Sancionada em agosto de 2018 como Lei 13.709, a Lei Geral de Proteção de Dados (LGPD) começou a valer na prática em agosto de 2020, e desde lá é obrigatório que todas as empresas estejam adequadas ao que ela exige em relação à coleta e ao trabalho envolvendo informações de pessoas físicas.
Essa legislação prevê critérios para a coleta de dados e para outras atividades que os envolvem, o tratamento. Tudo para garantir boas práticas nesse ambiente e privacidade e segurança a quem disponibiliza as informações pessoais.
Veja agora tudo o que você precisa saber sobre a lei para evitar penalizações aplicadas pelo órgão fiscalizador.
Termos da LGPD e o que significam
Para entender a Lei Geral de Proteção de Dados é necessário primeiramente saber o que significam os termos utilizados ao longo do texto legal, e que precisaremos utilizar também neste texto, enquanto esmiuçamos a legislação.
Os principais termos e seus significados são os seguintes:
- dado pessoal: informação útil para identificar uma pessoa e que permita contatá-la;
- dado pessoal sensível: informação que por referir-se a valores e convicções pode gerar discriminação contra uma pessoa, como raça, orientação sexual ou religião;
- titular de dados: pessoa física à qual uma informação, ou um conjunto delas, se refere;
- tratamento de dados: toda ação que envolve interação da empresa com a informação, como coleta, classificação, análise e armazenamento;
- controlador: pessoa física ou jurídica que detém os dados e toma as decisões a respeito do tratamento deles;
- operador: quem realiza o tratamento em nome do controlador (setores, profissionais e eventualmente empresas terceirizadas que fazem o trabalho);
- encarregado: profissional que representa o controlador, instrui e monitora o operador e se comunica com a autoridade fiscalizadora quando necessário;
- processos de tratamento: os mais comuns são coleta, recepção, produção, armazenamento, compartilhamento, classificação, processamento, modificação e exclusão;
- consentimento: é o aval do titular, de maneira clara e por livre iniciativa, para que os dados sejam tratados visando os objetivos informados para o tratamento;
- finalidade: objetivo do tratamento dos dados, que não pode ser alterado sem que o titular seja notificado e dê novo consentimento;
- adequação e necessidade: ajuste dos processos de tratamento para atingir as finalidades, atentando ao mínimo tratamento possível e necessário às metas.
Cuidados que a startup precisa tomar
De acordo com a LGPD, as empresas devem seguir critérios para todas as fases de interação com as informações trabalhadas — da coleta à possível exclusão, passando pelo tratamento feito durante o porte dos dados.
Para a coleta, o controlador deve respeitar a vontade dos titulares dos dados e deixá-los conscientes da finalidade do tratamento como um todo, que tem de ser feita mediante autorização dos mesmos e na condição de que saibam os motivos pelos quais seus dados estão sendo solicitados.
Conforme as diretrizes acima, a empresa apenas deve tratar os dados para atingir os objetivos declarados aos titulares das informações. E a Lei Geral de Proteção de Dados exige ainda que o mínimo tratamento útil ao alcance das finalidades seja feito, evitando ações desnecessárias e manipulação excessiva dos dados gerados.
A exclusão pode ocorrer por decisão dos próprios titulares, que se solicitarem a remoção das informações da base de dados devem ser obrigatoriamente atendidos. Por exemplo, um titular pode revogar o consentimento dado anteriormente na coleta, não mais concordando com o tratamento das informações para as finalidades que a startup tem.
Os titulares, como donos das informações e detentores dos direitos delas, podem ainda intervir no tratamento de outras formas ou acompanhá-lo, como:
- solicitando consulta aos dados tratados;
- corrigindo informações;
- atualizando dados;
- requerendo esclarecimentos sobre o possível compartilhamento desses dados com outros controladores.
Por exemplo, uma startup que realiza uma ação de comarketing com outra empresa pode coletar dados de clientes potenciais e compartilhá-los com a sua parceira da ação, deixando isso claro em landing pages, anúncios e demais recursos utilizados. Depois, um titular que converteu em alguma ação da campanha pode solicitar esclarecimento sobre esse compartilhamento das informações, assim como revogar o consentimento dado à startup, à sua parceira ou a ambas.
Em relação ao armazenamento, o controlador deve prover mecanismos de segurança para garantir que não ocorra vazamento de informações ou acesso indevido a elas. Em caso de incidências nesse sentido, como um ataque bem sucedido de hackers ao banco de dados, a Agência Nacional de Proteção de Dados (ANPD) deve ser prontamente notificada.
Também é obrigação da empresa manter registro dos processos realizados no tratamento das informações para controle e segurança das ações. Em paralelo a isso, o controlador tem de orientar os funcionários envolvidos no tratamento em relação a boas práticas de segurança de dados.
Adiante, abordaremos a adequação à lei mostrando como fazer na prática o que acabamos.
Política de privacidade no site
Os sites contam com cookies, mecanismos utilizados para identificar visitantes e armazenar informações de suas visitas. Inclusive, alguns deles são obrigatórios para o funcionamento de páginas.
Logo, os usuários precisam consentir com o uso desses cookies e outras possíveis tecnologias semelhantes com as quais o site do negócio trabalha. Então, o acesso ao site deve contar com mecanismo de aceitação, ou recusa, de cookies e scripts de identificação e tratamento de informações dos visitantes. E a página da política de privacidade tem de estar linkada ao aviso.
O documento de política de privacidade deve listar todos os cookies e scripts utilizados nas páginas e a finalidades deles, além de detalhes sobre o possibilidade de comunicação dos titulares com a empresa e acerca do tratamento.
Segurança de dados de profissionais e clientes
Clientes pessoas físicas, ou pessoas que representam clientes pessoas jurídicas, funcionários e leads têm diversos dados em posse da empresa. Com a LGPD, existe mais um motivo para se preocupar com a segurança dessas informações e evitar vazamentos em ataques e acessos de pessoas não autorizadas a tratá-los.
A empresa deve dar prioridade ao uso de softwares e nuvens de dados com controle de usuários, pois as informações correm mais risco de serem violadas se forem armazenadas em pastas de computadores. Vale ainda dar preferência à automação dos processos que envolvem dados, pois isso facilita a padronização do trabalho e a conformidade em relação à exigência do mínimo tratamento necessário para atingir as finalidades da coleta.
Punições previstas na LGPD
Qualquer descumprimento à lei, como má prática no tratamento de dados ou não atendimento às solicitações de titulares, está sujeito a estas penalidades:
- advertência acompanhada de indicação de prazo para tomada de medidas corretivas;
- multa simples de 2% do faturamento do ano anterior, limitada a R$ 50 milhões;
- multa diária, respeitando o critério e o limite anteriores;
- bloqueio dos dados aos quais a infração se refere até correção dos problemas constatados;
- eliminação dos dados envolvidos na infração.
É a ANPD o órgão responsável por fiscalizar o cumprimento da lei e, quando necessário, aplicar as penalidades descritas. Para isso, ela observa critérios como:
- gravidade da infração e direitos pessoais desrespeitados,
- vantagem conseguida ou pretendida na infração;
- reincidência;
- cooperação do infrator após constatadas as suas práticas;
- proporcionalidade entre gravidade da infração e intensidade da pena;
- ações e políticas adotadas para minimização de riscos e danos e garantia da conformidade após as sanções recebidas.
Responsável pela conformidade
O diretor de proteção de dados — Data Protection Officer (DPO) — é o responsável por manter o negócio em conformidade com a legislação, tendo como principais atribuições:
- instruir os profissionais que tratam os dados sobre as diretrizes da LGPD;
- desenvolver a política de privacidade da empresa;
- monitorar a manutenção da conformidade à legislação;
- responder à autoridade fiscalizadora.
Dentro dos termos da Lei Geral de Proteção de Dados vistos no início do texto, o DPO é o encarregado.
É normal que em empresas pequenas e com equipes enxutas se tenha a figura do DPO na pessoa de um dos sócios, até pela complexidade dos processos e pelo volume de dados tratados não justificarem a manutenção de um setor e de um gestor somente para esse trabalho.
Por outro lado, negócios maiores e que lidam com larga escala de informações, espalhados por muitos processos, setores e canais, precisam desse diretor dedicado ao compliance. Isso porque em cenários maiores e mais complicados é fácil que algo saia do controle ou não seja feito da maneira correta sem o monitoramento de políticas e do trabalho diário.
Adequação à LGPD: passo a passo
Análise do ambiente
O primeiro passo deve ser entender como funciona o ambiente e os componentes envolvidos. É o momento de buscar respostas para as seguintes perguntas:
- quais são os titulares com os quais a empresa se relaciona?
- quais dados dos diferentes tipos de titulares são tratados e com quais finalidades?
- quais processos de tratamento são executados?
- onde e como é feito o armazenamento?
- qual é a infraestrutura de segurança utilizada para proteger as informações portadas?
- quem se responsabiliza pela proteção dos dados e, se necessário, responde ao órgão fiscalizador?
A listagem dessas respostas esclarece de onde o negócio tem de partir para se adequar à Lei Geral de Proteção de Dados e quais providências deve tomar, como mudança de procedimentos e contratação de tecnologias.
Estruturação e implementação
A organização dos componentes e a definição de processos, canais, ferramentas e outros itens é o necessário para estruturar um ambiente adequado à LGPD. O responsável deve utilizar as respostas obtidas anteriormente e os mapeamentos feitos para tomar decisões necessárias à estruturação, como:
- dados que serão coletados e tratados;
- processos mantidos para o tratamento;
- bancos de dados e tecnologias que o negócio usará;
- responsável pelo compliance, ou pessoa contratada para ser DPO;
- forma de controle de acessos a dados e recursos de segurança que serão aplicados;
- redação da política de privacidade para páginas na internet;
- instrução dos profissionais para lidarem corretamente com informações.
Com essas e outras decisões tomadas, é hora de colocar tudo em prática: linkar a política de privacidade nas páginas, contratar e configurar ferramentas, criar usuários nas tecnologias, definir permissões e assim por diante.
Contratar assessoria jurídica especializada em LGPD e/ou assessoria em TI para conformidade junto à lei pode facilitar o trabalho e tende a dar mais segurança para seu resultado.
Revisão e documentação
Para evitar problemas, é ideal que processos e ferramentas sejam revisados antes que se dê o trabalho por encerrado. Algumas verificações importantes são:
- se ferramentas seguem com login automático dos usuários após fechamento delas;
- se o documento da política de privacidade das páginas é aberto após solicitação do usuário;
- se os níveis de acesso configurados em tecnologias estão funcionando como esperado;
- se as marcações em páginas para aceitar cookies e scripts ou recusá-los estão funcionando;
- se os recursos de segurança são ativados após uma simulação de ameaça aos dados.
Tudo está em ordem e o ambiente está todo preparado para seguir com as rotinas? Então, deve-se documentar o que foi feito para finalizar a adequação, pois a Lei Geral de Proteção de Dados requer a criação de um documento chamado Relatório de Impacto à Proteção de Dados Pessoais, que pode ser solicitado pela ANPD mesmo sem um incidente que envolva a empresa.
Esse documento é um relatório com a descrição de pontos como:
- as tecnologias utilizadas para o tratamento;
- as atividades de tratamento e o fluxo de processamento das informações;
- os recursos de segurança implementados e demais ações que visam privacidade e segurança da informação;
- o que está previsto em caso de vazamento ou roubo de dados para resolução do problema ou mitigação de riscos;
- pessoa responsável (DPO);
- canal de comunicação entre empresa e usuários para especificamente falarem sobre tratamento de dados;
- finalidades de tratamento.
Contenção de danos
Se houver qualquer incidente que coloque em risco a privacidade dos titulares, o que deve ser primeira e imediatamente feito é o acionamento dos recursos de segurança e das práticas internas previstas para o caso, como encerramento de todo tipo de navegação e backup. Isso porque a rapidez de ação pode minimizar os danos ou prevenir totalmente o ambiente contra eles.
Depois de tomadas as atitudes urgentes, a ANPD tem de ser avisada do incidente com detalhes das informações que foram violadas e de como a empresa agiu. Conforme a autoridade for acompanhando o caso e se comunicando com o negócio, o responsável tem de responder aos questionamentos e ajudar a ANPD quando possível.
E na sua startup, como está preparado o ambiente para atender à Lei Geral de Proteção de Dados? Se ainda tem alguma dúvida ou quer comentar sobre, utilize o espaço abaixo.