Doc Host segue as normas da LGPD
O que é a LGPD?
Lei Geral de Proteção de Dados (LGPD) é o principal marco regulatório sobre proteção e privacidade de dados pessoais no Brasil.
A LGPD está disposta na Lei nº 13.709, de 14 de agosto de 2018. Porém, as discussões sobre proteção de dados no Brasil são anteriores. Em 2014, o Marco Civil da Internet (Lei nº 12.965/2014) já trazia normas sobre isso, porém restritas aos canais digitais. Um dos avanços da LGPD foi tratar de proteção de dados pessoais independentemente do meio.
A lei foi aprovada em 2018, mas entrou em vigor apenas em agosto de 2020. Antes disso, a Lei nº 13.853, de 8 de julho de 2019, atribuiu o nome de Lei Geral de Proteção de Dados, além de criar a Autoridade Nacional de Proteção de Dados (ANPD) e promover outras alterações.
A função da ANPD, que garante a aplicabilidade da lei, é elaborar as diretrizes para uma política nacional de proteção de dados e aplicar as sanções administrativas. As sanções, por sua vez, já estão dispostas na LGPD, mas só podem ser aplicadas a partir de 1º de agosto de 2021.
Contexto da lei de proteção de dados.
A LGPD segue as disposições da lei europeia General Data Protection Regulation (GDPR), que foi publicada inicialmente em 2016. No início 2018, o caso Cambridge Analytica, que envolveu o vazamento de dados pelo Facebook, acelerou a implementação da GDPR pelo Parlamento Europeu.
Outros diversos países criaram também suas leis e regulamentações voltadas para a proteção de dados pessoais. O caso Cambridge Analytica catalisou esse movimento global, mas a tendência já vinha de antes. Afinal, desde que a internet e o marketing digital se popularizaram, os dados já estão no centro das estratégias das empresas.
No marketing, especialmente, coletar e tratar dados de usuários e clientes é o caminho para criar e otimizar estratégias. Esse poder de monitoramento e mensuração, aliás, é um dos grandes diferenciais do marketing digital, que sempre ressaltamos aqui no Blog da Rock.
Nos sites e redes sociais, todos os passos dos usuários são monitorados para se transformar em informações estratégicas no Google Analytics e outras ferramentas. Em tecnologias de automação, os dados nutrem os robôs e algoritmos para criar estratégias mais eficientes e personalizadas. Nas plataformas de publicidade, os dados dos usuários servem aos anunciantes, para segmentar campanhas e anúncios com mais precisão.
Os dados se tornaram um grande ativo na era digital. Porém, é preciso ter responsabilidade para lidar com os dados de usuários e clientes, que têm direito à privacidade e devem saber o que estão fazendo com suas informações, especialmente quando se trata de uso comercial.
Então, as leis de proteção de dados procuram regular a coleta e o uso desses dados pessoais e definir os direitos e deveres relacionados a esse tema.
O que prevê a LGPD?
A LGDP dispõe as normas sobre o tratamento de dados pessoais por empresas privadas, poder público ou por outras pessoas, em qualquer meio (físico ou digital), com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.
A legislação define que “dado pessoal” é toda informação relacionada à pessoa natural identificada ou identificável. Um “dado pessoal sensível”, por sua vez, está relacionado à raça ou etnia, religião, política, saúde etc. e tem normas específicas na lei.
Já o “tratamento” é toda operação realizada com dados pessoais, como coleta, classificação, utilização, reprodução, transmissão, armazenamento e outras. A LGPD procura regular todas essas atividades.
A lei traz capítulos sobre os requisitos para o tratamento de dados pessoais, os direitos dos titulares, o tratamento pelo poder público, a transferência internacional de dados, o papel dos agentes de tratamento de dados, as boas práticas de governança, a fiscalização e a ANPD. Logo mais, vamos entender quais são as principais mudanças que você precisa saber.
Nas disposições preliminares, a lei informa os 10 princípios que devem reger as atividades de tratamento de dados. É com base nesses princípios que foram criadas todas as normas para a proteção de dados. São eles:
- Princípio da finalidade: o tratamento deve ser feito apenas para propósitos legítimos, específicos, explícitos e informados ao titular dos dados.
- Princípio da adequação: compatibilidade do tratamento com as finalidades informadas ao titular.
- Princípio da necessidade: limitação do tratamento ao mínimo necessário para a realização da sua finalidade, com dados pertinentes, proporcionais e não excessivos.
- Princípio do livre acesso: garantia de acesso fácil e gratuito à integralidade dos dados armazenados e às informações sobre forma e duração do tratamento.
- Princípio da qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados para o cumprimento da finalidade do tratamento.
- Princípio da transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes.
- Princípio da segurança: adoção de medidas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
- Princípio da prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
- Princípio da não discriminação: impossibilidade de tratar dados para fins discriminatórios ilícitos ou abusivos.
- Princípio da responsabilização e prestação de contas: capacidade de demonstrar a adoção de medidas eficazes para o cumprimento das normas.
A LGPD define também as sanções às quais o infrator pode se submeter, que devem ser aplicadas pela Autoridade Nacional de Proteção de Dados:
-
- advertência;
- multa de até 2% do faturamento anual da empresa (limitada a R$ 50 milhões);
- multa diária (soma limitada a R$ 50 milhões);
- publicização da infração;
- suspensão do banco de dados a que se refere a infração;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Quais as principais mudanças previstas pela LGPD?
Para se adequar à Lei Geral de Proteção de Dados, é importante fazer uma leitura atenta e minuciosa da legislação, inclusive com uma consultoria especializada, se possível.
Mas procuramos destacar aqui os pontos mais importantes da LGPD, aos quais a sua empresa precisa começar a se adaptar. Confira:
Consentimento do titular
De acordo com a legislação, consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Você só pode coletar dados de pessoas se tiver o consentimento delas. Esse consentimento deve ser explícito — ou seja, um opt-in pré-marcado não vale, ok? Deixe que o usuário decida se quer ou não entregar os dados à sua empresa, sem forçar a barra. No caso de dados de crianças e adolescentes, o consentimento deve ser dado por pelo menos um dos pais ou pelo responsável legal.
O consentimento só é dispensável quando os dados são tornados manifestamente públicos pelo titular, resguardados os seus direitos e os princípios da lei.
Finalidade do tratamento dos dados
A legislação define que finalidade é a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.
Isso quer dizer que o usuário dá consentimento para uma finalidade específica de tratamento de dados. Portanto, essa finalidade deve estar clara e transparente na hora do opt-in. Se ela mudar depois, o usuário precisa saber e consentir novamente. E você só pode coletar os dados estritamente necessários para a finalidade do tratamento.
Além disso, a LGPD não permite que as empresas utilizem autorizações genéricas. Portanto, nada de escrever termos imprecisos, ok? Se você vai usar os dados para personalizar vitrines no e-commerce ou diferenciar preços de venda, por exemplo, deixe isso claro para o consumidor.
Novos direitos do titular
A Lei Geral de Proteção de Dados traz um capítulo específico para tratar dos direitos do titular dos dados, com uma série de disposições que trazem algumas mudanças para as empresas.
Um dos principais cuidados que você deve ter é disponibilizar um meio de acesso fácil e imediato das pessoas aos seus dados. A lei diz que o titular tem o direito de acessar, a qualquer momento, os dados pessoais que estão armazenados com a empresa.
As informações podem ser disponibilizadas de forma eletrônica ou impressa, mas sempre de forma clara, simples e acessível, com uso de recursos audiovisuais se necessário, considerando as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário.
O titular também deve poder corrigir, editar, anonimizar e excluir seus dados quando quiser, saber se eles foram compartilhados (e com quais entidades) e transferi-los para outro responsável.
A portabilidade de dados pessoais deve funcionar como o número de celular, que você pode levar de uma operadora para outra. No caso dos dados pessoais, você pode levá-los da Netflix para o Globoplay, por exemplo. Mas as empresas ainda estão adaptando seus sistemas para permitir esse tipo de operação.
Obrigações dos agentes de tratamento de dados
A LGPD também traz as definições e responsabilidades dos agentes de tratamento de dados, que devem garantir a aplicação da lei nas empresas e a proteção dos dados dos usuários.
O controlador é a pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados pessoais. Já o operador é quem realiza o tratamento, de acordo com as decisões e orientações do controlador. A empresa que tem contato direto com o cliente seria um controlador, enquanto uma empresa de call center, por exemplo, seria um operador.
As empresas devem também nomear um encarregado, que deve fazer a comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). É a pessoa responsável pelo tratamento dos dados na empresa. Suas atividades consistem em:
- receber reclamações dos titulares dos dados, prestar esclarecimentos e resolver problemas;
- receber comunicações da ANPD e tomar providências;
- orientar a equipe da empresa sobre as medidas de proteção de dados pessoais;
- executar as atribuições definidas pelo controlador.
Dependendo da natureza e do porte da empresa e do seu volume de operações de tratamento de dados, a indicação do encarregado pode ser dispensada. Mas isso depende ainda de normas complementares da autoridade nacional.
Medidas de segurança e governança
No Capítulo VII da LGPD, o texto diz que as empresas devem adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração e outas formas de tratamento inadequado.
Caso aconteça algum incidente, o controlador deve comunicar à autoridade nacional e aos titulares quais dados foram afetados, quais riscos estão relacionados e quais medidas vai adotar para reverter e mitigar os prejuízos. Se a autoridade nacional julgar necessário, o incidente também deve ser comunicado publicamente com ampla divulgação.
Para evitar que essas situações ocorram, as empresas devem adotar boas práticas de segurança. Os agentes, individualmente ou em associações, podem formular regras de governança que estabeleçam normas, padrões técnicos, obrigações, ações educativas mecanismos de supervisão e outros aspectos relacionados ao tratamento de dados pessoais.
Com a adoção de um programa de governança em privacidade, as empresas podem demonstrar que adotaram todos os cuidados para evitar risco aos dados pessoais.
Accountability (prestação de contas)
Uma das principais mudanças da LGPD é a obrigatoriedade de prestar contas sobre as medidas de proteção de dados pessoais.
A autoridade nacional pode solicitar aos controladores um relatório de impacto à proteção de dados pessoais. Esse documento deve conter a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
7 passos para adequar sua empresa à LGPD
Agora que você já conheceu as principais disposições e mudanças da lei, vamos ver como pode adequar sua empresa à LGPD. Siga as nossas dicas para adotar uma nova postura em relação aos dados na sua empresa:
1. Realize o mapeamento dos dados
Primeiramente, realize um mapeamento da relação da sua empresa com o tratamento de dados. É importante saber quais são os dados que você precisa coletar, quais já estão sob controle da empresa e como eles estão sendo tratados atualmente.
Identifique também as políticas, procedimentos e ferramentas que a sua equipe utiliza atualmente e quais posturas precisam ser revistas.
A partir desse mapeamento, você consegue identificar quais riscos estão envolvidos no tratamento de dados da sua empresa para fazer um planejamento alinhado à LGPD.
2. Reformule contratos e documentos
Na hora do mapeamento, identifique contratos e documentos relacionados ao tratamento de dados que a sua empresa utiliza. Contratos com clientes e fornecedores ou documentos como a política de privacidade do site devem agora se alinhar às disposições da LGPD e esclarecer as formas de tratamento dos dados pela sua empresa.
Certifique-se de que esses contratos e documentos explicitam claramente a finalidade do tratamento dos dados pessoais, sempre de forma simples, clara e transparente. Se eles foram compartilhados com terceiros, essa informação também precisa constar.
Nos contratos com operadores de tratamento de dados, é importante delimitar as responsabilidades e definir as boas práticas de cada parte, a fim de minimizar os riscos das operações.
3. Defina políticas internas
A LGPD define que as empresas devem ter um programa de governança em privacidade que demonstre o seu comprometimento em adotar processos e políticas internas a favor da proteção de dados pessoais.
As políticas internas devem abranger os princípios, procedimentos e ferramentas de segurança de dados, bem como as formas de avaliação periódica da sua eficácia. Esse documento deve definir também um plano de resposta a incidentes, ou seja, como a empresa vai agir caso aconteça algum vazamento, fraude, roubo ou perda dos dados.
O programa de governança da empresa deve seguir o conceito de privacy by design, que pode ser traduzido como “privacidade desde a concepção”. A cada novo projeto, a proteção aos dados deve ser prevista desde a idealização, a fim de prevenir problemas, em vez de remediar.
Esse conceito não está disposto na LGPD, mas está na GDPR e sua aplicação favorece a proteção aos dados.
4. Adote medidas de segurança da informação
Para se adequar à LGPD, é essencial adotar medidas de segurança da informação para evitar incidentes e a exposição de dados pessoais a usos indevidos. Para isso, você pode adotar alguns protocolos e ferramentas de proteção aos dados, tanto no meio online quanto offline. Veja algumas sugestões:
- usar sistemas de criptografia de dados;
- utilizar o Certificado SSL no site ou e-commerce;
- utilizar barreiras físicas e virtuais (chaves, cadeados, senhas etc.);
- atualizar senhas periodicamente;
- definir níveis de acesso aos dados;
- adotar softwares de antivírus e atualizá-los periodicamente;
- fazer backups periódicos do banco de dados;
- assinar termos de responsabilidade e confidencialidade com colaboradores.
5. Conscientize a equipe sobre proteção de dados
O cumprimento da LGPD e das políticas internas de proteção aos dados dependam do envolvimento dos colaboradores, que lidam com os dados dos clientes no dia a dia. Não adianta fazer um documento que ninguém conhece e fica engavetado, certo?
Então, incentive a consciência e o comprometimento de todos os colaboradores com a segurança dos dados. Para isso, desenvolva uma cultura de proteção aos dados, de acordo com o conceito de privacy by design, em que todos os projetos já nascem com essa prioridade. Além disso, promova treinamentos sobre a importância da segurança da informação e do cumprimento da lei.
6. Defina um responsável pela proteção dos dados
A LGPD define o papel do encarregado pelo tratamento de dados nas empresas. É esse profissional que responde aos titulares dos dados e à ANPD, além de organizar as políticas e procedimentos de proteção aos dados.
Então, comece a preparar seus colaboradores para isso ou procure um profissional que assuma essa responsabilidade.
O encarregado também pode ser chamado de Data Protection Officer (DPO) ou Diretor de Proteção de Dados. Essa função tende a ser cada vez mais relevante no mercado, uma vez que a segurança dos dados é um tema sensível na era digital.
7. Defina uma equipe para a implementação
Para colocar as mudanças em prática, defina uma equipe responsável pela implementação. O encarregado deve ser um dos profissionais envolvidos, mas procure montar uma equipe com colaboradores de outras áreas para motivar o engajamento de toda a empresa.
Essa equipe é responsável pelo mapeamento dos dados, a revisão de contratos e a definição de políticas e medidas de segurança, além de promover treinamentos e materiais de orientação e conscientização. Depois de implementar, a equipe também deve monitorar a eficácia da aplicação das medidas e fazer os ajustes necessários.
Por fim, entenda que adequar sua empresa à Lei Geral de Proteção de Dados não significa apenas atuar em conformidade com a lei. Essas medidas também protegem de riscos que podem trazer grandes prejuízos e ainda ajudam a conquistar a confiança do consumidor. Agora, aproveite para ler também sobre o que são dados primários e dados secundários, que representam duas formas diferentes de coletar dados para as suas estratégias de marketing.