lei geral de proteção de dados

Lei Geral de Proteção de Dados – LGPD

O que muda com a Lei Geral de Proteção de Dados no Brasil? De que forma as empresas  precisam se preparar para lidar com ela?

A LGPD, como também é conhecida, foi sancionada em agosto de 2018 e deve entrar em vigor em 2020.

Conforme o próprio nome sugere, essa lei traz algumas regras para disciplinar a coleta, o armazenamento, o tratamento e o compartilhamento de dados pessoais, impondo níveis mais elevados de proteção à privacidade.

A criação da LGPD segue uma tendência internacional e é claramente inspirada na GDPR, a lei de proteção de dados criada pela União Europeia, em vigor desde 2018.

Este artigo traz alguns esclarecimentos sobre a LGPD e quais serão os seus impactos.

LGPD: principais conceitos

Antes de mais nada, para entendermos a LGPD, precisamos considerar alguns conceitos, como:

  • Dados pessoais: referem-se a quaisquer informações relacionadas a um indivíduo em específico;
  • Tratamento de dados: refere-se a qualquer operação que envolva dados pessoais (coleta, acesso, uso,  classificação, processamento, armazenamento, exclusão, reprodução, etc.);
  • Bases legais para o tratamento dos dados: conjunto de hipóteses (nove ao todo) que legitimam o tratamento de dados. Entre as principais hipóteses, destacam-se o consentimento do titular e o legítimo interesse do controlador;
  • Titular: é a pessoa física, “dona” dos dados;
  • Controlador: empresa (ou pessoa física) responsável pela coleta de dados pessoais e pela definição da finalidade e do tempo de armazenamento previsto;
  • Operador: empresa (ou pessoa física) que faz o tratamento dos dados por solicitação do controlador;
  • Encarregado: pessoa física designada pelo controlador para atuar como interlocutor entre as partes envolvidas (controlador, titulares e autoridade nacional).

Os dez princípios da LGPD

De acordo com a LGPD, dez princípios caracterizam a privacidade dos dados pessoais. São eles:

  • Finalidade: o tratamento dos dados deve ter um propósito legítimo, específico e explícito, que deve ser informado ao titular. Não se admite qualquer tratamento fora dessa finalidade.
  • Adequação: deve haver uma compatibilidade entre o tratamento dos dados e a finalidade informada ao titular.
  • Necessidade: o tratamento dos dados deve se limitar à realização da finalidade proposta.
  • Livre acesso: o titular deve ter a garantia de uma consulta fácil e gratuita à forma e à duração do tratamento dos dados.
  • Qualidade dos dados: o titular deve receber a garantia da exatidão, clareza, relevância e atualização dos seus dados.
  • Transparência: o titular deve ter fácil acesso a informações claras e precisas sobre o tratamento dos dados.
  • Segurança: refere-se à proteção dos dados pessoais contra acessos não autorizados e contra situações acidentais ou ilícitas.
  • Prevenção: refere-se a medidas contra danos no tratamento de dados pessoais.
  • Não discriminação: refere-se à não realização do tratamento para fins ilícitos ou abusivos.
  • Responsabilização e prestação de contas: refere-se à demonstração do cumprimento das normas de proteção de dados pessoais.

As obrigações da empresa ao tratar dados pessoais

Assim como acontece com a GDPR em relação aos residentes nos países da União Europeia, a abrangência da LGPD diz respeito a todos os titulares residentes no Brasil.

Portanto, mesmo que uma empresa seja de outro país, ao coletar dados de titulares residentes no Brasil, ela estará sujeita às determinações da LGPD.

Entre as obrigações estabelecidas pela Lei Geral de Proteção aos Dados, encontram-se, por exemplo, as seguintes:

  • Sempre que um titular solicitar informações sobre seus dados pessoais, o controlador tem até 15 dias para atendê-lo;
  • A qualquer momento, o titular poderá solicitar a retificação ou a remoção de seus dados do cadastro;
  • O titular pode também exercer o direito de portabilidade de seus dados, transferindo-os de um controlador para outro;
  • Um Relatório de Impacto de Proteção de Dados deverá ser emitido pelo controlador, para atestar o cumprimento das determinações  da lei quanto à coleta, ao uso, ao armazenamento e ao processamento dos dados.

Sobre o descumprimento da lei

O descumprimento da lei pode levar a empresa a uma proibição, parcial ou total, da prática do tratamento de dados.

Por outro lado, a não conformidade com a lei também pode implicar em sanções à empresa, nesse caso, através da cobrança de multas.

O valor estipulado da multa para cada infração cometida pode chegar a 2% do faturamento da empresa ou do conglomerado, limitado a R$ 50 milhões.

Assim, caso haja vários titulares prejudicados, por exemplo, teremos uma infração cometida para cada usuário, multiplicando o valor da multa proporcionalmente.

Além disso, pode também ser estipulada a aplicação de multas para cada dia de infração cometida e não reparada.

Porém, há pontos da lei que podem gerar interpretações ambíguas, criando um impasse sobre a existência ou não de infrações. Em princípio, caberá à Justiça solucionar esses casos, já que a criação de uma agência nacional de proteção de dados foi vetada.

De que forma a Lei Geral de Proteção de Dados afeta as empresas

A princípio, o período de 18 meses entre a sanção e a entrada em vigor da lei foi estabelecido como prazo para que as empresas façam as adequações necessárias em seus processos e softwares.

Assim, as empresas precisam dar andamento às adequações e entre os setores internos mais impactados certamente estão os de desenvolvimento de software e de segurança da informação.

Com efeito, a adequação à lei implica em:

  • Fazer um levantamento da situação atual em relação ao tratamento que a empresa dá aos dados pessoais de seus clientes;
  • Identificar os pontos em que esse tratamento está inadequado em relação à nova legislação;
  • Definir e desenvolver as soluções cabíveis;
  • Oferecer treinamento a todas as pessoas diretamente impactadas pela mudança de tratamento.

Conclusão

Inegavelmente, com a entrada em vigor da LGPD, as empresas precisarão adotar novas posturas em relação à maneira como lidam com as informações de seus clientes.

Por exemplo, o conceito de portabilidade de dados pessoais deve ampliar ainda mais a percepção de valor da informação disponível.

Enfim, cada vez mais se justifica a definição de que vivemos a Era da Informação.

Sua empresa está na corrida contra o tempo para se adequar à LGPD? Já tem uma definição sobre as mudanças necessárias? Não?

Procure um especialista Dunamys e peça uma avaliação. Ou converse conosco no Chat Online abaixo à direita

Se preferir, clique e escolha como falar conosco.

Contato

Compartilhe