Muitas empresas já estão passando pelo processo de adequação à nova Lei Geral de Proteção de Dados (LGPD). Ainda assim, há dúvidas sobre como implementar essas mudanças, pois o processo exige o envolvimento de toda a companhia.
Para esclarecer todas essas dúvidas e ajudá-lo no processo de atendimento às novas normas, preparamos um guia completo sobre o assunto.
Começamos com um panorama sobre a proteção de dados no Brasil e abordamos todos os conceitos necessários para a compreensão da lei.
O que é e como ela surgiu? Quais são os princípios da LGPD e seus objetivos? Quem são os atores envolvidos no tratamento de dados?
Confira tudo isso a seguir!
Um panorama sobre a proteção de dados no Brasil
No Brasil, a proteção de dados é um debate que começou ainda na Constituição Federal, com o artigo 5° e a caracterização da intimidade como direito fundamental.
Porém, a proteção e o tratamento de dados pessoais apareceu mesmo em 1990, com a promulgação do Código de Defesa do Consumidor.
Especialmente na última década, o tema se tornou mais relevante e passou a ser amplamente debatido no âmbito legislativo. Veja:
- Lei do Acesso à Informação (Lei nº 12.527/2011): trouxe a transparência das informações relacionadas a transações da administração pública.
- Marco Civil da Internet (Lei nº 12.965/14): definiu a proteção de dados pessoais como essencial para o uso da internet no país.
Com o advento da era da transformação digital, cresceu a necessidade de ampliar o escopo de normas jurídicas sobre segurança dos dados.
Conforme o Serviço Federal de Processamento de Dados (SERPRO), o Brasil ainda está em um grau muito incipiente de adequação quanto à proteção de dados, se comparado a grandes países do resto do mundo. Veja:
Diante disso, as instituições devem buscar formas de efetivar a aplicação da LGPD para empresas para que possamos evoluir no assunto.
O que é a LGPD?
LGPD é a sigla para Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709/18) um instrumento jurídico que centraliza todas as normas sobre coleta, armazenamento, tratamento e processamento de dados pessoais, sejam eles digitais ou não.
Ela estabelece normas mais rígidas em relação ao tratamento de dados pessoais por parte de empresas e órgãos públicos, bem como determina sanções administrativas em caso de descumprimento ou má fé.
A lei foi discutida por anos até ser sancionada em 14 de agosto de 2018 e entrar em vigor em 18 de setembro de 2020. As multas previstas passaram a ser aplicadas apenas em agosto de 2021.
Como surgiu a LGPD?
A lei de proteção de dados foi inspirada na GDPR, a lei de proteção de dados pessoais europeia, e pela crescente preocupação com cibercrimes que se intensificaram no Brasil.
Um bom exemplo são os dados da McAfee de 2018 que apontaram a perda de US$10 bilhões ao ano em empresas brasileiras por conta de cibercrimes.
As perdas não são necessariamente atreladas a crimes financeiros. Há também que se considerar os problemas que fizeram as pessoas perderem tempo recuperando arquivos ou a perda de dados sensíveis (como senhas, fotos, informações íntimas etc).
Neste contexto, surgiu a necessidade de se ter um arcabouço jurídico para aumentar a proteção contra ataques cibernéticos envolvendo dados pessoais.
Os principais objetivos da LGPD
Entre os principais objetivos da LGPD, podemos destacar o foco em reforçar e assegurar o direito à proteção e à privacidade de dados pessoais dos cidadãos, online ou não.
Entre outros objetivos, a lei visa aprimorar a gestão baseada em dados ao:
- promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.
- garantir a livre iniciativa, livre concorrência e a defesa das relações comerciais e de consumo.
- estabelecer regras claras, objetivas, rígidas e transparentes sobre a coleta, armazenamento, tratamento e compartilhamento de dados pessoais por empresas.
- fortalecer a segurança das relações jurídicas, bem como restabelecer a confiança daquele que é considerado titular de seus dados sobre a oportunidade de cedê-los para isso.
Que tipo de dados são considerados pela LGPD?
De acordo com o artigo 5° da lei, são abrangidos por suas normas os dados pessoais, dados pessoais sensíveis, dados anonimizados e o banco de dados.
Conforme o texto da lei, estes pontos são definidos como:
- dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
- dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Quem é responsável por fiscalizar a LGPD?
A fiscalização do cumprimento das normas da LGPD fica a cargo da Autoridade Nacional de Proteção de Dados (ANPD), órgão que foi criado junto com a lei.
A autoridade tem o poder de auditar e fiscalizar as empresas, requisitando dados, processos, entre outras coisas.
A escolha das empresas alvo das fiscalizações pode seguir tanto um critério aleatório, como também uma determinação interna ou mesmo denúncias anônimas.
Quem deve se adequar à LGPD?
De acordo com o artigo 3° da lei de proteção de dados, ela “aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados“.
Porém, para que isso aconteça, é preciso que:
- o tratamento seja realizado no Brasil;
- os dados pessoais objeto do tratamento tenham sido coletados no território nacional;
- a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional.
Figuras envolvidas na proteção dos dados
A LGPD estabelece alguns dos protagonistas envolvidos na proteção de dados pessoais — ampliando o escopo para além da empresa e da pessoa física.
Vamos conhecê-los? Trouxemos a definição atual do texto do regulamento para você conferir:
Titular de dados
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
É o “dono” dos dados que a empresa coleta e tem total controle sobre o seu uso, podendo requisitá-los ou pedir sua exclusão a qualquer momento.
Controlador
Pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
É quem demanda o tratamento ou compartilhamento dos dados e responde por danos patrimoniais, coletivos, individuais e morais relativos à violações à lei de proteção de dados.
Operador
O operador é o ator que cumpre ordens, sendo contratado como terceirizado para realizar o tratamento de dados.
Conforme a lei, é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
A agência de marketing digital contratada pela sua empresa pode ser uma operadora se ela controlar seu CRM para realizar campanhas de e-mail marketing, por exemplo.
Encarregado (DPO)
Trata-se da pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
É uma função semelhante à do Data Protection Officer (DPO), que estabelece a comunicação entre os titulares dos dados e com a ANPD, de modo a prestar esclarecimentos, providências e orientações.
O encarregado pode ser um funcionário ou um prestador de serviços com vínculo contratual, mas não será responsabilizado em caso de incidentes.
A importância de se adequar à LGPD
Após entender o conceito da lei e quais os principais objetivos da LGPD, você já consegue imaginar a importância dela para sua empresa: melhorar as práticas que garantem a segurança dos dados pessoais.
As novas regras ajudam a tornar os dados da companhia mais seguros, pois há reforço da segurança no tratamento de dados.
Isso também previne vazamentos de informações estratégicas, evita ataques de cibercriminosos e ajuda a construir uma relação de confiabilidade com seus clientes.
E, claro, não custa destacar que o descumprimento das normas da LGPD gera consequências, inclusive multas milionárias, para a empresa.
Passo a passo da jornada LGPD
Para que a implementação da lei de proteção de dados seja bem-sucedida, é importante seguir alguns passos.
Listamos dicas que podem ajudar nesse momento de transição:
1. Definição de dados pessoais
A aplicação da LGPD para empresas depende de conhecer a definição de dados pessoais e outros conceitos, como a anonimização de dados.
1.1. Dado pessoal
Um dado é considerado pessoal quando possibilita a identificação, de maneira direta ou indireta, da pessoa natural por trás dele.
Neste sentido, alguns exemplos de dados pessoais são: nome, sobrenomes, documentos pessoais (como RG, CPF, passaporte, título de eleitor etc.), endereço residencial ou comercial, telefone, e-mail, endereço de IP, entre outros.
A anonimização de dados, de acordo com o regulamento, é a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.”
Por isso, se relaciona diretamente aos dados pessoais e se mostra como um dos pilares da lei.
1.2. Dado pessoal sensível
Dados pessoais sensíveis são aqueles que dizem respeito aos valores e convicções de cada um, como orientação sexual, etnia, opinião política, convicção religiosa, crenças filosóficas e informações de saúde.
O tratamento destas informações deve atender a regras ainda mais rígidas diante da maior possibilidade de uso para propósitos lesivos que apresentam.
2. Princípios da LGPD
Os princípios da LGPD estão presentes no artigo 6° do regulamento. Confira a seguir:
2.1. Finalidade
O princípio da finalidade determina que o tratamento de dados pessoais poderá ser realizado apenas quando for realmente necessário para propósitos legítimos, específicos, explícitos e informados ao titular.
Diante disso, em momento algum, será possível utilizar os dados coletados de modo divergente das finalidades pré-estabelecidas junto aos titulares.
2.2. Adequação
O princípio da adequação reforça que o processamento de informações pessoais precisa estar alinhado ao uso que foi inicialmente informado ao titular do dado.
2.3. Necessidade
O princípio da necessidade determina que deve haver a limitação do tratamento dos dados ao mínimo necessário para a realização de suas finalidades.
Sendo assim, a coleta de informações pessoais precisa ser executada de maneira delimitada, focada naquilo que é imprescindível para a finalidade estabelecida.
2.4. Livre acesso
Os titulares devem ter livre acesso para consultar, de modo simples, gratuito e integral, o tratamento de seus dados pela empresa que os coletou.
A disponibilização poderá ser realizada de forma física ou eletrônica, sempre que houver a requisição do titular.
2.5. Qualidade dos dados
O princípio da qualidade dos dados assegura que os titulares tenham as suas informações pessoais armazenadas com exatidão, clareza e que se mantenham atualizadas.
O regulamento resguarda o direito de correção de dados incompletos, inexatos ou desatualizados.
Ele também leva a empresa detentora dos dados a prestar esclarecimentos sobre as entidades públicas e privadas com as quais os compartilhou.
2.6. Transparência
Todas as informações dos titulares devem ser claras, precisas e de fácil acesso, segundo o princípio da transparência.
Eles devem saber como os seus dados pessoais serão tratados, os respectivos agentes de tratamento, por quanto tempo ficarão retidos e com quem serão compartilhadas.
2.7. Segurança
O princípio da segurança, assim como a criptografia de dados, compreende as medidas técnicas e administrativas que as empresas deverão adotar, a fim de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de perda, alteração, destruição, comunicação ou difusão.
2.8. Prevenção
O princípio da prevenção indica a necessidade de adoção de medidas para prevenir a ocorrência de danos durante o tratamento de dados pessoais.
Para tanto, as organizações devem investir em tecnologia para garantir a segurança das informações, promover o alinhamento de processos organizacionais e criar uma cultura de conscientização dos colaboradores quanto ao trato de informações pessoais de consumidores ou cidadãos.
A finalidade deste tipo de posicionamento é antecipar possíveis riscos e trabalhar para mitigá-los ao máximo.
2.9. Não discriminação
O princípio da não discriminação aborda a impossibilidade do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos.
Lembre que a lei conta com regras específicas para o processamento de dados sensíveis.
2.10. Responsabilização e prestação de contas
Por fim, temos o princípio da responsabilização e prestação de contas.
O agente que captou os dados deve comprovar a adoção de medidas eficazes para o cumprimento das normas e demonstrar que elas estão alinhadas com as diretrizes da lei.
3. Diagnóstico LGPD
Após o conhecimento sobre os princípios da LGPD, as organizações devem aprender como aplicar o regulamento. Para ajudar nesse processo, é preciso fazer o diagnóstico empresarial.
Kallyna Lopes Antunes, gerente de projetos de negócios da TOTVS Consulting, afirma que o diagnóstico é o ponto de partida para a adequação. “É quando você descobre como são os seus processos perante a lei e o que você tem que fazer para se adequar”, explica.
Etapas do diagnóstico
O diagnóstico é uma ferramenta para avaliação estruturada cuja finalidade é ajudar a identificar os pontos a serem ajustados e nortear as ações para a adequação à lei.
É o momento em que o gestor terá conhecimento sobre a situação atual da companhia no que diz respeito ao tratamento de dados pessoais.
De acordo com Kallyna, o diagnóstico é composto por três etapas. Saiba mais sobre elas adiante!
3.1. Mobilização
Na etapa da mobilização, há uma avaliação da estrutura organizacional e dos procedimentos internos. Kallyna explica que estabelecer o cumprimento da lei é um processo estratégico corporativo, que deve envolver a empresa inteira.
Por isso, ela ressalta a importância da participação de todos os colaboradores – líderes e equipes.
A criação de um comitê na companhia para encabeçar as ações e a mobilização é essencial.
3.2. Inventário de dados
A próxima etapa do diagnóstico consiste no levantamento de um inventário de dados pessoais.
Por meio de questionários aplicados entre as áreas e colaboradores durante o diagnóstico, o comitê começa a identificar como são coletadas e onde são armazenadas as informações pessoais que a companhia tem em mãos.
Quem utiliza os dados, por quanto tempo ficam retidos e em que formatos, de que forma são manipulados e qual a sua relevância para o negócio são algumas das questões respondidas nesta etapa.
Após este processo, a organização verifica se possui dados pessoais armazenados que estão obsoletos ou já não são mais relevantes para o negócio para removê-los de sua base.
3.3 Análise do inventário e plano de adequação
A última etapa do diagnóstico consiste na avaliação do inventário levantado anteriormente, com a priorização dos pontos mais sensíveis e com maior potencial de risco. É o início do caminho para chegar à adequação à LGPD.
O plano de adequação deve definir a implantação de procedimentos e controles, prazos e responsáveis, de modo que a empresa faça uma gestão de dados pessoais apropriada.
Ao seguir todas as etapas e se organizar de forma estruturada, a organização acelera o alinhamento às diretrizes da nova legislação e minimiza o risco de incidentes.
4. Direitos do titular na LGPD
A lei de proteção de dados só é adequadamente aplicada quando se tem consciência sobre os direitos do titular.
Os princípios da LGPD, como livre acesso e qualidade dos dados, geram diversos direitos para os titulares dos dados.
Os cidadãos podem adicionar novas informações, corrigir dados incorretos, revogar o consentimento e deletar dados da base de informações.
4.1. Confirmação da existência de tratamento
O usuário tem plena capacidade de pedir a confirmação de tratamento e acesso aos seus dados, desde a origem da coleta, até os critérios aplicados e a finalidade de sua utilização.
4.2. Explicação
O usuário tem liberdade para saber quais empresas públicas ou privadas, ou até mesmo órgãos do governo, terão acesso aos seus dados pessoais.
4.3. Correção
O titular pode exigir a correção de dados incompletos, errados ou desatualizados. Se o titular mudou de endereço, conta com um novo número de telefone ou atua em um novo cargo ou emprego, ele pode solicitar a mudança.
4.4. Eliminação ou revogação de consentimento
Visando sempre sua própria segurança na internet, o titular pode exigir que seus dados sejam eliminados dos arquivos das instituições que desejar.
Há ressalvas em algumas operações, como é o caso das transações bancárias que necessitam de informações com fins legais.
5. Penalidades previstas pelo descumprimento da LGPD
As sanções e penalidades da LGPD chamam bastante atenção, pois podem realmente impactar uma empresa. Por isso, é essencial adequar-se e entrar em compliance com a nova lei.
Que tal conferir as sanções válidas atualmente para violações à lei? Confira:
- Multa diária;
- Eliminação dos dados pessoais a que se refere a infração;
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento da empresa no seu último exercício, excluídos os tributos, limitada, a R$ 50.000.000,00 por infração;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
6. Dosimetria e LGPD
Em fevereiro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Regulamento de Dosimetria das Sanções Administrativas para estabelecer os parâmetros de aplicação das penalidades previstas na lei.
A chamada dosimetria da LGPD tem como objetivo garantir a proporcionalidade entre a gravidade da conduta do agente e a sanção aplicada.
De igual maneira, ela traz maior segurança jurídica à fiscalização e garante o direito ao devido processo legal e ao contraditório.
7. Consultoria alinhada à adequação
Adequar à Lei Geral de Proteção de Dados Pessoais é um processo que requer atenção, pois envolve a adoção de uma nova cultura por todos em relação à privacidade e à governança de dados.
Neste sentido, a consultoria pode atuar como um parceiro estratégico para mapear as ações necessárias e estruturar um plano de adequação à LGPD que contemple as principais dimensões organizacionais, pessoas, processos e tecnologia.
Por mais complexa que esta jornada pareça, o diagnóstico e a compreensão sobre o trânsito dos dados é de grande valia.
Com isso, é possível definir um modelo funcional e técnico para a governança de dados na organização e, a partir disso, desenvolver estratégias para a conscientização de seus colaboradores.
Para a especialista da TOTVS Consulting Juliana Pauleti, a consultoria pode atuar como um parceiro, contribuindo de forma significativa em função de seus conhecimentos prévios de mercado e também por sua isenção em relação aos processos praticados pela empresa que a contrata.
A TOTVS Consulting, por exemplo, realiza em um primeiro momento o entendimento do contexto de adequação da empresa: quais medidas/processos estão dentro do esperado, que mudanças já estão sendo implementadas e, claro, o que ainda precisa ser feito.
Deste modo, consegue elaborar um plano de transição para que a companhia se adeque às regras impostas pela lei.
Transformação cultural nas empresas
Todo processo de transformação é feito por pessoas e para pessoas, e a adequação à LGPD em empresas não é diferente. É imprescindível atentar-se à cultura organizacional.
Os colaboradores precisam tomar conhecimento da lei e saber como se comportar ante as diretrizes da lei. Mais do que isto, o regulamento deve ser inserido em todos os atributos que reforçam a cultura.
“As empresas precisam responder rapidamente à Lei Geral, que já é uma realidade. Processos, tecnologias e pessoas são pilares essenciais, e a sinergia entre eles é fundamental para a correta transição”, afirma Juliana.
Quer saber sobre o tema? Confira o Webinar sobre LGPD da TOTVS:
Conclusão
A LGPD é uma lei que está modificando os negócios, pois demanda uma atualização substancial na forma de tratar dados pessoais.
Para atender aos princípios previstos no regulamento, as empresas precisam realizar um diagnóstico completo de suas operações e criar um plano de adequação efetivo.
Caso contrário, podem ser penalizadas de diferentes formas, inclusive com multas milionárias.
Para evitar que isso aconteça, facilitar o processo de conformidade e assegurar que os processos futuros, novos produtos e tecnologias tenham a lei como “pano de fundo”, as organizações podem contar com o auxílio de uma consultoria.
Quando o assunto é LGPD, a TOTVS Consulting pode ajudar o seu negócio ao longo desta jornada!
Para saber mais sobre os serviços oferecidos pela nossa consultoria, acesse o nosso site.
Bianca Alves diz:
Adorei essa matéria, esse blog é muito interessante, parabéns. <a href="https://www.okadvogados.com.br/" rel="nofollow ugc"> Advogado Araranguá </a>
27 de abril de 2021 EM 10:00
DPO: O que é? Qual sua importância para se adequar a LGPD? - ProMove diz:
[…] o cumprimento da LGPD em matéria de proteção de dados e das políticas de proteção de dados, incluindo a atribuição de responsabilidades, a sensibilização e a formação do pessoal […]
9 de fevereiro de 2021 EM 14:41
Alan Amorim diz:
Olá, Milton. Agradeço as suas colocações, o time tem constantemente feito materiais que saem pelo https://espacolegislacao.totvs.com/ Inclusive, vamos ter uma série bem interessante através do link https://espacolegislacao.totvs.com/totvs-responde/ para tirar dúvidas. Mas obrigado, vou pedir para os especialistas atualizarem.
8 de outubro de 2020 EM 12:30
Santhiago diz:
De que forma a LGPD afeta a minha rede WIFI_GUEST?
14 de julho de 2020 EM 10:30
Alan Amorim diz:
Olá, Santiago Acredito que iremos abordar esse assunto nos nossos próximos eventos. Participe gratuitamente através do https://espacolegislacao.totvs.com/totvs-responde/ e tire suas dúvidas.
2 de outubro de 2020 EM 17:24
Milton Shunji Kojima diz:
Achei muito bem estruturado o assunto LGPD que devido à pandemia do novo Corona virus foi adiada a data de entrada em vigor. Sugiro mencionar que as empresas devem se preparar/desenvolver sistemas para disponibilizar aos titulares de dados os dossiês simplificados (imediatamente) ou dossiês completos (até 15 dias). Alem disso, na questão da multa, incluir a porcentagem de 2% do faturamento bruto anual, limitado a cinquenta milhões de reais por ocorrência.
3 de agosto de 2020 EM 19:45
CESAR FERNANDO BRAGHETTO diz:
Importante esta lei mas precisa ser levada a sério. Se usamos algo de graça como Facebook ou outra rede social somos o produto para ter nossos dados disponíveis mas tudo precisa ser protegido
19 de janeiro de 2020 EM 10:01
Alan Amorim diz:
É isso aí, Cesar. Mexer com dados pessoais é de extrema responsabilidade. A Lei é dura e deve ser cumprida. Mas devemos tomar muito cuidado com o que postamos nas redes sociais.
12 de março de 2020 EM 12:51
DANIRA diz:
Desejo me inteirar da LGPD PARA ATUAR NESSA ÁREA Grata
19 de janeiro de 2020 EM 06:37
Alan Amorim diz:
Olá, Danira! Te convido a acompanhar o blog, pois o nosso time sempre está atualizando as informações sobre essa temática. Alguns dias atrás fizemos um webinar voltado especialmente para LGPD. Nos acompanhe que vêm mais por aí.
12 de março de 2020 EM 12:48
Thiago Sousa diz:
Amei tudo isso
6 de novembro de 2019 EM 09:17
Alan Amorim diz:
Que bom, Thiago! Essa lei realmente dá mais segurança para o titular dos dados e mais responsabilidade para as empresas que tem acesso a eles. Isso evita tanta dor de cabeça :)
18 de março de 2020 EM 12:14