A enorme quantidade de dados que produzimos e disponibilizamos de forma voluntária na internet acaba se tornando uma ferramenta para que empresas e setores governamentais direcionem suas campanhas. Algo que pode ser útil, mas que também abre margem para uso não éticos da informação.
Por mais que exista o lado positivo dessa captação massiva de dados, a falta de um controle maior sobre essa coleta e tratamento abre brechas para ações abusivas e podem causar interferências em momentos importantes para a sociedade, como as eleições, por exemplo. Da mesma forma, grandes empresas podem segmentar e manipular esses dados a fim de promover sua própria imagem em diferentes contextos.
Quanto mais dados produzimos, mais ferramentas para estruturá-los aparecem e mais possibilidade se abrem. Foi necessário criar meios de regular esse fluxo e a melhor forma era dando poder ao titular dessas informações.
Assim, foram nascendo, em vários países, leis específicas para a proteção de dados, visando esse novo momento em que estamos vivendo. No Brasil, a LGPD — Lei Geral de Proteção de Dados — foi criada para suprir essa necessidade.
Neste post, você terá um panorama sobre a LGPD, seus impactos na experiência dos usuários e nas empresas que têm como base de suas operações a captação de informação. Acompanhe e confira!
O que é a LGPD?
Sancionada pelo ex-presidente Michel Temer, em agosto de 2018, a LGPD — Lei 13.709/2018 — é fruto de anos de debates acerca da regulamentação sobre a prospecção e uso de dados pessoais pelas empresas. A lei não passou a valer no ato da sanção, já que será necessária uma adaptação por parte dos envolvidos. Ela passa a vigorar efetivamente em dezembro de 2020.
A LGPD nasceu para servir de complemento a um conjunto de leis específicas que visam garantir o direito de pessoas físicas nas relações com empresas. Entre essas leis podemos destacar:
- Constituição Federal;
- Código Civil;
- Lei do Acesso à Informação;
- Código de Defesa do Consumidor;
- Lei do Cadastro Positivo;
- Marco Civil da Internet.
O Marco Civil da Internet foi a primeira iniciativa que os legisladores brasileiros tiveram na tentativa de criar uma lei com foco no mundo digital. Apesar da sua efetividade, essa lei deixava algumas lacunas em relação à efetiva proteção de dados pessoais.
Entenda como a LGPD dá mais protagonismo ao titular dos dados
O grande ponto que a LGPD traz é o protagonismo do titular em relação aos seus dados pessoais, ou seja, para que uma empresa possa capturar e tratar os dados de alguém, deverá ter o consentimento explícito da pessoa.
Além da autorização, o titular deve ser informado sobre os motivos da captação, forma de tratamento e o tempo em que os dados ficarão sobre responsabilidade da empresa. Mesmo após a captação dos dados, o titular deve ter o controle sobre a utilização, tratamento, modificação, transporte e remoção dos dados de forma simples e descomplicada.
Esse maior controle do proprietário impede que as empresas utilizem técnicas para conseguir a aceitação automática de termos de adesão. Como o consentimento deve ser explícito, isso demanda uma explicação clara por parte do captador.
Assim, fica vedada a utilização das letrinhas miúdas e os botões de confirmação pré-selecionados, como “OK”, “Aceito”, “Sim”, “Confirmar”, “Permitir” e qualquer outra palavra que leve a aceitação automática. Temos a tendência de ligar a internet à rapidez e, geralmente, não damos atenção a esses detalhes, o que favorece esse tipo de tática.
A lei detalha os papéis de quatro diferentes atores, são eles o titular, o controlador, o operador e o encarregado. Veja detalhadamente quem é quem:
- o titular — é a pessoa física titular dos dados pessoais coletados;
- o controlador — é a empresa ou pessoa física responsável pela coleta dos dados pessoais e que define como, por que e até quando as informações ficarão no banco de dados;
- o operador — é a empresa que fará o tratamento desses dados sob as orientações do controlador;
- o encarregado — é a pessoa física designada pela empresa controladora para ser o canal de comunicação entre as partes envolvidas, além de ser o responsável por orientar os outros colaboradores sobre as novas práticas de tratamento de dados.
O que são dados pessoais?
A LGPD foca em dados pessoais, o que para muita gente pode parecer algo abstrato, mas a lei deixa bem claro que essas informações são aquelas que, sozinhas ou em conjunto, permitem a possibilidade de identificação do titular, como:
- nome e apelido;
- endereço de residência;
- e-mail;
- número de cartão;
- endereço IP;
- localização;
- cookies.
Dependendo da rede à qual se tem acesso, qualquer uma dessas informações pode ser usada para apontar uma localização importante para o titular, seja em um momento específico ou o endereço pessoal.
O que são dados sensíveis?
Além dos dados pessoais, a lei versa sobre os dados sensíveis, que são aqueles que vão além de informações localizadoras. Esses dados dão detalhes que entregam características pessoais, sejam elas físicas ou preferenciais. Entre alguns exemplos, podemos citar:
- preferências religiosas;
- ideologia política;
- peculiaridades físicas, como cor de pele, altura, peso etc.;
- diagnósticos de saúde;
- biometria;
- etnia;
- orientação sexual.
Essas informações requerem um tratamento especial por parte do captador, pois apresentam um risco de segregações, preconceitos e mapeamentos conjuntos não autorizados, beneficiando empresas e grupos que têm interesses escusos em relação a determinadas características pessoais.
Além da segregação, o mau uso dos dados sensíveis pode contribuir para campanhas de marketing invasivas e abusivas. Se a empresa se propuser a captar esse tipo de informação, deve garantir toda a integridade, pois a penalização nesses casos é mais pesada.
Como a LGPD agrega valor para o nosso país?
A criação e a sanção da LGPD colocou o Brasil no rol de países que se preocupam com a preservação dos dados de seus cidadãos. Ao demonstrar uma postura de combate ao mau uso dos dados pessoais, demonstra um respeito aos cidadãos e assegura às partes as diretrizes exatas sobre o que pode e o que não pode. Isso traz uma estabilidade maior, resultando em mais confiança para o investimento estrangeiro.
Os softwares desenvolvidos no Brasil também ganham credibilidade com a sanção da lei, pois passa a ser visto com mais confiabilidade, por estarem sendo criados com base na nova regulamentação, podendo ser adaptado para outros países que tenham a sua própria legislação.
A LGPD pode também se tornar um dos trunfos para o país pleitear a sua entrada na OCDE — Organização para a Cooperação e Desenvolvimento Econômico —, que reúne as maiores economias do mundo. Isso porque o Brasil se coloca entre os países pioneiros em focar nas transações comerciais seguras na web.
Qual a punição para o descumprimento da LGPD?
A LGPD, como qualquer outra lei, tem suas punições para quem não cumpri-la, levando sempre em consideração a gravidade de cada caso específico. Para isso, quando houver algum indício de infração, será feita uma triagem para identificar se houve ou não qualquer tipo de irregularidade relacionada a proteção de dados. Se houve mesmo a infração, será analisado qual impacto ela trouxe para o titular.
A multa será proporcional ao dano, podendo ser desde uma advertência simples até a penalização máxima, que poderá chegar a 2% do faturamento da corporação, limitado a R$ 50 milhões. Dependendo da intensidade do dano, a empresa pode ficar impedida de realizar atividades que necessitem de captação de dados, além de poder responder a outras violações previstas na Lei Geral de Proteção de Dados.
Quais as diferenças da LGPD para a lei europeia?
A Lei geral de Proteção de Dados brasileira tem forte influência da europeia GDPR — General Data Protection Regulation. Lá, a lei foi apresentada em 2012 e sancionada quatro anos depois, em 2016, em substituição a uma lei de 1995. Um dos principais focos dela é o controle na prospecção de cookies pelos sites, que era feito de forma automática, sem o consentimento do usuário.
Após a sanção da GDPR, assim como aconteceu com a lei brasileira, houve um período de adaptação para que as empresas pudessem adequar os seus processos à nova regulamentação. Sendo assim, a lei europeia passou a vigorar efetivamente em 2018, ano da sanção da nossa. As duas leis focam no protagonismo do titular em relação ao controle de seus dados pessoais.
Falando sobre diferenças, a primeira e mais marcante é que a LGPD é uma lei nacional, enquanto a GDPR é uma consolidação das leis dos países-membros da União Europeia. Enquanto no Brasil a intenção era a criação da Autoridade Nacional de Proteção de Dados, na Europa não há esse ente centralizador, cabendo a cada país criar as suas próprias agências.
Outra diferença entre as duas leis está nas penalizações, sendo que a lei europeia é bem mais específica quanto as sanções para cada tipo de infração, de forma objetiva. A lei brasileira já abre uma maior margem para a interpretação, tendo apenas um limitador como sanção mais rigoroso, que são os 2% limitados a R$ 50 milhões.
Como as empresas devem se adequar à LGPD?
A Lei Geral de Proteção de Dados muda radicalmente a forma como as empresas, que baseiam as suas atividades em prospecção de dados, terão que lidar com essas informações. Isso porque elas terão que se adequar às novas exigências legais e se prepararem para a possibilidade dos clientes pedirem a exclusão de suas informações do banco de dados a qualquer momento.
Como estamos falando de uma grande quantidade de informações confidenciais, a empresa deverá adotar as ferramentas para que esses dados sejam criptografados, centralizados e tenham um rigoroso controle de acesso. Quanto maior for a quantidade de dados prospectados, maior terá que ser a segurança, pois perder uma gama de dados com milhares de titulares trará enormes prejuízos.
Entenda quais são os principais impactos da nova lei
A Lei Geral de Proteção de dados é bem abrangente, ou seja, todas as empresas, independentemente do porte ou segmento, terão que respeitá-la. Qualquer tipo de prospecção de dados, mesmo que seja mínimo, se identificar uma pessoa, passa a ser englobado pela lei.
É importante que a empresa tenha essa base legal e entenda que necessitará do consentimento de todas as pessoas, de forma explícita. Além disso, é importante entender que, mesmo as informações estando no banco de dados da empresa, o titular deverá ter total autonomia para fazer qualquer tipo de intervenção, inclusive de se recusar a mantê-lo sobre a posse da corporação.
Quanto maior for a empresa, maior será a estrutura que ela deverá ter para dar conta da proteção dos dados. Isso significa que a LGPD trará impactos financeiros para os negócios, cabendo aos gestores encararem esse impacto como um investimento, já que, se alguma exigência for ignorada, os prejuízos poderão ser altos.
Entenda como deverá ser a atuação do Comitê de Segurança da Informação
Empresas maiores deverão criar um Comitê de Segurança da Informação, que ficará responsável pela análise de todos os procedimentos internos relativos aos dados prospectados. É importante que seja feito um mapeamento do ciclo que o dado seguirá e como eles serão tratados nesse período.
Isso inclui identificar o local onde eles serão armazenados, quem terá acesso, se serão compartilhados com terceiros entre outras situações. Após essa análise é que será possível fazer uma avaliação sobre a maturidade dos processos internos para receber essas informações e os riscos envolvidos.
Após a detecção do nível de maturidade interno, caberá ao gestor definir quais são os procedimentos para que a captação de dados se torne um procedimento seguro, tanto para a empresa, quanto para os titulares das informações.
Como se adaptar à nova lei?
Sabendo ao que se refere a LGPD e seus impactos, é necessário começar a se adaptar a ela para evitar problemas no futuro. Veja a seguir as nossas dicas para iniciar esse processo.
Não espere a lei entrar em vigor para começar a aplicá-la
Mesmo tendo uma boa margem de tempo até chegar dezembro de 2020, é importante que a sua empresa comece desde já a se adaptar às novas práticas. Isso porque, ao fazer aos poucos, aprendendo por tentativas e erros, a corporação chegará muito mais preparada na época em que a lei entrar em vigor.
Se a sua empresa já trabalha com coleta de dados de clientes, é importante que comece desde já a trabalhar conforme a lei, ou, pelo menos, iniciar um caminho para chegar nesse nível. Revise todos os dados que estejam em seu banco de dados, seus formulários de captação e cadastros e veja se está tudo dentro do que é permitido de acordo com a LGPD.
Por exemplo, verifique se você coleta dados sensíveis e lembre-se de que será necessário um cuidado maior ao manipulá-los. Se antes da lei as empresas coletavam o máximo de dados possíveis para depois fazer uma triagem dos relevantes, agora o processo deverá ser o inverso. Antes de decidir coletar um dado, é importante definir se ele realmente será relevante para a empresa, para que não se torne uma dor de cabeça mais tarde.
Uma empresa que vende assinaturas de software como serviço, precisará de tempo para que as adaptações fiquem realmente conforme a lei, e os testes deverão ser feitos desde já, em todas as camadas, do código à hospedagem. Esse tempo que temos até lá poderá ser precioso para que tudo fique 100% alinhado.
Analise a sua política de privacidade
Poucas pessoas têm o hábito de ler as políticas de privacidade e os termos de uso, a maioria aceita de forma quase automática. As empresas também não se preocupam muito em explicitar esses regulamentos, facilitando a aceitação quase automática dos clientes. A partir de dezembro de 2020, isso terá que mudar, pois os documentos de adesão deverão ser bem claros e objetivos, com foco nos pontos que envolvem a prospecção dos dados.
Adote o Privacy by Design
Para quem trabalha com o desenvolvimento web ou de software, caberá abordar a proteção de dados desde o desenvolvimento do sistema. É necessário que todo o projeto seja pensado com foco na LGPD, incorporando as diretrizes diretamente na própria arquitetura e ao modelo de negócio. Assim, o próprio usuário será capaz de gerenciar as suas próprias informações de forma desburocratizada, como manda a legislação.
Como a Lei Geral de Proteção de Dados afeta o trabalho de gestão de equipe de TI?
Considerando todas as novas exigências envolvidas na LGPD, ela também levou a algumas mudanças na forma como o setor de TI é estruturado e administrado. Em particular, na forma como a equipe deve atuar no dia a dia. Afinal, esses profissionais têm a maior influência sobre a forma como os dados dos titulares serão usados.
A principal mudança aqui é que, em vez de a segurança de dados ter um caráter reativo, onde os profissionais lidam com possíveis vazamentos a medida que eles ocorrem, é esperado que sua postura seja muito mais proativa. Ou seja, devem ser tomadas atitudes para prevenir o uso incorreto de dados pessoais e sensíveis, prevendo possíveis pontos de interferência e evitando que eles ocorram.
Para isso, também é necessário reestruturar a forma como a equipe, especialmente os gestores, são capacitados. Há muito mais ênfase nos procedimentos de segurança, especialmente no que diz respeito ao tratamento interno de informações. Por exemplo, quando um colaborador liga para a área de TI em busca de dados sensíveis, qualquer membro da equipe deve saber quais deles podem ser fornecidos e quando.
Qual é o papel do Compliance na implementação da LGPD?
Outro setor que tem um papel muito importante na adequação à Lei Geral de Proteção de Dados é o complicance. Afinal, é a área responsável por garantir que a empresa como um todo está adequada às normas da lei.
Alguns dos papéis que ele cumpre estão listados abaixo. Veja.
1. Padronização de processos
Ter métodos bem esclarecidos para lidar com suas tarefas é fundamental em qualquer negócio. Isso inclui também os métodos de tratamento de dados e suas políticas de privacidade. Para evitar que algumas informações sejam usadas de forma a ir contra a LGPD, é necessário criar processos padronizados para coletar e implementar esses dados no dia a dia da empresa.
2. Correção de contratos e termos de uso
Sempre que uma nova lei surge ou uma lei antiga é alterada, é trabalho do setor de compliance avaliar como essas mudanças afetam a empresa do ponto de vista legal e o que deve ser feito para que todos se encaixem nas novas normas. Agora que a Lei Geral de Proteção de Dados está em vigor, uma de suas tarefas é alterar contratos, termos de uso e de privacidade da empresa para que eles estejam de acordo com suas exigências.
3. Análise de segurança
Foram listadas várias exigências, orientações e boas práticas para garantir que os dados dos titulares seriam protegidos e bem utilizados dentro das empresas. Porém, dependendo do tipo de estrutura que seu negócio tem hoje, ainda pode ser que alguns desses pontos ainda estejam mais vulneráveis. O setor de compliance também deve lidar com isso, ajudando na análise dessas exigências e garantindo que elas sejam cumpridas.
4. Tirar dúvidas sobre a lei
Nenhuma nova norma ou lei fica clara para todos os profissionais imediatamente. Há muitos pontos que precisam ser esclarecidos ou relembrados ao longo do tempo. O setor de compliance está na melhor posição para entender essa nova lei a fundo e orientar o resto dos colaboradores sobre como fazer isso.
5. Criação de guias e relatórios
O compliance também é o melhor setor para desenvolver e distribuir a documentação que será usada para orientar as demais equipes sobre os detalhes da lei. Dessa forma, todos terão uma fonte de informação a qual podem conferir em caso de dúvida, sem depender de outra pessoa para obter a resposta.
Qual é o papel da equipe de TI na implementação da LGPD?
Claro, o compliance não é o único setor necessário para o melhor cumprimento da Lei Geral de Proteção de Dados. A equipe de TI também tem grande peso na hora de adaptar sistemas e processos para melhor se encaixar nessas exigências. Veja alguns exemplos.
1. Atualização de ferramentas
Para proteger a informação dos titulares, é necessário ter ferramentas de gestão e proteção de dados mais adequadas. Softwares desatualizados são muito mais vulneráveis a invasões e perdas, o que torna muito mais difícil cumprir as novas da LGPD. Por isso que o trabalho dos profissionais de TI para acompanhar as atualizações das ferramentas disponíveis no mercado são tão importantes.
2. Otimização de processos
Uma das normas na área de tecnologia é tentar reduzir ao máximo o tempo e esforço necessários para cumprir qualquer tarefa, priorizando a automação sempre que possível. Isso ajuda a promover a otimização de processos, permitindo que todos alcancem metas maiores em menos tempo.
O mesmo princípio se aplica à proteção de dados pessoais. Ter um caminho mais simples para realizar a coleta de informações e determinar como ela será usada evita que sejam cometidos erros humanos ao longo do caminho.
3. Planos de contingência e segurança
Mesmo com boas práticas em ação, ainda é necessário se preparar para imprevistos, sejam eles pequenos erros ou crimes virtuais contra a empresa. Para isso, os profissionais de TI devem elaborar planos de contingência e metodologias de segurança que serão implementados caso ocorra algum problema. Dessa forma, sua resposta será rápida e acertada.
4. Envolvimento de todas as equipes
Por fim, mas não menos importante, o setor de TI também deve pensar em como os demais colaboradores da empresa devem agir para cumprir a Lei Geral de Proteção de Dados. Isso inclui instruí-los sobre como usar as novas ferramentas corretamente e esclarecer quais atitudes devem ser tomadas se for identificado algum vazamento de dados importantes.
Como avaliar os processos internos para entender sobre a sua adequação?
Já falamos sobre como as empresas deverão se adaptar à nova legislação no trato com os dados em relação às normas e titulares — agora vamos focar nas mudanças internas. Para conseguir atender às exigências da LGPD, as corporações precisarão seguir algumas obrigações que garantam aos usuários finais um maior controle e autonomia sobre os seus dados, mesmo eles estando dentro do banco de dados da empresa.
Por isso, vamos ver a seguir alguns dos procedimentos necessários para essa readequação. Confira!
Saiba quais são os tipos de dados que a sua empresa coleta
A partir de dezembro de 2020, todo dado pessoal coletado, independentemente da empresa considerar relevante ou não, estará respaldado pela lei. Muitas corporações não conhecem os tipos de dados que coletam e não têm a real noção da amplitude de informações que detêm.
Já pensou se a sua empresa perde o direito de coletar dados? Se estivermos falando de uma prestadora de serviços, que depende de cadastros, ela fica com suas atividades paradas. Um e-commerce ficaria impedido de vender e uma agência de marketing impedida de utilizar os dados, que são fontes importantíssimas de insights em suas campanhas. A verdade é que nenhuma dessas corporações conseguiria prosperar.
Por isso, é importante que, desde já, seja feita uma triagem, com a criação de um procedimento que reúna todas as informações criadas pela empresa para que seja possível monitorar os dados dos usuários de forma mais estratégica.
Adote medidas de segurança
A partir do momento em que a empresa fica responsável pelo dado pessoal de um usuário, ela deve dar todas as garantias de manutenção da segurança dessas informações. Para isso, caberá à corporação inserir em suas políticas de segurança vigentes parâmetros de seguranças que visam a proteção dessas informações, como o uso de criptografia dos dados, monitoramento, backups e um controle de acesso.
Cabe ao gestor só dar liberdade de acesso a determinados locais do servidor, de acordo com as necessidades de cada função. Quanto mais restrito for o acesso aos dados, menores serão as chances de algum vazamento.
Documente os dados coletados
A lei dá autonomia total ao titular em relação aos dados, sendo que ele poderá, a qualquer momento, modificar, inserir ou remover informações. Cabe à empresa estar pronta para atender a essas demandas, por isso os dados deverão estar bem-documentados.
A Lei Geral de Proteção de Dados exige que todas as informações sejam documentadas e inventariadas, para que a empresa possa comprovar o bom uso dos dados de seus clientes.
Mantenha uma rotina de melhoria contínua
Quando a LGPD finalmente entrar em vigor, além das empresas já terem que estar preparadas e adaptadas, elas deverão adotar a rotina de controlar constantemente os seus processos. É necessário reduzir cada vez mais a margem de erro e fazer os cuidados em relação à lei se tornarem parte da cultura corporativa. Para isso, é necessário que haja revisões constantes e uma busca pelo aprimoramento.
Cabe aos gestores fazer os membros de sua equipe entenderem que os principais objetivos da Lei Geral de Proteção de Dados são:
- resguardar o direito à privacidade;
- definir regras claras para empresas;
- fomentar o desenvolvimento econômico e tecnológico;
- garantir o direito do consumidor;
- promover a segurança jurídica.
Após esse trabalho de revisões e melhorias, com o tempo as coisas vão se alinhando e vai chegar um momento em que a empresa atuará com foco na lei, de forma natural, sem a necessidade de criar momentos especiais para discuti-la, pois ela já fará parte da cultura organizacional.
Neste guia, entendemos melhor como funciona a Lei Geral de Proteção de Dados que entra em vigor em dezembro de 2020. Ela entrega ao titular dos dados pessoais uma autonomia sobre o uso dessas informações, garantindo o direito ao consentimento e acesso aos dados a qualquer momento.
Diferentemente do que é hoje, as empresas deverão explicitar quanto, como e por que estão coletando aquela informação, além de dizer até quando ficará com elas. Internamente, as empresas que fazem a coleta de dados pessoais deverão mudar alguns procedimentos, criando políticas de privacidade, segurança e dando condições para que o usuário tenha o controle de seus dados.
A transformação digital está revolucionando o mundo, os dados têm cada vez mais valor para as mais variadas atividades. Por isso, a Lei Geral de Proteção de Dados é parte dessa evolução, dando limites para que as coisas se tornem mais organizadas.
Gostou do nosso guia completo sobre a LGPD e seus impactos na rotina das empresas? Está em busca de mais dicas para otimizar o trabalho de TI e facilitar a proteção de informações em seu negócio? Então veja nosso guia completo para servidores dedicados e descubra como usá-los em sua empresa.