Banner image

LGPD na prática: como implementar as novas regras de proteção de dados

20 de fevereiro de 2020
Por Felix Schultz

A LGPD, na prática, passa a valer a partir de agosto de 2020. Mas você sabe como essa nova legislação poderá afetar o dia a dia da sua equipe de TI?

Hoje em dia, é cada vez mais importante cuidar da segurança dos dados na sua empresa. Certamente, você já acompanhou notícias sobre os enormes danos causados à reputação de marcas devido ao vazamento de dados. Mas esse está longe de ser o único motivo para implementar medidas de segurança.

Proteger as informações do seu negócio e dos seus clientes é fundamental. No entanto, a partir de agosto desse ano, também será necessário para empresas que não querem ser penalizadas.

Por isso, é importantíssimo que você esteja informado sobre o que é a LGPD na prática, e como é necessário proceder para implementar as novas normas na empresa.

Hoje, você aprenderá mais sobre:

  • O que é a LGPD
  • LGPD comentada: entenda a nova lei
  • O que muda com a Lei Geral de Proteção de Dados?
  • LGPD na prática: como implementar
  • Responsabilidades da TI com a LGPD
  • Cursos para aprender a LGPD na prática
  • LGPD e multas aplicadas
  • Conclusão

Boa Leitura!

O que é a LGPD

o-que-e-lgpd-na-pratica
Entenda melhor o que significa LGPD e como a legislação surgiu.

LGPD se refere a Lei Geral de Proteção de Dados. Trata-se da Lei 13.709/2018, que passa a ser efetiva em agosto de 2020. Essa lei descreve como empresas e órgão públicos devem se relacionar com os dados pessoais de seus usuários.

O objetivo é estabelecer critérios de segurança da informação, além de fixar meios de fiscalização e penalidades para incidentes envolvendo dados pessoais.

A LGPD também visa a regulamentação de situações que envolver dados pessoais sensíveis. Isso é, aqueles que são capazes de gerar algum tipo de discriminação e dados de menores de idade, por exemplo.

Como surgiu

A proposta foi inspirada na lei Europeia (GDPR), emitida em 2016 e que entrou em vigor em 2018. A lei introduziu um rigoroso conjunto de regras sobre a privacidade digital e é válida para toda a União Europeia.

No entanto, a preocupação com a proteção de dados pessoais não é uma novidade. Em 2011,o European Data Protection Supervisor (EDPS) já publicava uma Opinião apontando a necessidade de avançar na legislação sobre dados pessoais.

No cenário globalizado da informação que vivemos atualmente, é mais que esperado que outros países estabeleçam suas próprias regulamentações. Além de ter se tornado a mais importante legislação sobre proteção de dados do mundo, a GDPR influenciou fortemente a legislação brasileira.

LGPD comentada: entenda a nova lei

Para entender como funciona a LGPD na prática, o primeiro e mais importante passo é conhecer o texto. Por isso, você encontra a segui os pontos comentados.

Se preferir, você pode, também, ler a lei na íntegra no site do planalto.

O que é considerado dado pessoal?

Antes de mais nada, vale lembrar que a LGPD define, especificamente, quais são os tipos de dados considerados, nesse contexto, pessoais. Também há detalhamento do que são considerados dados pessoais sensíveis.

Segundo o texto, um dado pessoal é uma “informação relacionada a pessoa natural identificada ou identificável”. Por sua vez, um dado pessoal sensível configura “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

10 Princípios para tratamento de dados pessoais

A LGPD especifica 10 princípios que toda empresa ou órgão público deverá seguir ao obter, ou lidar com dados pessoais. A seguir, vamos conhecer cada um deles:

I – finalidade:

Segundo o texto: “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.”

Isso significa que os dados obtidos devem ter uma finalidade específica. Além disso, o titular dos dados deve estar ciente sobre quais são os motivos da necessidade de oferecer a informação.

Por exemplo, será considerada em irregularidade uma empresa que pedir o CPF de seus clientes sem especificar para que essa informação será utilizada.

II – adequação:

A lei especifica: “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.”

Da mesma forma, coletar um dado por um motivo e utilizá-lo para outros fins também é passível de penalização. Um bom exemplo disso seria coletar um número de telefone prometendo avisar sobre a disponibilidade de um serviço e utilizar o contato para fins de telemarketing.

III – necessidade:

O LGPD traz: “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.”

Ou seja, empresas que coletam dados em excesso ou que não precisam, estritamente, para realizar seus serviços, podem ser penalizadas.

IV – livre acesso:

Segundo o texto: “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”.

Assim, fica especificado que o titular deve ter acesso completo às suas  informações. Isso inclui quais dados estão guardados, como estão sendo protegidos e utilizados.

V – qualidade dos dados:

Quanto a qualidade das informações, fica definido: “garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”.

Dessa forma, é de responsabilidade da empresa garantir que os dados obtidos estão atualizados e permanecem relevantar para a prestação de serviço.

VI – transparência:

No texto: “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.”

Isso é, o titular dos dados deve ter conhecimento de como seus dados são utilizados na empresa. Isso pode incluir os processos utilizados, bem como pessoas que possuem acesso às informações.

VII – segurança:

Quanto à proteção das informações, a lei diz que a empresa deve fazer a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.

Ou seja, é de responsabilidade da empresa tomar as devidas medidas para proteger os dados de seus clientes. Isso inclui situações como ataques hackers, venda ou perda de informações.

VIII – prevenção:

Ainda no assunto da segurança da informação, fica especificado que a empresa deve visar a “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.”

Assim, é parte da responsabilidade da empresa ou órgão público tomar todas as medidas de segurança preventivas.

IX – não discriminação:

A empresa deve, ainda, garantir a “impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.”

É especialmente importante atentar-se a essa regra se sua empresa lida com os chamados dados pessoais sensíveis. É imprescindível que a organização tome providências para que o vazamento dos dados não possa ocasionar situações discriminatórias contra o titular.

X – responsabilização e prestação de contas:

Finalmente, o décimo item identifica a “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.”

Dessa maneira, fica à cargo da empresa demonstrar e comprovar o cumprimento dos princípios especificados no texto.

O que muda com a Lei Geral de Proteção de Dados?

lgpd-na-pratica-o-que-muda
Descubra o que precisa mudar com a LGPD na prática.

Como você já deve ter percebido, muita coisa está prestes a mudar no cotidiano das empresas brasileiras. Nos princípios comentados no tópico anterior, você certamente identificou algumas práticas que hoje são comuns, mas se tornarão irregulares em agosto.

Um bom exemplo é a coleta de CPF e outros dados pessoais para fins de programas de fidelidade ou de descontos. A prática contraria o princípio de necessidade, por exemplo, já que as informações não são vitais para a operação. Nesse exemplo, um número de identificação interno para o cliente é o suficiente.

E na sua empresa, você já sabe o que vai mudar como a LGPD na prática? Veja o que esperar:

Para empresas

Será necessário, principalmente, rever os processos que envolvem a coleta e armazenamento de dados pessoais na empresa. Por exemplo, a utilização de informações no cadastro de clientes, para começar de maneira simples.

A verdade é que a grande maioria das empresas precisará passar por um processo completo de auditoria e replanejamento. Dessa forma, a terceirização acaba sendo uma opção viável.

Para usuários

O que muda para usuários é que, agora, os seus direitos à privacidade estão melhor protegidos. Esse é um direito já assegurado ao cidadão brasileiro pela constituição de 88. No entanto, como a tecnologia evoluiu muito desde então, fez-se necessária essa atualização.

Agora, o titular dos dados tem direito a total transparência sobre o uso dos seus dados. Além disso, também tem o diteiro de ser informado sobre os processos que utilizam a informação e quais são as medidas de segurança tomadas pela empresa para protegê-los.

Para o setor da tecnologia

No setor da tecnologia, a LGPD representa novos desafios e oportunidades. Isso porque profissionais especializados em adequação dos processos à legislação serão extremamente valiosos.

Isso vale tanto para esses últimos meses de adaptação quanto para o futuro. Afinal, novas empresas também precisarão adequar a infraestrutura a essas novas exigências, da mesma forma que precisam contratar servidores e softwares de gestão.

LGPD na prática: como implementar

Uma reestruturação dos processos da empresa pode assustar bastante. No entanto, com organização, é possível implementar adequações de maneira sistemática e barata.

A seguir, confira nossas dicas para implementar a LGPD na prática:

Entenda as responsabilidades

Antes de começar, é importante ler e compreender o texto da LGPD. Você já começou esse trabalho lendo esse artigo. Assim, você pode entender a fundo quais são as responsabilidades da sua empresa com os dados pessoais de seus clientes.

Estabeleça uma política de privacidade

A política de privacidade é um importante documento para empresas modernas. Nesse texto, você tem a oportunidade de esclarecer para seus clientes como seus dados serão utilizados e protegidos.

Estabeleça uma política de segurança

Agora, é necessário implementar os processos para garantir a segurança da informação na sua empresa. Existem diversas consultorias que podem ajudar você nessa jornada.

Treine colaboradores

De nada adianta ter as melhores políticas no papel: é preciso que suas equipes estejam preparadas para executá-las corretamente. Por isso, o treinamento é fundamental.

Informe seus usuários e clientes

Finalmente, é hora de informar seus clientes sobre as mudanças adotadas. Isso implica na transparência dos processos e utilização dos dados especificados na LGPD.

LGPD e multas aplicadas

O descumprimento da LGPD pode representar problemas sérios para sua empresa. Isso porque as penalidades incluem a aplicação de multas isoladas ou diárias. O valor das penalidades é limitado em R$ 50 milhões, ou 2% do faturamento bruto da empresa. Isso é, para cada incidente registrado.

Além disso, também é possível que ocorra a suspensão das atividades de tratamento de dados da empresa. Ou, até mesmo, a interrupção completa das operações.

A fiscalização será realizada por um novo órgão regulador, a Agência Nacional de Proteção de Dados.

Conclusão

lgpd-na-pratica-conclusao
Entenda melhor o que significa LGPD e como a legislação surgiu.

Agora você já entende melhor quais são as aplicações da LGPD na prática. Ficar por dentro dessas especificações é extremamente importante, seja você um empresário, profissional de TI ou mesmo um consumidor.

As mudanças estão se aproximando rápido, por isso, não deixe de garantir que sua empresa está pronta para a nova legislação.

E já que estamos abordando o melhor para sua empresa, que tal entender um pouco mais sobre algumas soluções importantes para o setor de tecnologia do seu negócio? Leia também esses artigos que separamos para você:

Obrigado por ler até aqui!