publicada em 2018, mas que entrou em vigor apenas em 2020.

De lá pra cá, empresas e pessoas físicas buscam entender suas determinações e se adequar às normas. Segundo pesquisa feita pela Febraban (Federação Brasileira de Bancos), cerca de um ano e meio depois da sua sanção, apenas 37% dos brasileiros afirmaram conhecer “muito bem” ou “mais ou menos” a Lei Geral de Proteção de Dados (LGPD), enquanto 60% afirmaram ter “ouvido falar” ou não conhecer a legislação. Por isso, se você ainda não está por dentro do que realmente se trata a LGPD, você não está sozinho e esse conteúdo foi preparado justamente para te ajudar.

O que é LGPD e por que precisamos desta lei?

De acordo com o advogado da área cível da Tahech e especialista em Direito e Tecnologia, Trajano Santos Filho, a Lei Geral de Proteção de Dados “é a legislação brasileira que regula a atividade sobre o uso de dados pessoais, de colaboradores e de terceiros, por todos os tipos de organizações que operam em território brasileiro, trazendo sanções severas aos que não estiverem cumprindo suas determinações”. Ou seja, é uma lei que vale para diversos segmentos como igrejas, clubes, sindicatos, órgãos públicos, MEIs ou pessoas jurídicas, por exemplo, e que estabelece cuidados que devem ser tomados por essas organizações quanto aos dados pessoais que possuem.

Muitos fatores justificam a necessidade dessa lei, como a modernização das relações e a efetividade da nossa legislação quanto ao tema. Conforme Trajano, um relatório da Norton Cyber Security, apontou que, em 2017, o Brasil se tornou o segundo país com maior número de casos de crimes cibernéticos, afetando cerca de 62 milhões de pessoas e causando um prejuízo de US$22 bilhões.

Vivemos um período de intensificação do uso de dados: estamos, constantemente, solicitando e fornecendo dados, seja para nos deslocarmos através de um aplicativo de transporte ou fazendo compras online. É considerando exatamente essa realidade que a LGPD compreende como dados pessoais “toda informação relacionada à pessoa natural, identificada ou identificável, ou seja, todo dado que permite a identificação de uma pessoa, como, por exemplo, nome, RG, CPF, endereço, e-mail, podendo considerar-se ainda um dado pessoal fotos, históricos de compras ou mensagens”, enfatiza o advogado.

O que muda para empresas e/ou organizações a partir da LGPD?

Pensando na vasta quantidade de informações pessoais que empresas/organizações possuem e buscando uma forma de proteção e controle sobre esses dados, é que a LGPD estabelece normas que farão a diferença na hora das empresas e pessoas físicas implementarem sistemas de segurança ou de fazerem denúncias.

Para se adequarem, empresas e/ou organizações terão desafios. Neste sentido, alguns passos podem facilitar. São eles:

• Mapear seu banco de dados: é preciso ter ciência dos dados que estão presentes em todos os fluxos operacionais e identificar para que esses dados são indispensáveis dentro desse fluxo, já que a lei prevê que apenas dados necessários sejam coletados;
• Controle de riscos: a partir do mapeamento, é fundamental ter a ciência de quais são os riscos de ter essas informações e, consequentemente, traçar estratégias internas de diminuição dessas ameaças, partindo da instalação de medidas de segurança física ou digital, tais como implantação de chaves de segurança, câmeras, digitalizações, diminuindo o acesso de funcionários a esses dados;
• Adequar contratos e termos: uma maneira segura para a empresa é mostrar qual o fundamento legal que legitima o uso de cada dado. Assim o cumprimento de contratos deve ser feito na íntegra. Por exemplo, se determinado cliente solicitou a entrega de uma flor a um terceiro, o endereço do terceiro fornecido à empresa para a entrega deve ser descartado logo após a conclusão do serviço. Guarda-se o dado necessário – ou seja, do cliente contratante – e se exclui o restante, já que a finalidade desapareceu e o consentimento do uso do dado foi para uma ação exclusiva. É importante frisar que as regras da LGPD são estendidas aos subcontratados e parceiros das organizações, por isso, esse controle sobre todo o processo deverá ser aumentado e testado periodicamente.
• Sensibilizar e capacitar funcionários: A sensibilização dos colaboradores quanto às normas é bastante necessária, já que eles fazem parte dos fluxos que têm acesso aos dados. Para isso, treinamentos são uma boa estratégia para tratar da implementação de políticas de privacidade e do compliance digital. Além disso, essa capacitação deve ocorrer para atender os novos direitos e deveres da lei como, por exemplo, capacidade de transmitir dados a outros prestadores de serviço (quando autorizado), e a capacidade de apagar os dados, dando o direito de “esquecimento” ao titular. Organizações que controlam regularmente dados pessoais em grande escala e/ou que tratam dados sensíveis em grande escala deverão nomear um Data Protection Officer (DPO), que ficará encarregado da proteção destes dados. Segundo a lei, esse funcionário não precisa ser exclusivo para essa função. Outra possibilidade é que o trabalho feito pelo DPO pode ser executado por uma empresa contratada, como um escritório de advocacia, por exemplo.

O que muda para pessoas físicas a partir da LGPD?

As novas determinações da LGPD garantem direitos às pessoas físicas como conhecimento sobre quais dados pessoais seus as empresas e/ou organizações possuem; como esses dados estão sendo protegidos; para quem eles podem ser repassados. Assegura ainda o direito à confirmação do tratamento, ou seja, autoriza a pessoa física a acessar o dado, corrigi-lo, transferir o dado de uma empresa para outra ou ainda eliminar esse dado pessoal, através da revogação do consentimento.

Trata-se de uma forma de controle e de respeito para com o titular do dado. É importante frisar que o fato de uma pessoa ter autorizado a empresa/organização a usar o dado pessoal não o afasta do caráter de ser o titular do dado. Sendo assim, a pessoa física tem o direito de revogar o que autorizou.

Como se dá a fiscalização e quais as sanções?

Para a fiscalização, a Lei determinou a criação de um órgão especialmente para este fim, a chamada Autoridade Nacional de Proteção de Dados (ANPD). Essa agência reguladora é responsável por aplicar penalidades, mas não atua de forma exclusiva. Órgãos como o Procon ou o Poder Judiciário também podem determinar sanções.

Para as organizações que descumprirem as normas da LGPD, penalidades como multa de até 2% do faturamento da empresa (por infração cometida), bloqueio do acesso aos dados que estão com irregularidades, eliminação dos dados, advertências ou publicização da infração estão incluídas.