A regulamentação das políticas de uso de dados pessoais na Europa, Estados Unidos e  em vários outros países, objetivou estabelecer diretrizes claras em relação à privacidade e segurança dos dados. O Brasil aderiu a esta tendência internacional em 14 de agosto de 2018, após oito anos de debates e diversas redações de sua norma, juntando-se assim aos 120 países que já possuíam uma lei clara sobre este tema.

A LGPD – Lei Geral de Proteção de Dados Pessoais brasileira, apoiada na GDPR (General Data Protection Regulation) da união europeia,  estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Entende por dados pessoais qualquer informação relacionada à pessoa natural identificada ou identificável, como nome, RG, CPF, número de telefone, endereço, etc., e por tratamento de dados toda operação realizada com dados pessoais.

A norma estabelece pontos que tornam lícitos o tratamento de dados, como por exemplo, o consentimento por parte do titular e o uso para finalidades legítimas por parte da empresa. Além disso, estabelece princípios para observância das organizações com o  da necessidade e transparência em relatar para que os dados serão utilizados. Este princípio da necessidade diz respeito ao fato de muitas empresas terem a cultura de acumular dados mesmo antes de saberem para que os utilizarão. A LGPD limita as informações coletadas ao mínimo necessário às finalidades da empresa.

Neste processo, assumem responsabilidades claras e passíveis de sanções os intitulados Controladores – pessoas naturais ou jurídicas as quais competem as decisões sobre o tratamento dos dados, os Processadores que realizam o tratamento dos dados e os Encarregados que são indicados pelos controladores e fazem a comunicação entre os titulares que terão seus dados processados e os controladores.

As penalidades previstas na LGPD pela não observância da norma, variam conforme o incidente:

  • uma advertência simples que visa unicamente a educação da empresa;
  • multas que podem atingir até 50 milhões de reais ou 2% do faturamento da companhia, o que for maior; 
  • multas diárias para impedir que o uso dos dados continue ou
  • a interrupção de todas as atividades que utilizam as informações pessoais.
Diante disso, e bem antes do início da vigência da lei,  é importante estabelecer um plano de ação para atender aos requisitos mínimos de conformidade.

Vigência

Após idas e vindas entre Senado, Câmara e Governo Federal, a última posição a respeito, definida pela Medida Provisória (MP 959/20) criada pelo atual presidente, estabelece a data de 03 de maio de 2021 para entrada em vigor da norma. Porém, como o próprio nome diz, a medida é provisória, ou seja, precisa ser validade pelo Congresso Nacional até meados de agosto de 2020. Caso não seja aprovada a MP, o prazo de vigência da LGPD volta a ser agosto de 2020.

Impactos para as Empresas

Dados de clientes são fontes de informações importantes para as atuais estratégias das empresas, geram insights, mostram tendências e potencializam oportunidades de negócios. A dependência destas informações faz com que as empresas precisem priorizar os cuidados exigidos pela nova lei dentro de um planejamento criterioso. O ponto fundamental da norma é garantir o consentimento e a privacidade das informações, qualquer problema relacionado a isso pode impedir o uso dos dados e, portanto, impactar na visão dos negócios e seus resultados.

O princípio do consentimento obriga as empresas a repensar suas interações com os clientes, pois o simples pedido de autorização de acesso pode gerar abandono. O legítimo interesse será o ponto de mudança para o aceite. O consentimento implícito não será mais válido.

O cliente, que ganhou maior controle sobre o uso de seus dados, tem direito ao acesso e remoção de suas informações e as empresas têm prazo limite de 15 dias para retorno, devem comprovar o cumprimento da solicitação e também emitir relatórios de Impacto de Proteção de Dados.

É importante por isso, ter os dados armazenados em plataforma que facilite a alteração, atualização ou exclusão dos dados . Além de ser capaz de hospedar o registro do consentimento de cada usuário.

Portanto, para preparar-se estruturalmente para este novo momento que a norma impõem, é necessário mapear todos os dados pessoais tratados pela empresa visando otimizar os processos e utilizar o menor número possível de dados para a finalidade que se pretende atingir, adequando-se assim a legislação e não correndo riscos.

  • Realizar o mapeamento das suas atividades analisando as necessidades legítimas, a natureza dos dados trabalhados em suas operações e os possíveis pontos críticos no que tange ao tratamento dos dados pessoais;
  • Avaliar a plataforma de armazenamento das informações. Duplicar informações entre diferentes sistemas pode gerar risco de vazamento. Se houver qualquer tipo de violação, ou exposição, o usuário deverá ser informado em até 72 horas ou a empresa será multada;
  • Verificar se os dados possuem autorização das pessoas físicas para seu uso. Esta etapa fará com que revise todo o cadastro de seus clientes, consumidores, colaboradores, etc.. Sem requisitos claros e rastreáveis do consentimento os dados precisarão ser eliminados;
  • Implementar gerenciamento inteligente que garanta acesso a disponibilidade desses dados a qualquer momento;
  • Verificar as tecnologias para criptografia de dados pessoais, filtro de conteúdo de e-mail, auditoria de dados, DLP (Data Loss Prevention), etc.. As ferramentas utilizadas precisam garantir que o processamento dos dados seja feito de forma segura e com respeito a privacidade do indivíduo;
  • Reavaliar contratos fazendo uma gestão mais transparente junto aos colaboradores, terceiros e parceiros comerciais sobre o uso dos dados.

A LGPD prevê também, a criação de um comitê de segurança nas empresas com um profissional especializado em privacidade e em adotar políticas de proteção dados.

Um pouco diferente do que muitos pensam, o foco da LGPD não é restringir ou cercear a coleta de dados. Por exemplo, se o usuário compra na internet seus dados ficarão armazenados, é inevitável. Desde que a empresa assegure o sigilo destes, não há problema nenhum no procedimento. O ponto imprescindível é a transparência do uso dos dados que não poderá ser desviado. Um bom projeto de dados é fundamental, definindo o que se irá coletar, como se irá usar e por quanto tempo, este é o foco da lei. 

Não parece simples, mas se bem planejado é! E o mercado já possui ferramentas e profissionais preparados que podem auxiliar sua empresa a entender em que posição ela está e quais passos devem ser dados no curto e médio prazo para atender a norma. Não perca tempo!

 

Assuntos Relacionados