A sua empresa possui uma política de proteção de dados adequada à LGPD? Se o seu negócio coleta informações de clientes e/ou funcionários, a forma como você trata estes dados deve ser uma prioridade.
Infelizmente, casos de vazamento de dados acontecem no mundo todo, ano após ano, lesando pessoas e deixando-as vulneráveis, com seus dados expostos na internet, na maioria das vezes, de forma criminosa.
A LGPD entrou em vigor em 2020, com o objetivo de reforçar e assegurar o direito à proteção e à privacidade de dados pessoais dos cidadãos. Por isso, adequar-se à ela é uma necessidade. Vamos entender juntos como ela funciona.
A proteção de dados no Brasil
A proteção de dados no Brasil não é uma discussão recente. Podemos dizer que ela começa lá na Constituição Federal, com o artigo 5° e a caracterização da intimidade como direito fundamental.
Entretanto, podemos dizer que o assunto ganhou relevância mesmo em 1990, com a criação do Código de Defesa do Consumidor.
A partir daí, a discussão sobre proteção de dados tem aumentado década após década, impulsionada, em especial, pela transformação digital e pelo uso de dados como “moeda de troca”. Sabe aquele serviço gratuito que pede apenas um cadastro no site? Eles são na verdade uma permuta por dados coletados do usuário. E aí fica a questão: como fica a privacidade? Quem controla a manipulação destes dados?
Esses questionamentos fizeram com que, na última década, ocorresse o amplo debate deste tema e o surgimento de novas leis para proteger a privacidade do cidadão:
- Lei nº 12.527/2011 (Lei do Acesso à Informação): versa sobre a transparência das informações relacionadas a transações da administração pública;
- Lei nº 12.965/2014 (Marco Civil da Internet): traz a proteção de dados pessoais como algo essencial para o uso da internet no país.
A LGPD vem para somar neste quesito, traçando formas de assegurar o direito à privacidade e à proteção dos dados pessoais.
Casos famosos de vazamento de dados no Brasil
E mesmo com a LGPD e outras leis vigentes, o Brasil ainda está em um estágio embrionário na proteção de dados pessoais, quando comparado ao resto do mundo. Prova disso, são os diversos vazamentos de informações que ocorrem com mais frequência do que se imagina.
Em 2021, ocorreu o que ficou conhecido como megavazamento de dados, em que arquivos com dados pessoais de mais de 223 milhões de brasileiros apareceram em fóruns usados por criminosos digitais.
Menos de um mês após o caso citado acima, a empresa de cibersegurança Psafe descobriu outro banco de dados à venda na dark web com mais de 100 milhões de celulares brasileiros. Além do número do telefone, a base continha nome completo, endereço e CPF do assinante da linha.
O que é LGPD
A LGPD – Lei Geral de Proteção de Dados Pessoais – (Lei n° 13.709/18) é uma regulamentação que unifica todas as normas sobre coleta, armazenamento, tratamento e processamento de dados pessoais, sejam eles digitais ou não.
Ela estabelece normas mais rígidas para empresas e órgãos públicos e também sanções administrativas para casos de descumprimento da lei.
Inspirada na GDPR, a lei de proteção de dados pessoais europeia, ela foi discutida por muitos anos até ser sancionada em 14 de agosto de 2018 e entrar em vigor em 18 de setembro de 2020. No entanto, as penalidades passaram a ser aplicadas apenas em agosto de 2021.
Quais seus principais objetivos
Como já citamos anteriormente, o principal objetivo da LGPD é estabelecer as bases legais para coleta e manipulação de dados pessoais, garantindo a privacidade de pessoas naturais no ambiente digital e também fora dele.
Assim, a lei visa:
- Proteger a privacidade dos cidadãos brasileiros, garantindo que suas informações pessoais não sejam coletadas, processadas ou divulgadas sem o seu consentimento;
- Estabelecer direitos para os titulares dos dados, incluindo o direito de acessar, corrigir informações imprecisas e exigir a exclusão dos dados;
- Estimular o desenvolvimento econômico, por meio de negócios baseados em dados, criando um ambiente mais seguro e previsível para as empresas que coletam e processam informações pessoais;
- Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados;
- Garantir a livre iniciativa, livre concorrência e a defesa das relações comerciais e de consumo.
Importância da LGPD
Como vimos, antes da criação da LGPD, a proteção de dados era tratada por normas e regulamentos avulsos, o que gerava pouca ou nenhuma transparência sobre o uso que era feito dos dados pessoais dos indivíduos.
A LGPD permitiu que este cenário seja mais claro, garantindo direitos para os titulares de dados e fornecendo diretrizes nítidas para que empresas realizem operações de tratamento de dados com maior transparência e eficiência.
Em outras palavras, a importância da LGPD para as empresas é melhorar as práticas que garantem a segurança dos dados pessoais, ajudando a tornar a proteção deles mais segura.
A lei também ajuda a evitar vazamentos de informações estratégicas e ataques de cibercriminosos, ajudando a construir uma relação de confiabilidade com seus clientes.
Quais dados a LGPD abrange?
Mas de quais dados e informações estamos falando?
Segundo o artigo 5° da lei, ela abrange os seguintes dados:
- Dados pessoais: informações relacionadas à pessoa natural identificada ou identificável;
- Dados pessoais sensíveis: informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Dados anonimizados: informação relativa a titular que não possa ser identificado, com a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Agentes de tratamento e bases legais
Dentre as definições estabelecidas pela LGPD estão os agentes de tratamento e bases legais.
Os agentes de tratamento são as figuras envolvidas na proteção de dados pessoais. São eles:
- Titular de dados: o “dono” dos dados pessoais que são objeto de tratamento. Tem total controle sobre o seu uso, podendo requisitá-los ou pedir sua exclusão a qualquer momento.
- Controlador: é quem toma as decisões referentes ao tratamento de dados. É o responsável por garantir o cumprimento dos direitos dos titulares de dados e por responder eventuais solicitações;
- Operador: é o agente que realizará o tratamento dos dados seguindo as instruções do controlador;
- Encarregado: agente indicado pelo controlador e operador para atuar como canal de comunicação entre as figuras citadas e a ANPD (Autoridade Nacional de Proteção de Dados).
As bases legais foram uma grande novidade trazida pela LGPD. Elas são novas justificativas para o tratamento de dados pessoais.
Se antes, o tratamento só podia ser feito com o consentimento do indivíduo, hoje ele pode ser feito baseado no legítimo interesse e execução de contrato. Vamos conhecer melhor estas bases legais:
- Consentimento: o tratamento de dados por consentimento deve ser livre, informado, expresso e inequívoco. Em outras palavras, depende do ato positivo do titular de dados que expresse sua vontade;
- Legítimo interesse: é uma base bem abrangente, que permite oferecer ao titular dos dados serviços que o beneficiem. No entanto, é preciso que o tratamento tenha finalidade legítima e realizado de forma transparente;
- Execução de contrato: nesta base legal, o tratamento de dados é justificado por relação contratual estabelecida com o titular.
Afinal, quem deve se adequar à LGPD?
De acordo com a lei, ela “aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados“.
Aqui valem duas ressalvas: é preciso que o tratamento dos dados seja realizado no Brasil e que eles tenham sido coletados em território nacional.
Em outras palavras, se você faz qualquer tipo de coleta de dados no Brasil, seja por um cadastro ou cookies, deve se adequar à LGPD.
Isso garante mais segurança, proteção e privacidade no tratamento de informações tanto para a sua empresa, como para os seus usuários e clientes. E, claro, não custa destacar que o descumprimento das normas da LGPD gera consequências, inclusive multas milionárias, para a empresa.
Como implementar a LGPD na sua empresa
De forma resumida, recomenda-se criar uma comissão interna para análise e alteração da política de privacidade da empresa, propondo as modificações necessárias para que todas as informações relacionadas ao tratamento de dados estejam claras para o usuário.
Outro ponto importante é garantir que o operador, ou seja, a empresa que fornece a solução ou serviço de coleta das informações, também esteja ciente e adequada às exigências da LGPD.
Alguns passos necessários para a implementação:
- Mapear dados coletados e o processo de tratamento;
- Reformular documentos e contratos de acordo com o que prevê a lei de proteção de dados;
- Redefinir as políticas internas de proteção da privacidade;
- Adotar medidas de segurança que evitem o vazamento de dados, como criptografia, SSL, backups periódicos, entre outros;
- Conscientizar colaboradores sobre a LGPD.
A assinatura eletrônica continua tendo validade jurídica com a LGPD?
Sim! A Lei Geral de Proteção de Dados Pessoais está em vigor desde 2020 e não destitui a validade jurídica da assinatura eletrônica em nenhum dos seus usos.
O importante é escolher uma plataforma de assinatura eletrônica e digital que esteja adequada a esta Lei e realize um correto tratamento de dados.
A D4Sign está adequada à LGPD. Nosso CTO Bruno Kawakami é o Data Protection Officer (DPO), responsável por garantir o compliance e as leis de proteção de dados pessoais.
Quer saber mais sobre proteção de informações? Saiba como manter os seus documentos protegidos com a segurança de dados.
