0800 161 0003

Lei Geral de Proteção de Dados

Lei Geral de Proteção de Dados: tudo o que você precisa saber.

Entrou em vigor em setembro de 2020 a Lei Geral de Proteção de Dados, também chamada pela sigla LGPD. A Lei 13.709/2018 discorre sobre normas específicas para o armazenamento, tratamento e até mesmo a coleta de dados.

De maneira geral, tudo o que uma pessoa faz, principalmente na internet, gera dados e informações. Alguns exemplos são a sua associação junto à Mútua, solicitação de benefícios online e até mesmo outras atividades fora da internet mas que deixam rastros no ambiente virtual. Assim, a LGPD determina os limites de uso desses dados.

Além disso, a LGPD define hipóteses para a coleta, enfatizando os direitos dos titulares ou donos de quem gerou tais informações. De forma prática, não se pode mais coletar dados deliberadamente nem utilizá-los sem que os usuários ou clientes tenham conhecimento ou tenham autorizado sua coleta e uso. Empresas e entidades devem, então, seguir condições para utilizá-los ou podem sofrer com penalidades caso violem os direitos dos cidadãos. A legislação já estar em vigor e a Mútua se adequa às regras. Você já pode encontrar, por exemplo, um aviso de consentimento de uso de cookies ao entrar no site da Mútua.

Para entender a LGPD:

A Lei Geral de Proteção de Dados (clique aqui e leia a Lei) é um dispositivo jurídico que tem o objetivo de oferecer mais segurança aos cidadãos quanto às informações pessoais coletadas por empresas, órgãos públicos e ONGs. Ela se refere à transparência com todas as informações que possam identificar as pessoas:

  • Nome;
  • Documento;
  • Perfis em redes sociais;
  • Endereços eletrônicos;
  • IP do computador ou smartphone;
  • Preferências diversas;
  • Localização;
  • Gastos;
  • Cookies de navegação;
  • Hábitos de consumo;
  • Dados sensíveis.

Esses tipos de informações pessoais são coletados, tratados e armazenados das mais diversas formas. Muitas vezes os dados são cruzados e podem servir para direcionamento de publicidade, lançamento de produtos e serviços, envio de comunicações diversas e até mesmo criação de promoções personalizadas e elaboração de políticas públicas. Por isso, todos os setores da economia precisam se adequar.

A questão central é o consentimento do usuário para o fornecimento e armazenamento de informações. Bem como, para ser abordado pelas entidades e receber suas comunicações. Ainda assim, a autorização precisa ser clara, deve ter uma finalidade específica e não vale para outros objetivos. Ou seja, deve estar explícito para o usuário para que serão utilizados seus dados.

A Lei Geral de Proteção de Dados foi criada porque existe o risco de que informações pessoais sejam utilizadas para prejudicar as pessoas. Isso porque os dados são insumos de grande importância na conjuntura econômica atual e a tendência é de que isso aumente.

Além disso, existem empresas especializadas em compra e venda de informações pessoais — o que pode ser muito arriscado para a segurança de todos nós.

Dados sensíveis

São considerados como sensíveis dados referentes à:

  • Orientação sexual;
  • Religião;
  • Condições de saúde;
  • Origem racial ou étnica;
  • Posicionamentos políticos.

Com relação a esses dados, a Lei é mais rígida e oferece maior proteção para evitar qualquer possibilidade de discriminação.

Além de ser aplicada a Lei, os cidadãos também estarão mais atentos sobre como seus dados serão utilizados e se as empresas a estão seguindo. Ainda, estarão mais vigilantes quanto a abusos, violações de seus direitos, a termos de serviço e cadastros, e também às suas próprias ações para proteger suas informações pessoais. Dessa forma, terão mais controle a respeito de si mesmos e sua privacidade.

Em casos de saúde pública, segurança, defesa nacional e investigações, o Estado está permitido a utilizar dados sem o consentimento das pessoas. Esta é uma das únicas exceções da Lei Geral de Proteção de Dados, junto a coletas de informações jornalísticas e acadêmicas. Para estes casos será aplicada uma regulamentação específica.

ANPD

O órgão responsável por fiscalizar o cumprimento da LGPD é a Autoridade Nacional de Proteção de Dados (ANPD). Entre suas competências estão:

  • Elaborar a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  • Fiscalizar e aplicar punições em caso de desrespeito à legislação;
  • Garantir a proteção de dados pessoais;
  • Cuidar para que sejam mantidos segredos comerciais e industriais, garantindo o sigilo.

O órgão ainda tem o papel de detalhar a regulamentação da LGPD entre diversos setores. Isso porque, além de lidarem com os dados de formas diferentes, podem existir situações contraditórias perante a legislação, já que ela é bastante ampla.

Além disso, a ANPD deve estar à disposição das empresas para orientá-las em problemas técnicos de proteção dos dados, como por exemplo, em casos de vazamento. A empresa não só deverá resolver o problemas como também notificar a ANPD e os usuários envolvidos.

Qual a importância da LGPD?

Não existem dúvidas de que a LGPD proporciona maior autonomia para os usuários quanto à permissão de uso de seus dados. Ademais, oferece maior proteção com relação às informações pessoais.

Essa característica se deve ao fato de que um usuário pode questionar de uma organização:

  • Quais dados ela possui;
  • O que está sendo feito com o material coletado;
  • Como funciona a coleta;
  • Qual a finalidade desta coleta;
  • Com quem as informações serão compartilhadas;
  • Duração do uso destes dados;
  • Identificação do controlador (empresa que recolhe os dados);
  • Responsabilidade da empresa no tratamento dos dados;
  • Correção ou exclusão de dados.

Em contrapartida, se a finalidade para o uso de dados mudar, o titular das informações precisa ser avisado para consentir o novo uso ou revogá-lo e até solicitar eliminação.

Com relação a dados de crianças e pessoas menores de 18 anos, haverá uma norma específica, porém, é necessário o consentimento de um dos responsáveis.

Lei Geral de Proteção de Dados nas empresas

Além de pedir consentimento para utilizar informações e estar atentas às solicitações de esclarecimentos de usuários, as empresas também precisam manter um registro sobre o tratamento dos dados, elaborado pelo controlador.

Chamado de Relatório de Impacto de Proteção de Dados, ele deve mostrar o prazo de tratamento das informações e indicar como o uso foi autorizado. Isso porque não valerá apenas um botão de aceite ou um e-mail solicitando consentimento, pois isto não garante que o usuário leu e está de acordo.

O motivo da coleta de dados deve estar claro e as fontes para a confirmação do conhecimento do usuário devem ser seguras para contar no relatório. Ademais, a empresa tem um prazo de 15 dias para atender solicitações dos titulares das informações. Dessa forma, precisa ter estes dados organizados e acessíveis.  

Obrigações das empresas

As sanções e penalidades podem chegar a multas no valor de 2% do faturamento anual e trazer grandes prejuízos para as empresas, pois podem alcançar até R$ 50 milhões.

Neste sentido, a segurança da informação será um requisito de impacto para evitar riscos e implementar boas práticas e governança. Ela será essencial para evitar incidentes como vazamentos de dados.

Porém, se uma complicação como esta ocorrer, a ANPD deve ser notificada, bem como os titulares afetados. Se for comprovada negligência do controlador com danos ao titular de uma informação por conta de um mau tratamento da informação, este controlador será o responsável e deverá fazer a compensação.

Após notificada, a ANPD irá orientar sobre as medidas de proteção a serem tomadas. Assim, o órgão também decidirá se a empresa agiu corretamente para solucionar o problema. Caso o usuário se sinta lesado, poderá tomar outras medidas na justiça ou em órgãos de defesa do consumidor.

O valor da multa para a empresa, caso aplicada, será destinado ao Fundo de Defesa de Direitos Difusos (FDD). Esta estrutura do Ministério da Justiça apoia projetos que tenham o objetivo de reparar danos ao consumidor, meio ambiente, patrimônio e outros.

Da mesma forma que as empresas privadas não podem compartilhar os dados de seus consumidores ou usuários com outras entidades, os órgãos públicos também estão proibidos de repassar dados de cidadãos para empresas. A exceção é se as informações já estiverem acessíveis publicamente.

Com relação a empresas públicas, as obrigações são as mesmas de entidades privadas.

Inspiração em legislação europeia

A Lei Geral de Proteção de Dados brasileira foi inspirada pela GDPR europeia, a General Data Protection Regulation. O dispositivo jurídico foi aprovado em 2016 e entrou em vigor na União Europeia em maio de 2018.  O prazo de dois anos foi para que as empresas se adequassem às novas normas.

Até então esta era a manifestação mais incisiva para a proteção de dados, a fim de evitar problemas de privacidade e escândalos como os da Cambridge Analytica. A perspectiva é de reforçar a proteção e punir severamente as empresas que violarem os direitos dos usuários, com o propósito de evitar outros casos como este.

Os impactos no Brasil até a criação da LGPD foram no sentido de adequação no armazenamento de informações. Isso pois, apesar de estar longe da Europa, diversas empresas brasileiras, principalmente multinacionais, possuíam dados de cidadãos europeus. Assim como empresas europeias atuantes no Brasil precisaram se adequar.

O objetivo da GDPR é o mesmo que vemos na lei brasileira: oferecer aos usuários controle de suas informações, possibilitando aceitar ou não as coletas e armazenamentos.

Como as empresas podem se adequar à LGPD?

Algumas ações que já foram colocadas em prática se referem às janelas que pedem um aceite para coletar cookies de navegação. Ou seja, arquivos dos sites para o computador ou dispositivo que os estão acessando.

Estes cookies ficam armazenados na máquina e oferecem informações à empresa sobre o comportamento do usuário. Agora, os visitantes precisam aceitar a instalação destes arquivos. Os envios de comunicações, como e-mail marketing, também mudaram.

Além da necessidade de estabelecer um profissional para elaborar o Relatório de Impacto de Proteção de Dados, existem outras ações fundamentais para que as empresas se adequem à Lei Geral de Proteção de Dados:

Nomear um Encarregado de Proteção de Dados

Também chamado de DPO (Data Protection Officer), o encarregado de proteção de dados é quem faz a mediação entre a empresa (controlador) e o dono ou titular dos dados.

Entre suas atribuições, segundo a legislação, estão:

  • Receber reclamações e solicitações dos titulares dos dados;
  • Prestar esclarecimentos quando solicitados;
  • Adotar providências quando necessárias;
  • Receber comunicações da ANPD;
  • Tomar providências com relação a pedidos da ANPD;
  • Orientar colaboradores sobre a proteção de dados pessoais;
  • Monitorar o que é feito com as informações.

Disseminar a cultura de proteção de dados na empresa

Além de executar ações e implantar medidas para proteger os dados de clientes, usuários e consumidores, as empresas precisam ter a privacidade como padrão. O objetivo de implantar uma cultura de proteção de dados é alinhar os objetivos da empresa com as práticas do dia a dia, e isso só pode ser feito com a adesão dos colaboradores.

Um dos papéis do DPO é justamente orientar os times para boas práticas. Dessa forma, esse profissional pode ser um aliado nesta hora.

Para que todas estas mudanças sejam possíveis e aconteçam da forma mais correta para deixar sua empresa adequada à LGPD, é necessário ter uma gestão eficiente de dados.