O que fazer, na prática, para adequar meu negócio à LGPD? Embora válida desde 2020, a Lei Geral de Proteção de Dados — LGPD, ainda gera dúvidas entre pessoas empreendedoras.
Até porque, recolher e armazenar dados de clientes é uma atividade comum na rotina de praticamente todas as empresas. Isso vale inclusive para as que não usam sistemas informatizados.
Então, para ajudar, preparamos um guia básico com os principais pontos da LGPD e dicas de como as empresas podem se adaptar à legislação, evitando penalidades. Também falaremos sobre o que muda para o consumidor.
O que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) é a Lei n.º 13.709, aprovada em agosto de 2018. Assim, a LGPD regulamenta a coleta e o tratamento de dados pessoais no Brasil.
Seu objetivo geral é garantir a privacidade e a proteção de dados pessoais, além de trazer transparência às relações entre pessoas físicas e empresas.
Desse modo, a LGPD se aplica a todas as pessoas físicas ou jurídicas que realizam o tratamento de dados pessoais.
Ou seja, a Lei vale para qualquer pessoa ou empresa que colete, armazene, compartilhe ou exclua dados pessoais em meio digital ou físico.
Aliás, ainda que o tratamento de dados da empresa se limite às informações de seus funcionários, os princípios da Lei também se aplicam.
Leia mais | Vazamento de dados: o que é, como ocorre e como se proteger
O que são dados pessoais, na definição da LGPD?
Nesse sentido, dados pessoais são qualquer informação que direcione à identificação de uma pessoa, de modo direto ou indireto.
Logo, dados como nome, RG e CPF permitem que uma pessoa seja identificada diretamente.
Enquanto profissão, idade, empresa, especialidade, naturalidade e formação tornam alguém identificável, ou seja, permitem a identificação indireta.
Além disso, a LGPD traz o conceito de dados sensíveis — que podem gerar discriminação. São considerados dados sensíveis:
- Origem racial ou étnica;
- Convicção religiosa ou filosófica;
- Opinião política;
- Filiação sindical ou a organização religiosa;
- Orientação sexual;
- Histórico criminal;
- Dados sobre a saúde;
- Dado genético ou biométrico vinculado a pessoa física.
Ademais, o artigo 14 da LGPD estabelece no § 1º que dados pessoais de crianças só podem receber tratamento com o consentimento expresso de pelo menos um dos pais ou do responsável legal.
Portanto, a LGPD impacta diversos processos no cotidiano das empresas, incluindo atividades relacionadas a setores como:
- Atendimento ao consumidor;
- Financeiro;
- Pesquisas de mercado;
- Recursos Humanos;
- Gestão de produtos.
Quais são os fundamentos e princípios da LGPD?
O objetivo da LGPD é proteger os direitos essenciais de liberdade, privacidade e a livre formação individual.
Assim, a partir dela, as empresas devem seguir os fundamentos abaixo listados:
- Respeito à privacidade;
- Autonomia informativa;
- Liberdade de expressão, informação e opinião;
- Inviolabilidade da intimidade;
- Desenvolvimento econômico, tecnológico e inovação;
- Livre iniciativa, livre concorrência e defesa do consumidor;
- Direitos humanos e exercício da cidadania.
Além disso, a LGPD determina que o tratamento de dados pelas empresas deve observar 10 princípios, que você confere na sequência:
Finalidade
O tratamento de dados deve ter propósitos legítimos, específicos, explícitos e informados à pessoa titular. Assim, o tratamento posterior dos dados não pode ser incompatível com a finalidade.
Adequação
O tratamento dos dados deve ser compatível com as finalidades informadas à pessoa titular, conforme o contexto.
Necessidade
O tratamento de dados deve se limitar ao mínimo necessário para suas finalidades, com inclusão dos dados pertinentes, proporcionais e não excessivos.
Livre acesso
Garantia às pessoas titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, assim como sobre a integralidade de seus dados pessoais.
Qualidade dos dados
Garantia de exatidão, clareza, relevância e atualização dos dados à pessoa titular, conforme a necessidade e para cumprir a finalidade do tratamento.
Transparência
Garantia de informações claras, precisas, e facilmente acessíveis à pessoa titular sobre a realização do tratamento e os respectivos agentes de tratamento, respeitando o segredo comercial e industrial.
Segurança
Aplicação de medidas técnicas e administrativas aptas a proteger os dados pessoas de acessos não autorizados e de situações acidentais e ilícitas (como vazamentos de dados).
Prevenção
Adoção de medidas para prevenir a ocorrência de danos em função do tratamento de dados pessoais.
Não discriminação
Proibição do tratamento de dados para fins discriminatórios, ilícitos ou abusivos.
Responsabilização e prestação de contas
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia de tais medidas.
Como adequar a empresa à Lei Geral de Proteção de Dados?
Depois de ter uma visão geral dos fundamentos e princípios da LGPD, voltamos à pergunta do início do artigo: como adequar a empresa à Lei, na prática?
Em primeiro lugar, recomendamos a leitura do texto legal completo, para entender todos os pontos aplicáveis ao seu modelo de negócio.
Além disso, é recomendável ter o apoio de uma pessoa advogada especializada no tema para orientar as medidas de conformidade.
De todo modo, seguem algumas dicas práticas de como implementar a LGPD na sua empresa:
- Nomear uma pessoa encarregada pela proteção de dados na empresa;
- Revisar as políticas de segurança e fazer uma auditoria completa dos dados tratados;
- Criar mapas de ciclo de vida dos dados;
- Revisar os contratos com fornecedores e parcerias comerciais visando a adequação à Lei.
Ademais, um passo básico para a adequação é mapear todos os dados que a empresa já possui.
Para isso, você deve fazer um levantamento completo da sua base de clientes, em bancos de dados, listas de contatos, etc. Confira agora algumas dicas para fazer esse mapeamento inicial de dados:
- Liste todos os dados armazenados de clientes, funcionários, fornecedores, etc.
- Avalie se a coleta e armazenamento são feitos de modo seguro;
- Verifique se os dados têm o consentimento das pessoas titulares e a data de coleta;
- Analise a finalidade da coleta e quais pessoas têm acesso aos dados;
- Cheque se as ferramentas utilizadas no tratamento de dados seguem as diretrizes da LGPD.
Quais as penalidades para quem descumpre a LGPD?
As sanções previstas para quem descumpre as determinações da LGPD vão desde advertência, com prazo para adotar medidas corretivas, até multa de 2% do faturamento da empresa no último ano.
Assim, a penalidade a ser aplicada depende de fatores como a gravidade e natureza da infração, o grau do dano causado e a obtenção de vantagem econômica pela pessoa infratora.
A propósito, o órgão responsável por fiscalizar o cumprimento da LGPD e aplicar sanções é a Autoridade Nacional de Proteção de Dados (ANPD).
Quando o tratamento de dados é permitido?
Vale frisar que a LGPD não proíbe a coleta e armazenagem de dados pelas empresas.
Porém, a Lei determina que o tratamento de dados só pode ser feito;
- Mediante consentimento da pessoa titular;
- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
- Pela administração pública, para execução de políticas públicas;
- Para uso em estudos de órgãos de pesquisa;
- Quando necessário para execução de contratos;
- Para o exercício regular de direitos em processos;
- Para a proteção da vida e integridade física da pessoa titular ou terceiras;
- Para a tutela da saúde; em procedimento realizado por profissionais de saúde;
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro;
- Para a proteção do crédito.
Leia mais | Como vai funcionar o compartilhamento de dados no Open Banking?
O que muda para o consumidor com a LGPD?
A LGPD garante vários direitos relativos à proteção, privacidade e segurança de dados dos consumidores.
Nesse sentido, um de seus pontos fundamentais é reconhecer que os dados pertencem à pessoa titular, e que as empresas devem respeitar esse princípio. Por isso existe uma relação direta entre Open Banking e LGPD.
Assim, a LGPD assegura ao consumidor o direito de obter informações sobre o tratamento de seus dados, além de poder solicitar a exclusão de correção de informações incorretas, sempre que achar necessário.
Da mesma forma, o consumidor tem o direito de pedir a exclusão de dados excessivos ou tratados de forma ilegal.
Em resumo, a LGPD traz mais autonomia e transparência para o consumidor, e cabe às empresas fazer as adequações necessárias para cumprir a Lei. Esperamos que o conteúdo ajude seu negócio a ficar em dia com a legislação.