Privacidade de dados: tudo que sua empresa precisa saber sobre a LGPD

Tudo que sua empresa precisa saber sobre a LGPD

No dia 28 de janeiro comemoramos o Dia Internacional da Privacidade de Dados. E, apesar de ter sido criada lá em 2006, pelo Conselho da Europa, a fim de conscientizar o público sobre a importância da proteção das informações pessoais, o assunto nunca esteve tão em alta.

Por que? Bom, você já parou para pensar em como as coisas mais simples do dia a dia envolvem o compartilhamento de dados? E isso vai desde o login nas redes sociais até uma compra no cartão de crédito.

São situações onde o consumidor confia às empresas seus dados pessoais. Entregam o CPF, o número do cartão de crédito, senhas, endereço, email, telefones… a lista não tem fim. Mas raramente as pessoas param para pensar no que acontece depois que aquela compra é finalizada ou a página do Facebook é fechada.

Por exemplo: vamos supor que um usuário se cadastra em uma página num dia e, de repente, passa receber anúncios online de outras marcas, as quais ele nunca viu, quem dirá compartilhou seus dados com elas.

Será que aquele site, para o qual ele deu suas informações em primeiro lugar, não faz cookie pool – uma prática de compartilhamento de base que fere os direitos de privacidade dos consumidores?

Pois então. A verdade é que, até 2018, o Brasil ainda não contava com uma legislação que garantisse os direitos de privacidade de dados dos seus consumidores. Mas isso mudou com a aprovação da Lei Geral de Proteção de Dados (LGPD).

Baseada na General Data Protection Regulation (GDPR) – regulamentação da União Européia com o mesmo fim, que entrou em vigor em maio de 2018 – a lei, sancionada em agosto do referido ano, aparece para proteger os cidadãos brasileiros da exposição de dados pessoais e para inibir o uso indevido e sem autorização dessas informações.

E o que sua empresa tem a ver com isso?

Bem, se seu negócio lida com dados pessoais dos consumidores, é certo que a nova legislação irá impactar na sua operação. Especialmente porque a ela prevê altas penalidades para quem não estiver de acordo com seus princípios e boas práticas. Ou seja, qualquer erro pode sair muito caro para o sua empresa.

Mas, calma! Antes de se desesperar e acionar seu advogado, que tal entender melhor o que propõe a nova lei?

Nós explicamos os aspectos mais importantes e, mesmo sabendo que não dá para esgotar o tema em um só post (são cerca de 60 páginas de legislação), dá para ter uma boa ideia de como a regulamentação vai mudar a rotina do seu negócio e os pontos de atenção para sua empresa.

Aliás, se você quiser ter esse conteúdo em PDF, para usar como referência, você pode baixá-lo gratuitamente aqui.

Quero!

O início de tudo – um panorama histórico

Na Europa

Desde que o processamento de dados se tornou algo relevante na União Européia, lá pela década de 1980, os estados membros do grupo começaram a discutir o assunto, com frequência. Neste mesmo período, uma importante legislação, conhecida como Data Protection Act (DPA), foi aprovada no Reino Unido.

O ato trouxe para o público a noção de que os dados são uma propriedade de cada indivíduo e que as pessoas têm poder de decisão sobre eles. Essa consciência, despertada a partir daí, foi tão importante que, alguns anos depois, em 1995, a União Européia se baseou na lei para criar e aprovar uma diretriz geral para todos os países do bloco.

O tempo passou, a tecnologia não parou de evoluir e, mesmo com a lei passando por revisões para acompanhar esse movimento, diversos escândalos de vazamento de dados continuaram a ser registrados. Foi então que a União Européia entendeu que era necessário criar uma legislação única, com o objetivo de proteger e garantir segurança jurídica para seus cidadãos.

Enquanto isso no Brasil…

Em paralelo, no Brasil, vez ou outra eram criadas leis voltadas para proteção de dados. O Código de Defesa do Consumidor, por exemplo, cita a possibilidade de obtenção de dados por parte das empresas. Já a Lei Carolina Dieckmann penaliza a invasão de dispositivos.

Por sua vez, o Marco Civil, de 2014, pontua alguns dos direitos que são melhor elaborados na nova lei. Mas o fato é que, antes da LGPD, o Brasil nunca tinha contado com um documento que contemplasse todos os aspectos desses sistema, desde a manipulação de dados e as questões de privacidade, até alternativas eficientes para fiscalização desses processos.

Porém, com a chegada da GDPR e diante de tantos escândalos envolvendo o vazamento de informações privadas, a verdade é que o Brasil se viu obrigado a criar uma legislação para proteção de dados, entrando para o seleta lista de 100 países que contam com uma norma adequada.

Essa é, inclusive, uma estratégia política. Especialmente porque o nosso país busca conquistar uma cadeira na Organização para Cooperação e Desenvolvimento Econômico.

A importância das leis de proteção de dados

Como a gente viu, a manipulação de dados faz parte da rotina de empresas e consumidores. Uma relação de troca e confiança que, infelizmente, – seja por má fé ou simplesmente por falhas operacionais – acaba sendo quebrada. E num cenário sem regras ou penalidades bem definidas, são os usuários desses serviços que acabam no prejuízo, muitas vezes irreparável.

Daí a importância de leis como a GDPR e a LGPD, que trazem segurança jurídica para os cidadãos e inibem o descuido, por parte das empresas, na manipulação e processamento de dados. Isso porque um mesmo documento consegue regular a atividade econômica digital, vetando práticas já mal-vistas ou mesmo ilegais, como o cookie pool e a venda de base.

A regulamentação oferece, ainda, mais liberdade e transparência para que usuários saibam quais dados estão sendo coletados, como e para que finalidade, permitindo até mesmo que essas pessoas suspendam o compartilhamento e a autorização para o uso dessas informações, a qualquer momento.

Além disso, a lei traz flexibilidade, uma vez que pode ser adaptada de acordo com os avanços tecnológicos e, melhor: abre, também, o mercado para parcerias internacionais, uma vez que países que seguem leis similares restringem suas relações comerciais à empresas de países que garantam a segurança de dados.

Inclusive, antes mesmo da aprovação da LGPD, quando ela ainda era um projeto de lei (a PLC 53/2018) e a GDPR tinha acabado de entrar em vigor nos países da União Europeia, a gente fez um webinar especial, dando detalhes sobre as duas regulamentações. Dá só uma olhada:

A dinâmica das leis

Tanto a GDPR quanto a LGPD consideram três principais indivíduos, classificados pela lei de acordo com sua posição na relação dos dados.

Indivíduos que interessam a lei de privacidade de dados

Controlador: Empresas que detém os dados e a quem competem as decisões acerca de como os dados serão tratados.

Operador: Organizações responsáveis por processar e tratar esses dados em nome do controlador.

Titulares: Indivíduos aos quais aquelas informações pertencem.

Um exemplo: Vamos supor que você tenha um e-commerce e contrate os serviços da Social Miner para cadastrar e se comunicar com o seus usuários. Nesse cenário, sua empresa seria o Controlador dos dados fornecidos pelos usuários do seu site; a Social Miner é o Operador, responsável por processar e tratar essas informações; e o seu consumidor final seria o Titular dos dados.

Um exemplo dos indivíduos que interessam a lei de privacidade de dados

Ou seja, tanto sua empresa, quanto nós, da Social Miner, precisamos estar em acordo com a nova lei. E a gente já está, diga-se de passagem.

Sempre prezamos muito pela experiência do consumidor, sendo isso um dos pilares do nosso negócio e da metodologia do People Marketing. E, desde que a GDPR entrou em vigor, em maio de 2018, já adaptamos nossas políticas de privacidade e cookies para garantir que tanto nossos clientes quanto os seus consumidores finais estejam protegidos.

E, como já dissemos, o principal objetivo da GDPR e da LGPD é proteger os dados pessoais.

Ok! Mas o que são considerados “dados pessoais”?

Bem, para essas leis, os dados pessoais são todos aqueles dados referentes à pessoa natural identificada ou identificável. Ou seja, todas aquelas informações que permitem que as empresas entendam que quem está por trás da tela do seu computador agorinha mesmo é você, por exemplo, ou que consigam individualizar o usuário para alguma outra finalidade.

É importante destacar que alguns dados não permitem atribuir uma identidade a um usuário. No entanto, se essas informações anônimas forem complementadas com outros dados, como endereço de e-mail, por exemplo, ou de alguma forma permita que a empresa atinja o usuário de alguma forma individualizada, esta pessoa acaba sendo identificada e a lei passa a valer para esse usuário.

E quais são os princípios da lei?

Como a LGPD foi baseada na lei europeia, apresenta basicamente os mesmos princípios e eles funcionam de forma complementar. Isto é: cada princípio traz implicações para os outros.

Princípio #1: Finalidade

Dados coletados só podem ser tratados para fins legítimos e especificados aos titulares. Ou seja: as empresas não podem coletar informações e, depois, usá-las para outros fins.

Ex: Você tem um blog, onde pessoas podem se cadastrar para receber conteúdos, e resolve criar um e-commerce de livros. Você não pode usar sua base de leads cadastrados do blog para divulgar suas ofertas da loja virtual.

Princípio #2: Adequação

O tratamento dos dados deve ser compatível com a finalidade que foi informada para o usuário. Então, as empresas não podem usar os dados dos seus usuários para qualquer fim que não tenha sido previamente informado.

Ex: Se seu usuário deu permissão para envio apenas de emails, você não deve usar suas informações para enviar comunicações através de outros canais.

Princípio #3: Necessidade

Dados devem ter seu uso limitado ao necessário para realização das suas finalidades. Isto é, as empresas devem coletar apenas aquelas informações estritamente necessárias para prestação dos seus serviços.

Ex: Se o seu objetivo é disparar emails, não tem por que pedir informações como número do telefone ou endereço.

Princípio #4: Livre acesso

Os titulares dos dados devem sempre ter acesso fácil e gratuito às suas informações, serem informados sobre como esses dados estão sendo usados e por quanto tempo eles serão tratados.

Ex: Um cliente, cadastrado na sua base há 6 meses, pode decidir revisar suas informações e/ou excluir dados que não queira mais compartilhar com sua empresa.

Princípio #5: Qualidade dos dados

Este é um princípio que garante aos titulares que seus dados serão exatos, terão informações claras, relevantes e atualizadas para tratamento.

Ex: Se seu cliente, cadastrado na sua base há algum tempo, notou que os dados estão desatualizados, poderá solicitar alteração a qualquer momento.

Princípio #6: Transparência

O objetivo desse princípio é garantir aos usuários informações claras e de fácil acesso sobre o tratamento dos seus dados e sobre quem são os responsáveis por tratá-los.

Ex: Se seu cliente receber um SMS da sua marca falando sobre uma promoção limitada a região onde ele mora, pode questionar o motivo para que tenha recebido essa mensagem e qual critério usaram para seleciona-lo para o envio.

Princípio #7: Segurança

Define que as empresas que tratam de dados devem adotar medidas para proteger essas informações de acessos não autorizados, de eventos acidentais ou ilícitos de destruição, alteração, perda, comunicação ou difusão.

Ex: Seu cliente informou o número do seu cartão de crédito e o CCV para realizar uma compra, é responsabilidade da empresa proteger esses dados para que esse usuário não sofra fraudes.

Princípio #8: Prevenção

As empresas que tratam de dados devem adotar medidas para prevenir a ocorrência de danos no tratamento dessas informações.

Na prática: Se sua empresa usa dados pessoais, deve ter meios de assegurar que não ocorrerá invasões aos computadores, servidores e tomar outras medidas de segurança

Princípio #9: Não discriminação

De acordo com esse princípio, os dados não podem ser utilizados para fins discriminatórios ilícitos ou abusivos.

Ex: Sabendo que, em São Paulo, o valor médio de um produto é de R$700 e, em Natal, o mesmo produto custa R$500, a venda desse artigo por preços diferentes de acordo com a região dos usuários que você consegue identificar é uma prática proibida.

Princípio #10: Responsabilização e prestação de contas

Este princípio fala que as empresas têm que se responsabilizar pelos dados e, para isso, têm o dever de mostrar quem são os parceiros responsáveis pelo tratamento dessas informações, tendo também o dever de determinar um encarregado pela tarefa.

Ex: Você deve possuir em sua empresa a documentação que comprove que o tratamento de dados está sendo realizado de forma regular, em concordância com a lei.

E quais são os direitos dos usuários?

Além dos seus princípios, as leis de proteção de dados garantem também alguns direitos aos titulares dessas informações. Portanto, de acordo com as novas normas, os usuários que acessam um site e têm seus dados coletados e processados têm o direito de:

1- serem informados que a empresa está realizado tratamento de seus dados;

2- ter acesso aos dados que são coletados;

3- corrigir dados incompletos ou desatualizados;

4- solicitar anonimização*, bloqueio ou eliminação de dados desnecessários a qualquer momento;

*Não sabe o que é anonimização? A gente explica: basicamente, quando um usuário acessa um site, ele pode estar compartilhando alguns dados de navegação com essa página. Chamado de cookie, esse pacote de informações, em geral, é usado para otimizar a experiência dos usuários nos sites.

No entanto, se ao cookie são associados dados que permitam identificar aquele usuário – como um endereço de email, nome, entre outros -, no processo de anonimização, o usuário pode pedir que essas informações de identidade sejam desvinculadas do seu registro, tornando o usuário anônimo mais uma vez.

É importante lembrar que, para ser válido para lei, o processo de anonimização deve ser irreversível;

5- solicitar a portabilidade dos dados. Ou seja, se desejar, o usuário pode ter os seus dados transferidos para outra organização;

6- pedir a eliminação dos seus dados da base de uma empresa, com garantia de que isso aconteça*;

*Há exceções previstas no art. 16, da LGPD, que diz:
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

7- ser informado sobre o compartilhamento de seus dados com outras entidades, públicas ou privadas, caso isso seja necessário.

8- ser informado sobre a possibilidade de não consentir com o compartilhamento dos seus dados com um site, dando ciência das consequências do não consentimento;

9- informar a empresa que trata seus dados que não quer mais estar na base, revogando o seu consentimento.

10- solicitar a revisão de decisões tomadas por computadores com base em tratamento automatizado de dados pessoais, solicitando informações claras sobre como aquela decisão foi tomada, observados os segredos comercial e industrial, hipótese em que a autoridade nacional poderá ser acionada para verificar tais questões.

Ex: Se um site de empréstimos validar automaticamente seu crédito a partir de informações de banco de dados, você pode pedir que a análise seja refeita ou pedir informações sobre como aquela decisão foi tomada.

E eu, como empresa: o que preciso fazer para lidar com dados dentro da lei?

Tudo bem, deu para entender bem os princípios que regem a lei e ter uma boa ideia da extensão dos direitos dos usuários. Mas quais são os requisitos que as empresas precisam atender para que possam coletar e tratar dados?

Bem, caso você tenha curiosidade de consultar a lei, essas condições, em específico, estão dispostas no art. 7º. E quem avisa, amigo é: essa parte da lei é taxativa. Ou seja, ela não admite que os dados sejam tratados de qualquer outra forma, diferente do que foi especificado no texto.

Então é bom ficar de olho em cada um dos requisitos. Nós explicamos um a um, dá só uma olhada:

Requisito #1 Consentimento

O primeiro requisito que as empresas precisam cumprir para lidar com dados é, talvez, o mais importante para e-commerces e sites, quando se trata de tratamento para fins de marketing. Trata-se do requisito de “consentimento”, fornecido pelo titular das informações que serão coletadas e tratadas.

Mas, não se engane. Não é tão simples quanto aquele conhecido “clicar no ‘ok’ significa que você aceita nossos termos de uso”.

Agora, além de estar de acordo com todos os princípios da LGPD, as empresas precisam deixar seus usuários bem cientes sobre o que ele está consentindo, incluindo que tipo de dados serão coletado, como eles serão tratados, para quais finalidades e avisá-lo sobre todos os seus direitos.

Um exemplo de boas práticas desse requisito – coisa que você pode ter visto em alguns sites ultimamente – é aquele “aviso de cookies”.

Ele informa o usuário que, ao acessar aquele site, a empresa estará coletando um pacote de dados, chamado de cookies. E mais: o aviso específica o objetivo da ação – que, em geral, é de melhorar a experiência de navegação – e avisa para o titular dos dados que, a partir do momento em que ele ceder algum dado pessoal (como seu perfil em redes sociais ou e-mail), terá essas informações vinculadas ao seus dados de navegação.

É importante, ainda, reavaliar a política de tratamento de dados da empresa e ver se ela está de fácil entendimento e se explica tudo de forma transparente ao titular.

Requisito #2 Cumprimento de obrigação legal ou regulatória

O segundo requisito diz respeito ao “cumprimento de obrigação legal ou regulatória” e, nesses casos, garante ao Controlador o tratamento dos dados.

Um exemplo é o caso das empresas de telefonia que guardam dados de I.P e demais conexões, que podem identificar um usuário, para fins de cumprimento da legislação.

Requisito #3 Administração Pública

A administração pública pode tratar dados quando essas informações forem necessárias para execução de políticas públicas, previstas em leis e regulamentos ou respaldadas em contratos, convênios ou outros instrumentos.

Requisito #4 Realização de estudos por órgão de pesquisa

É possível, ainda, o tratamento de dados para estudos, quando realizados por um órgão de pesquisa. No entanto, é importante ressaltar que, em primeiro lugar, essas instituições devem buscar anonimizar essas informações.

Requisito #5 Execução de contrato ou procedimento preliminar

Empresas podem tratar dados, da mesma forma, para “execução de um contrato ou em procedimentos preliminares”, relacionados a um contrato, a pedido do titular de dados.

Um exemplo? Quando a pessoa vai pedir um empréstimo e a organização precisa dos dados desse indivíduo para fazer uma avaliação de crédito.

Requisito #6 Exercício regular de direitos em processos

O “exercício regular de direito em processos” também autoriza o tratamento de dados.

Mas, o que é isso? Basicamente, dentro dos processos, as instituições acabam lidando com dados pessoais de terceiros – seja para qualificação, para indicar bens que um devedor possua, entre outros. Então a lei já traz essa hipótese, para garantir que, nesses casos, seja possível tratar dados pessoais.

Requisito #7 Proteção da vida ou incolumidade física

Outra possibilidade é o tratamento de dados para a “proteção da vida ou da incolumidade física” do titular ou de terceiro.

Por exemplo: imagine que uma pessoa passa mal e precisa ser internada às pressas. Será necessário manipular seus dados para dar entrada no hospital, contatar seus parentes, etc.

Requisito #8 Tutela da saúde

“Tutela da saúde” também entra como possibilidade para o tratamento de dados, quando se tratarem de procedimentos feitos por profissionais da área da saúde ou entidades sanitárias. Exemplos são as pesquisas para combate de epidemia de doenças como a dengue, estudos e levantamentos sobre questões de saúde, entre outros.

Requisito #9 Atender interesses legítimos do controlador ou terceiro

O “atendimento de interesses legítimos* do controlador ou terceiro” também pode ser utilizado como fundamento para legitimar o tratamento de dados, quando não conflitarem com direitos ou liberdades fundamentais do titular.

*O interesse legítimo é um termo utilizado no direito brasileiro para outras finalidades, mas que foi incorporado a essa legislação pois também é usado na GDPR. Em analogia, podemos dizer que esse termo é bastante genérico e visa ser flexível para que a lei não fique defasada rapidamente.

Esse termo não é um carta branca para que empresas façam uso de dados como quiserem. É, na verdade, para não causar empecilhos para que algumas instituições, como bancos, que precisam manipular dados para efetuar transações com eficiência.

Um exemplo? No caso de uma transferência de valores de um cliente do banco X para o banco Y. Se o banco Y precisasse pedir consentimento para o cliente do banco X toda vez que precisasse efetuar essa operação, isso poderia causar inúmeros transtornos. Afinal, os bancos realizam centenas de milhares de operações bancárias, todos os dias. O art. 10 disciplina essa matéria.

Requisito #10 Proteção de crédito

Por fim, a outra hipótese – e, provavelmente, a mais temida pelos brasileiros – é para “proteção do crédito”. Como, por exemplo, o envio de informações de um devedor para o Serasa ou cartórios de protesto de título.

A importância do consentimento

O art.8º da LGPD trata do conceito e exigências relacionadas ao consentimento. São esses os pontos que, em geral, vão exigir mais atenção dos websites na hora de tratar dados.

#1 Consentimento por escrito ou outro meio

A primeira exigência é que o consentimento do usuário seja dado por escrito ou por outro meio. E quando a legislação fala sobre “outro meio”, ela faz referência, também, ao meio virtual.

Então é importante que empresas que lidam com dados – sejam elas mesmas ou através de parceiros – tenham meios de comprovar que aquele usuário deu seu consentimento, autorizando seu compartilhamento de dados, através de um canal de opt-in, check-box, ok, entre outros.

#2 Ônus da prova

E porque a empresa precisa ter o registro desse consentimento? Porque ela vai ter o ônus da prova. Ou seja: vai precisar comprovar que teve o consentimento daquela pessoa para acessar aqueles dados e tratá-los.

Então é sempre importante que os sites contem com ferramentas digitais para conseguir comprovar que aquela pessoa deu o opt-in para receber informações, conteúdos e promoções.

#3 Vedado tratamento mediante vício de consentimento

A nova lei veda o tratamento mediante vício de consentimento. Essa exigência tem relação com o princípio da transparência.

Portanto as empresas não podem, de maneira alguma, induzir a pessoa a erro ou coagir o usuário para conseguir seus dados, ou seja, a pessoa precisa dar seu consentimento por livre e espontânea vontade.

#4 Consentimento não genérico e específico

Também em acordo com o princípio da transparência, outra exigência da LGPD é que o consentimento não seja apresentado de modo genérico, ou seja, precisa estar bem específico com o que a pessoa estará consentindo.

Portanto, uma empresa não pode falar para o visitante do seu site algo como “a partir de agora você cede os seus dados para que sejam tratados para todos os fins que considerarmos apropriados”.

É preciso dizer, com clareza, que a empresa terá acesso aos dados para fins específicos.

Um exemplo? “Vamos pegar os seus dados para poder fornecer ofertas adequadas, poder te enviar os melhores produtos ou para personalizar a sua navegação no nosso site”.

#5 Revogação a qualquer momento

A nova lei demanda que, para recolher e tratar dados, as empresas contem com mecanismos que permitam que seus usuários possam revogar, a qualquer momento, o seu consentimento para o compartilhamento de dados.

Isso significa que, a partir do momento que um usuário decida não mais estar na sua base, ele tem a garantia de revogar de imediato sua autorização para que esses dados sejam tratados.

#6 Informar a alteração de informação

Empresas que lidam com dados devem informar seus usuários sempre que houver qualquer alteração de informação no processo. E isso seja na coleta, tratamento ou finalidade para o uso dessas informações. É possível, ainda, a revogação do consentimento no caso de não concordância do titular.

Um exemplo: se sua empresa estava tratando certos dados para finalidade X e, a partir de agora, deseja tratá-los para outros fins, é preciso conseguir um novo consentimento do titular dessas informações. E mais, você deve informar que ele ou ela tem o direito de, a partir de então, não ter mais seus dados tratados por você.

E por que é importante seguir essas exigências?

Porque, caso o contrário, o consentimento pode ser considerado nulo. A lei, inclusive, já prevê que o consentimento não será válido caso as informações tenham conteúdo enganoso, abusivo ou ausência de transparência.

Direitos de acesso do titular

O art.9º da LGPD traz para o titular, ainda, os direitos de acesso facilitado às informações.

Isso significa que os Controladores dos dados devem informar os titulares sobre:

  •  a finalidade específica do tratamento dos dados;
  • a forma e duração do tratamento;
  • a identificação do controlador;
  • as informações de contato do controlador;
  • as informações acerca do uso compartilhado de dados pelo controlador e a finalidade do compartilhamento;
  • as responsabilidades dos agentes que realizarão o tratamento;
  • e os direitos do titular, com menção explícita aos direitos contidos no art. 18 da Lei.

E como a empresa deve fazer tudo isso? O Processo não é tão simples quanto parece. Além do aviso de cookies, você pode atualizar sua política de privacidade, criar uma política de cookies e informar tudo isso ao seu visitante, para iniciar o processo.

Aqui na Social Miner, por exemplo, nós fizemos essas alterações no mês de maio de 2018. Além disso, é importante mapear todos os dados que sua empresa coleta de pessoas e fazer um check-up se todas as exigências da lei estão sendo seguidas.

Tratamento de dados de crianças e adolescentes

Quando falamos de crianças e adolescentes, a lei exige um cuidado maior com manipulação destes dados. De acordo com o art. 20, para se colher e tratar dados de crianças, menores de 12 anos, deve-se ter o consentimento de um dos pais ou responsável legal. Aliás, os dados só podem ser coletados sem consentimento para contatar os responsáveis.

Além disso, os tipos de dados, a forma como serão utilizados e procedimentos para exercício de direitos devem ser divulgados; não é permitido se condicionar a coleta dessas informações com jogos, apps, etc.

Outro ponto importante é que as informações sobre o tratamento dos dados devem ser claras, de acordo com as características do usuário. Isso quer dizer que, se você está falando com uma criança, você não pode usar jargões jurídicos ou uma linguagem de difícil acesso e compreensão, por exemplo.

Posso manter os dados para sempre?

De acordo com o art. 15, o tratamento dos dados precisam ter data marcada para ser interrompido. O que faz sentido, uma vez que as empresas precisam informar o prazo e finalidade para manipulação dessas informações.

Portanto o tratamento precisa ser encerrado assim que a finalidade for alcançada ou os dados não forem mais necessários; assim que alcançar a data limite para o fim do período de tratamento; quando o titular comunicar à empresa que não quer mais que seus dados sejam tratados; ou se a autoridade nacional determinar esse encerramento.

Por outro lado, o art. 16 da LGPD determina também algumas exceções para que as empresas possam continuar o tratamento de dados por prazo indeterminado. Por exemplo, quando o controlador precisa cumprir alguma obrigação legal e, para tal, precise tratar esses dados; no caso de estudos por órgão de pesquisa, garantida, se possível, a anonimização; para transferência a terceiros; e para o uso exclusivo do controlador, desde que os dados sejam anonimizados.

Penalidades – por que é tão importante que a empresa esteja operando dentro da lei?

Como a gente falou, as novas leis de proteção de dados aparecem para dar mais segurança para usuários de serviços que envolvem a coleta e processamento de dados.

Para reforçar sua importância, não só como um mecanismo de prezar pela boa relação entre consumidores e empresas, mas como uma legislação que previne o vazamento de informações pessoais e repara esses usuários quando são vítimas de dados, a norma conta com penalidades que podem pesar – e muito – no bolso das empresas.

As empresas que não respeitarem a lei podem:

  • ter os dados irregulares bloqueados de uso até sua regularização ou eliminação dos dados a que se referem a infração;
  • receber multas simples ou diárias de até 2% do faturamento da empresa, limitado a R$50 milhões por infração;
  • multa diária, com base na limitação exposta acima;
  • ter sua infração amplamente divulgada.

Quem vai fiscalizar a aplicação dessas leis?

O capítulo IX do projeto da lei brasileira determinava a criação de uma autoridade e agência, especificamente para mediar as relações que envolvam a privacidade e tratamento de dados. Seria chamada de Autoridade Nacional de Proteção de Dados e Conselho Nacional de Proteção de Dados.

No entanto, uma vez que a LGPD foi criada pelas casas legislativas e a Constituição impede que o poder legislativo crie novas leis que causem impacto no orçamento da União, o presidente Michel Temer vetou esta parte da lei e previu a criação dessa instituição em paralelo, através da Medida Provisória de nº 869/18.

Checklist para iniciar o processo de compliance com a nova lei

  1. Processar o mínimo possível de dados;
  2. Armazenar dados num formato que seja difícil identificar os indivíduos;
  3. Melhorar a transparência;
  4. Autorizar que os visitantes controlem o processamento desses dados;
  5. Buscar parceiros em conformidade com a Lei;
  6. Armazenar os dados em formato que facilite a portabilidade das informações;
  7. Melhorar continuamente a segurança no armazenamento e na transferência de dados;
  8. Usar Relatório de Impacto à Proteção de Dados Pessoais, quando necessário;*
  9. Indicar um encarregado pelo cuidado com os dados, que pode ser uma pessoa física ou jurídica.

* Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos aos direitos dos titulares e mecanismos de mitigação desses riscos.

Conclusão: quando a lei começa a valer e como me preparar

Deu pra ver que, com a nova lei, os direitos do usuários de serviços que exigem o tratamento de dados estão bem alinhados com uma tendência global, que visa proteger a privacidade dos cidadãos e garantir que empresas tenham acesso e manipulem o mínimo possível de informações.

E mais: a legislação reforça a importância de marcas investirem, cada vez mais, no seu relacionamento com os clientes. Afinal, é essa proximidade que vai garantir que a sua empresa se destaque no mercado, ganhando o consentimento para interagir com seus consumidores.

A gente sabe que muita coisa na regulamentação pode parecer repetida. Mas, a verdade é que seus capítulos são complementares. Isso para formar uma legislação robusta e redonda, que seja efetiva.

A GDPR está valendo desde 25/05/2018, para todas as empresas que tratam de dados de titulares residentes na Europa. Já a LGPD foi sancionada em 14/08/2018. A partir de então, as empresas tem 24 meses para se adequarem às determinações a partir desta data.

E é melhor não deixar para colocar o que determina a lei em prática de última hora. Isso porque, além de correr o risco de perder um alto investimento em aquisição de leads – que, caso não estejam de acordo com a lei, podem ser eliminados – sua marca pode, ainda, ter que arcar com altas penalidades e multas.

Comments

comments

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *