Sancionada em 2018 e entrando em vigor em setembro de 2020, a Lei Geral de Proteção de Dados (LGPD)[1], Lei nº 13.709/2018, modificou a forma de funcionamento de operações de negócios e organizações, de forma a estabelecer regras sobre a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, garantindo maior proteção de tais dados e uma penalidade mais rigorosa no caso de não cumprimento de suas diretrizes.
Para as empresas preparadas e corretamente orientadas, a LGPD pode trazer uma série de benefícios, dentre eles o crescimento dos lucros, melhor gestão dos dados coletados e armazenados, além de maior confiabilidade e segurança por parte dos clientes.
Neste artigo, explicaremos o que é a LGPD, informações e procedimentos que irão facilitar a sua implementação correta nos sistemas internos das empresas, e como as empresas podem usufruir das vantagens trazidas pela Lei.
O Surgimento da LGPD
Nos últimos anos temos observado o crescente avanço da tecnologia e do mundo digital, sendo que este último ganhou importância e destaque no nosso modo de viver e de trabalhar. Diante deste cenário, no âmbito empresarial, viu-se a necessidade da adoção de medidas que ordenassem o tratamento de dados pessoais de seus usuários.
Foi neste cenário que a União Europeia se destacou ao regular o tratamento de dados através do Regulamento Geral sobre a Proteção de Dados (General Data Protection Regulation – “GDPR”)[2], vigente na Europa desde 2018.
No Brasil não poderia ser diferente, foi então que em agosto de 2018, a Lei Geral de Proteção de Dados foi divulgada pelo Diário Oficial da União. Inicialmente, nossa legislação chegou a contar com dispositivos que tratavam sobre o direito à privacidade, como a Lei de Acesso à Informação[3], Lei Carolina Dieckman[4] e o Marco Civil da Internet[5], porém nada que fosse tão especificamente voltado à proteção de dados pessoais, com adoção de medidas de segurança no tratamento e armazenamento destes dados, no mundo digital.
O Que É a LGPD?
A LGPD estabelece regras sobre coleta, tratamento, armazenamento e compartilhamento de dados pessoais, exigindo maior proteção nos processos que tratam estes dados, e aplicando penalidades em caso de descumprimento. Suas disposições se aplicam a qualquer pessoa (física ou jurídica) que trate dados e informações capazes de identificar uma pessoa física.
Para melhor compreensão da Lei, é necessário, primeiramente, diferenciar os tipos de dados que ela prevê. São eles:
- Dados Pessoais: aqueles que permitem a identificação de uma pessoa, de forma direta ou indireta (RG, CPF, carteira de habilitação, passaporte, endereço, telefone, endereço de e-mail e afins).
- Dados Pessoais Sensíveis: em conformidade com a disposição do artigo 5º da LGPD, são dados que façam referência a “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Aos Dados Pessoais Sensíveis é conferida uma proteção ainda maior, tendo em vista estarem direta e intimamente ligados aos aspectos mais intrínsecos e particulares de cada indivíduo. Desta forma, o tratamento destes dados em específico somente podem ocorrer após o consentimento (ciência e concordância) do titular, de acordo com a disposição do artigo 5º, inciso XII da referida Lei.
Quais Princípios Norteiam a LGPD?
Ainda, a Lei se utiliza de direitos fundamentais já constantes no ordenamento jurídico, como a liberdade e a privacidade, como norteadores de suas regras e disposições. É neste contexto que encontramos 10 princípios que conduzem o processo e os procedimentos estabelecidos para o tratamento dos dados pessoais da LGPD. Com isso, toda e qualquer empresa ou organização deve respeitá-los e segui-los para encontrar-se em conformidade com seus dispositivos. Abaixo explicaremos de forma breve cada um destes princípios:
- Finalidade: Tratamento de dados para propósitos legítimo, específicos e explícitos, sem a possibilidade de tratamento posterior ou que seja incompatível com as finalidades informadas anteriormente.
- Adequação: Os dados coletados devem ser compatíveis com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
- Necessidade: Solicitação de dados estritamente necessários, com abrangência pertinente, proporcional e não excessiva para a realização de suas finalidades.
- Livre Acesso: Garantia, ao cliente/titular dos dados, de consultar de forma simples, facilitada e gratuita sobre a forma e a duração do tratamento.
- Qualidade de Dados: Garantia de exatidão, clareza, relevância e facilidade na atualização dos dados, de acordo com a necessidade e para o fiel cumprimento da finalidade de seu tratamento.
- Transparência: Garantia de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento. Trata-se do direito do cliente de ser informado e entender de forma transparente como os dados são tratados e quais os responsáveis pelo tratamento.
- Segurança: Trata-se da adoção de medidas aptas a proteger os dados, garantindo a devida segurança e confidencialidade dos mesmos, inclusive evitando o acesso ou uso dos dados por pessoas não autorizadas. Cabe às empresas buscar, constantemente, tecnologias de proteção que garantam a integralidade e segurança dos dados.
- Prevenção: Adoção de medidas e iniciativas que previnam a ocorrência de quaisquer danos em virtude do tratamento de dados.
- Não Discriminação: Trata-se da forma como os dados são utilizados, ou seja, as empresas não podem utilizar os dados coletados para a finalidade de utilizá-los de forma discriminatória, ilícita ou abusiva.
- Responsabilização e Prestação de Contas: É a adoção de um conjunto de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados perante a Autoridade Nacional de Proteção de Dados (ANPD).
Aplicação da LGPD nas Empresas Através do DPO
Para a correta implementação da LGPD no âmbito empresarial, as organizações precisam, inicialmente, realizar um mapeamento de dados para não se atrasar em relação à adequação e nem se expor aos riscos da não conformidade. Também é importante mapear os processos e procedimentos que envolvam o tratamento destes dados.
Para esta função, a Lei prevê a figura do DPO (Data Protection Officer)[6], que é, justamente, a pessoa responsável pelo acompanhamento, implementação e manutenção da proteção de dados dentro da empresa. Ao DPO também cabe servir como interface entre a empresa e a Autoridade Nacional de Proteção de Dados (ANPD). Este profissional pode ter formação na área de Tecnologia ou Direito, sendo que deve possuir conhecimento prático e teórico sobre os sistemas internos utilizados pela empresa, bem como conhecer os pormenores da LGPD.
Controles Para a Implantação da LGPD
Neste tópico, listamos alguns dos principais passos que devem ser dados para a correta e eficaz implementação do tratamento de dados em empresas e organizações. Veja:
- Identificação de Riscos e Ameaças
O primeiro passo a ser adotado é a identificação dos riscos e ameaças, compreendendo as vulnerabilidades aos quais a empresa pode estar exposta. Isso porque, a depender das informações extraídas após a identificação dos riscos e ameaças, será necessário um plano de ação imediato para mudar este quadro. Vale lembrar também que esta identificação se dá em arquivos digitais e físicos.
- Proteção dos Dados
Após a identificação dos riscos e ameaças à empresa, é necessário buscar meios de proteção das informações e dados armazenados, seja da empresa, de clientes ou de fornecedores. Bons exemplos para a proteção dos dados seria através da utilização da criptografia com diferentes níveis de acesso, e restrição de acesso às informações de acordo com o cargo exercido por cada membro interno da empresa.
- Implementação Melhorias de Sistemas e Processos
A melhoria dos sistemas anda de mãos dadas com a proteção de dados. Isso porque a melhoria contínua e o hábito de avaliar e corrigir são iniciativas que evitam problemas como vazamento de dados. Para isso, também é interessante manter um manual interno de boas práticas para o tratamento de dados à disposição dos colaboradores, para que estes saibam como proceder no tratamento e armazenamento dos dados.
- Identificação de Riscos e Ameaças
A utilização de antivírus, firewalls e VPN’s, por exemplo, pode ajudar a deixar os computadores e redes mais seguros, de forma a evitar invasões de hackers, que podem roubar dados e informações dos bancos de dados da empresa. A equipe de TI pode orientar, ou até fazer um manual para a equipe sobre como analisar possíveis ameaças que a empresa pode estar exposta.
- Elaborar um Plano de Ação em caso de Incidentes
Mesmo com um sistema preventivo, conforme indicado acima, vazamentos de dados podem ocorrer em algum momento e devem ser tratados com celeridade e atenção. Para isso, é importante ter um bom plano de contingência e ferramentas de Backup para que as informações sejam rapidamente recuperadas.
- Avaliação de Danos
Outra questão relevante refere-se aos danos que o vazamento de dados pode trazer para quem confiou informações à empresa. Isso porque a sua empresa pode ser multada em até 2% do faturamento total, podendo chegar ao limite de R$ 50 milhões.
Conclusão
A LGPD veio para mudar a maneira como a coleta, tratamento e armazenamento de dados e informações ocorre. Dentro de uma empresa ou organização, é importante que sejam observados os requisitos que a Lei exige serem cumpridos, bem como mapear os procedimentos internos e adotar políticas corporativas que corroborem com a disposição da Lei.
Para o devido cumprimento da LGPD: também é importante a implementação da figura do DPO dentro da empresa, bem como a adoção de um sistema que auxilie na gestão destes dados, o qual deverá cumprir os requisitos de segurança impostos pela Lei.
Ainda, uma boa consultoria jurídica, neste sentido, é essencial para o melhor entendimento da Lei, e para entender o que é necessário implementar ou modificar nos procedimentos internos de cada empresa de acordo com as necessidades observadas.
“Com avanço tecnológico e o compartilhamento de informações, não há sequer um segundo em que não estamos vulneráveis e a mercê da violação de dados pessoais, a proteção destes elementos é uma garantia fundamental de todos nós.” – Josiene Rodrigues Rocha.
Ficou com alguma dúvida? Consulte nossa equipe (clique em ‘fale conosco‘ ou converse conosco via WhatsApp).
Clique aqui e leia mais artigos escritos por nossa equipe.
Autora
GABRIELA VIEIRA SERRANO, Advogada (OAB/PR sob o nº 116.711) graduada em Direito pela Pontifícia Universidade Católica do Paraná (PUCPR).
Referências
[1] Lei nº 13.709, de 14 de agosto de 2018. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm> Acesso em 9 de junho de 2023.
[2] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016. Disponível em: <https://eur-lex.europa.eu/eli/reg/2016/679/oj> Acesso em 10 de junho de 2023.
[3] Lei nº 12.527, de 18 de novembro de 2011. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm> Acesso em 10 de junho de 2023.
[4] Lei nº 12.737, de 30 de novembro de 2012. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737.htm> Acesso em 10 de junho de 2023.
[5] Lei nº 12.965, de 23 de abril de 2014. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm> Acesso em 10 de junho de 2023.
[6] Quem é o DPO? Conheça o novo guardião dos dados pessoais. Disponível em: <https://www.lgpdbrasil.com.br/quem-e-o-dpo-conheca-o-novo-guardiao-dos-dados-pessoais-2/> Acesso em 12 de junho de 2023.