A LGPD – Lei Geral de Proteção de Dados – sancionada em 2018, e passa a valer a partir de Setembro de 2020.
A nova legislação colocou o Brasil entre os países que contam com leis específicas para a proteção de dados pessoais.
Se para o usuário dos meios digitais e consumidores a nova lei significa maior proteção à privacidade e segurança no uso de seus dados, para as empresas a LGPD significa a adoção de novos processos que garantam esse objetivo.
LGPD e Novos Hábitos de Consumo
Hoje não apenas produzimos e consumimos informações como nunca antes na história.
Mas, temos uma enorme capacidade de analisar e tratar essas informações de modo a cumprir diferentes objetivos, como, por exemplo, realizar ações de marketing com maior efetividade, tomar melhores decisões, entre outros.
Porém, escândalos recentes sobre o uso de dados pessoais, que envolveram gigantes da tecnologia, põe em xeque a forma como essas informações são utilizadas.
Ou seja, hoje sabemos que existe falta de transparência desses processos, e a necessidade de normatização dos mesmos com o objetivo de proteger a privacidade dos indivíduos.
O que é a LGPD, a Lei Geral de Proteção de Dados?
O Brasil já havia dado um importante passo para se adequar à nova realidade do mundo digital com a aprovação do Marco Civil da Internet, uma legislação que foca principalmente na criação de mecanismos voltadas à proteção do usuário da rede mundial de computadores.
A LGPD é mais uma etapa desse processo. Inspirada pela General Data Protection Regulation, lei de proteção de dados da União Europeia.
A lei serviu de modelo tanto para o nosso país como para outras localidades ao redor do globo – atualmente são 120 países com legislação que regulamentam o uso dos dados pessoais.
A LGPD garante proteção ao cidadão
Os usuários e consumidores sabem pouco sobre o que é feito com suas informações pessoais.
Informações coletadas por empresas de todos os setores. Ou seja, não apenas de tecnologia, das mais diferentes formas.
Existe, inclusive, um lucrativo mercado paralelo de venda de dados pessoais.
Assim, a Lei Geral de Proteção de Dados chega com o objetivo de normatizar esse uso. Acima de tudo garantindo maior proteção e segurança à privacidade dos cidadãos.
A lei entra em vigor para criar dispositivos e processos que devem ser adotados pelas organizações. E, estão previstas pesadas sanções a quem não se adequar a norma.
Quais as empresas precisam se adequar à LGPD?
A coleta, armazenamento e tratamento de dados não é uma exclusividade das empresas de tecnologia. Tampouco das grandes empresas.
Hoje, mesmo os pequenos negócios utilizam essa prática para alavancar seus resultados e ganhar eficiência.
Portanto, todas as empresas, que processam dados de cidadãos brasileiros ou que foram coletados no Brasil, devem se adequar à nova legislação.
Ou seja, independente do seu tamanho, setor de atuação e localização geográfica.
Sabemos que para muitos empreendedores, especialmente os pequenos e médios, esse cenário se apresenta como um grande desafio, especialmente pela falta de clareza em relação à legislação e seus aspectos técnicos.
Porém, é importante ressaltar, que é necessário vencer essas dificuldades.
Acima de tudo porque a partir de Agosto de 2021 começam a ser aplicadas as punições para as pessoas jurídicas que não operam de acordo com a lei geral de proteção de dados.
Se você não sabe nem por onde começar a adequação de seu negócio, continua com a gente que vamos te ajudar nessa.
LGPD passo a passo: como se adequar à lei geral de proteção de dados
Entendendo conceitos
A primeira coisa a ser feita em um processo de adequação a LGPD é compreender os conceitos básicos que estão presentes na legislação.
Esse entendimento é importante para que você tenha maior clareza sobre a lei.
1- Dados pessoais
É comum acreditarmos que dados pessoais são aqueles como nome, RG, CPF, por exemplo.
A norma LGPD, contudo, se baseia em um conceito mais amplo.
Entendendo os dados pessoais como todo aquele que de forma isolada ou em conjunto com outros possa identificar uma pessoa ou sujeitar uma pessoa a determinado comportamento.
Hoje contamos com uma gama de formatos de dados pessoais capazes de serem coletados de diferentes origens.
Um cookie gerado ao acessar um site, por exemplo, é considerado um dado pessoal, uma vez que pode ser utilizado em ações de marketing.
Um cookie não informa quem a pessoa é. Mas, permite a uma empresa inferir perfis de comportamento. E assim, direcionar sua publicidade para que estas sejam mais efetivas e capazes de impactar o usuário.
2- Dado pessoal sensível
A norma LGPD também coloca o conceito de dados pessoais sensíveis.
Que são aqueles sobre:
- origem étnica,
- convicção religiosa,
- opinião política,
- filiação a sindicato ou instituição religiosa,
- filosófica ou política,
- dado referente à saúde,
- vida sexual,
- genético ou biométrico.
3- Tratamento de dados
O tratamento é toda e qualquer operação realizada com um dado, da coleta ao descarte.
A lei geral de proteção de dados define normas para qualquer ação do tipo:
- coleta, classificação,
- utilização,
- compartilhamento,
- armazenamento,
- processamento, etc.
4- Controlador, Operador e Regulador
A norma LGPD estabelece três novas figuras:
- o controlador,
- operador
- e o regulador.
4.1- O controlador
O Controlador é a empresa que toma as decisões sobre os dados pessoais.
Ele define quando e como os formatos de dados serão coletados; quais usos eles serão destinados. Além de onde ficarão armazenados, quando serão descartados, etc.
O controlador pode ele mesmo realizar o processamento dos dados, como pode contratar um terceiro para tal, o operador.
4.2- Operador
O Operador aparece como a figura responsável por tratar os dados.
Mas, não tem poder de decisão sobre os mesmos, devendo obedecer às ordens do controlador sempre que estas estiverem de acordo com a legislação.
Vale reforçar que o operador que executar uma ação ilegal a mando do controlador, responde solidariamente na justiça.
4.3- Encarregado
O Encarregado é a pessoa indicada pelo controlador para atuar na comunicação entre:
- controlador;
- titulares dos dados pessoais;
- e a Autoridade Nacional de Proteção de Dados.
5- Bases legais
As bases legais são as hipóteses previstas na norma LGPD que autorizam o tratamento de dados pessoais.
Hoje existem 10 bases legais na legislação:
- Consentimento;
- Legítimo Interesse;
- Contratos;
- Obrigação legal;
- Execução de políticas públicas;
- Estudos por órgãos de pesquisa;
- Processo judicial;
- Proteção da vida;
- Tutela da saúde;
- Proteção do crédito.
- Se adequando a LGPD
Agora que você já conhece os principais conceitos básicos da norma, vamos te mostrar como você pode agir para realizar a implantação dos processos necessários para adequar a sua empresa.
Análise de Cenário
O ponto de partida não poderia ser outro que a análise do cenário de sua empresa.
Existem organizações que pouco precisam fazer para estar adequadas à nova lei, enquanto outras contam com muito trabalho pela frente.
Em qual desses cenários a sua empresa se encaixa é uma pergunta que precisa ser respondida.
Mas, depois de uma análise cuidadosa de como os dados e a tecnologia da informação são utilizados em seu negócio.
Nesse momento, contar com um perito digital faz toda a diferença. Esse profissional será capaz de realizar um mapeamento assertivo de seu negócio para orientar as ações de adequação.
Definição do Operador dos Dados
É possível que sua empresa conte com mais de um operador de dados.
Um serviço de armazenamento em nuvem, por exemplo, se encaixa nessa categoria, assim como um cientista de dados contratado.
É muito importante reforçar que os operadores de dados também devem obediência a legislação.
Eles respondem judicialmente, seja de forma solidária ou mesmo integralmente.
Isso, caso realize o tratamento de dados de forma ilegal sem ordem direta do controlador.
Portanto, procure sempre profissionais e empresas idôneos e evite dores de cabeça e prejuízos.
Plano de Segurança da Informação
Após entender o cenário de sua empresa e definir os operadores dos dados, é o momento de estabelecer um programa de privacidade dos dados.
Nesse programa devem constar as medidas técnicas e administrativas para garantir a segurança da informação, evitando penalidades previstas na lei.
Programa de Governança em Privacidade
Em conclusão, sua empresa deve estabelecer um programa de governança em privacidade.
Ou seja, definir as boas práticas no uso dos dados pessoais.
Nesse momento devem ser definidos:
- procedimentos,
- regime de funcionamento,
- normas de seguranças,
- padrões técnicos,
- ações educativas
- e órgãos de controle e monitoramento.
O programa de governança é o cérebro e o coração de adequação a LGPD.
Acima de tudo, ele que vai definir as práticas para garantir que todos os tratamentos de dados pessoais estejam de acordo com as bases legais.
Conclusão
A Lei Geral de Proteção de Dados é uma importante conquista para os cidadãos brasileiros.
Em suma neste momento onde o poder do uso de dados pessoais e seus impactos sociais ficam cada vez mais evidentes.
É essencial que as empresas não vejam a LGPD como mais uma burocracia.
Mas, como uma necessidade do mundo moderno que beneficia a todos.
Garantindo, por exemplo, maior segurança e transparência na utilização das informações que fornecemos e até mesmo geramos.
A partir do segundo semestre de 2021, as sanções legais as organizações que descumprirem a legislação começarão a ser aplicadas.
Portanto, se você ainda não começou a se adequar a LGPD, não perca mais tempo!
Garanta que um trabalho ágil e de acordo com a lei. Conte com o serviço de profissionais especializados em segurança da informação.
A STW Brasil está pronta para lhe atender e garantir que o seu negócio esteja adequado à LGPD.
Até a próxima!
