Na Era Digital, a preocupação com a segurança dos dados é grande. Seguindo tendência internacional, o Brasil sancionou, no ano passado, a Lei Geral de Proteção de Dados (LGPD).

O debate sobre assunto surgiu em 2010, mas ficou ainda mais forte em 2018, quando a União Europeia criou normas de regulamentação do uso de dados.

O que diz a lei? Quando ela passa a valer? Quem vai ter se adaptar? Durante o texto, vamos explicar tudo que você precisa saber sobre LGPD. Confira.

O caso da Cambridge Analytica

Antes de entrar propriamente na conversa sobre LGPD, é importante entender de onde saiu a necessidade de criar uma lei para regulamentação de dados.

Em março de 2018, tablóides do mundo todo denunciaram o vazamento sem precedentes das informações de 50 milhões de usuários do Facebook.

Os dados foram enviados sem o consentimento de nenhum desses usuários pela empresa americana Cambridge Analytica para fazer propaganda política.

Você ia ficar confortável sabendo que uma empresa sabe, sem você ter enviado qualquer informação, seu endereço, sua renda mensal e seus hábitos de consumo? Provavelmente não.

O episódio desencadeou uma série de discussões sobre a necessidade de proteger melhor os dados pessoais.

A coleta das informações foi possível por causa de uma brecha nos termos e condições do Facebook, que dizia que nenhum dado coletado da rede poderia ser vendido.

Porém, em um teste psicológico da Global Science Research feito da plataforma, essa restrição não foi aplicada.

Dessa forma, todos que fizeram o teste tiveram seus dados vendidos para a Cambridge Analytica, que fazia análise de dados e que era contratada pela campanha presidencial de Donald Trump e pelo pró-Brexit, que promovia a saída do Reino Unido da União Europeia.

Na Europa, foi criada a General Data Protection Regulation (GDPR), que, no Brasil, se transformou na LGPD.

Agora que deu para entender a importância de uma lei regulatória, vamos saber mais sobre a LGPD.

O que é a LGPD

LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil. A Lei Federal nº 13.709/2018 foi sancionada em agosto de 2018 pelo presidente Michel Temer e entrará em vigor em 2020.

Com a implementação da LGPD, o nosso país se junta a outras 120 nações que possuem políticas de proteção de dados pessoais.

Antes da LGPD, o Brasil possuía alguns tópicos isolados sobre o assunto dentro do Marco Civil da Internet e do Código de Defesa do Consumidor.

Além de regras sobre recolhimento, armazenamento, tratamento e compartilhamento de dados pessoais, a LGPD impõe mais proteção e prevê punições para seu descumprimento.

Ao todo, são 10 artigos organizados em 65 capítulos na lei. Esse número alto é consequência da falta de regulamentação anterior. Agora, a privacidade dos dados pessoais é protegida de forma mais ampla.

Como são assuntos que, até então, não tinham sido tratados constitucionalmente, a LGPD pode gerar algumas dúvidas. Continue lendo o texto que a gente te explica tudo.

Quando o cumprimento da lei passa a ser obrigatório?

Como falamos anteriormente, a LGPD entra em vigor em agosto de 2020. Então, só a partir dessa data é que o seu cumprimento vai ser exigido.

Entretanto, o ideal é que os gestores já comecem a colocar em prática o que diz a lei. Dessa forma, a empresa já se acostuma com os requisitos legais para quando a LGPD entrar em vigência.

Além disso, essa regulamentação de uso de dados pessoais já existe em diversos países. Se sua empresa é multinacional, é provável que já tenha tido que se adequar às normas.

O que são considerados dados pessoais?

Os dados pessoais são toda e qualquer informação que permita a identificação daquele indivíduo, como nome, endereço, e-mail, número de documentos, telefone e dados de cadastros.

Não entra, na LGPD, o tratamento das informações classificadas como dados pessoais sensíveis, que são preferências políticas, filosóficas, orientação sexual, religião, a menos que eles possam ser usados para identificar alguém.

É importante salientar que a LGPD se aplica tanto pelas operações de tratamento de dados realizadas por pessoas físicas quanto para as executadas por pessoas jurídicas.

Isso quer dizer que, independentemente do meio, do país de sede da empresa, (sendo ela de direito público ou privado), ou de quem são as informações, a LGPD se aplica a quaisquer dados que tenham sido coletados no Brasil.

As bases de tratamento de dados

A LGPD regulariza o tratamento de dados pessoais e estabelece para empresas quando elas podem tratar os dados. Assim, são dadas justificativas que dão direito à  empresa de fazer esse tratamento.

Essas explicações são essenciais para a aplicação da LGPD, pois, dessa forma, é estabelecido um limite entre tratamento legal e ilegal das informações.

Para que os dados possam ser tratados, é preciso que o usuário deixe claro seu consentimento. Para ser uma justificativa válida, esse consentimento deve ser inequívoco, ou seja, todas as informações sobre o uso dos dados devem estar evidentes.

Sabe aquelas letrinhas pequenas ou aquele asterisco com nota de rodapé? Elas podem anular essa autorização da LGPD.

Os textos, de acordo com a LGPD, devem ser escritos de forma que todos os usuários tenham pleno conhecimento do que vão ou não autorizar.

Quem vai ser afetado pela LGPD?

No meio jurídico, existem 4 denominações para as pessoas envolvidas nas operações da LGPS: o titular, o controlador, o operador e o encarregado.

O titular é, no caso de ser uma pessoa física, o proprietário dos dados. Se for o número do seu telefone, por exemplo, o titular é você.

O controlador é a pessoa jurídica que recebe esses dados. Ele é diferente do operador, que é a empresa que coleta os dados através de automação.

O encarregado é o profissional responsável pela segurança e pela proteção desses dados. É ele que fica em contato direito com a Autoridade Nacional de Proteção de Dados (ANPD), que vamos falar mais pra frente.

Como ela vai impactar as empresas?

Todas as empresas que trabalham com análise ou coleta de dados vão ter que, obrigatoriamente, se adequar à LGPD.

Dessa forma, elas deverão solicitar a permissão do titular dos dados para que eles possam ser analisados. Esse consentimento deve ser explicado em detalhes.

O consumidor deve ser informado sobre qual o propósito que a empresa tem ao coletar seus dados, qual vai ser o período de utilização e como alterar ou cancelar a concessão dos dados.

A principais mudanças com a LGPD

A LGPD se preocupa em garantir a privacidade e o controle de dados, aumentando a segurança dos usuários em relação ao sigilo de suas informações.

Os direitos estabelecidos pela LGPD incluem algumas mudanças que merecem atenção:

Direito ao esquecimento

O direito ao acesso permite que as pessoas saibam quais conteúdos uma empresa armazena sobre elas.

O direito ao esquecimento diz respeito ao controle do usuário sobre a maneira como ele é exposto. Se existe algum conteúdo que a pessoa quer retirar da Internet, a LGPD garante a possibilidade de exigir a remoção desse conteúdo.

Informação e explicação sobre o uso das informações

O direito à informação é aquele que prevê a transparência na hora de saber quais os dados serão tratados e por quê.

As empresas, com a LGPD, serão obrigadas a deixar claro o porquê dela armazenar os seus dados, por quanto tempo ele ficará guardado e o que pode ser feito caso você mude de ideia.

Correção e devolução dos materiais

É direito do consumidor poder retificar, cancelar ou excluir da posse da empresa qualquer dado pessoal, a qualquer momento, depois da implementação da LGPD.

Instituições financeiras

Os bancos costumam ter um cadastro de clientes que contém os principais dados sobre cada um. Com a LGPD, a proteção de crédito fica mais forte graças a algumas mudanças.

Os sistemas financeiros anteriores eram chamados de opt-out, em que o cliente teria seus dados comunicados entre os bancos, sem a autorização prévia dessa pessoa.

Com a LGPD, o sistema muda para opt-in. Dessa forma, o cliente deve enviar uma autorização para que a informação saia de um banco e vá para outro. Isso leva à portabilidade dos dados, tópico a seguir.

Portabilidade dos dados

Com a LGPD, os titulares dos dados pessoais podem solicitar a portabilidade, ou seja, eles podem pedir para que as suas informações saiam daquela empresa e sejam transferidas para outro serviço.

Essa autorização deve ser enviada pelo cliente seguindo, também, o direito à informação. Ou seja, nenhuma cláusula pode ser estar nas entrelinhas.

Aplicação extraterritorial

Assim como no modelo europeu, a LGPD tem aplicações extraterritoriais. Dessa forma, toda empresa que tratar de dados de cidadãos brasileiros ou de estrangeiros que moram no Brasil tem que seguir a Lei.

Na LGPD, não importa se a sede ou filial da empresa está localizada no Brasil. Se tiver dados que incluam pessoas do/no país, é preciso cumprir as normas.

A LGPD tem um “efeito dominó” porque é preciso estar em conformidade com a lei em todas as etapas dos processos, e isso inclui a hora de lidar com empresas parceiras.

Mais fiscalização

Antes da LGPD, não era possível fiscalizar como os dados estavam sendo utilizados. Também não era possível exigir transparência nas transações das informações pessoais.

Foram criados órgãos especializados, que podem aplicar punições àqueles que descumprirem a LGPD.

Quem é responsável pela fiscalização?

A fiscalização foi um dos maiores impasses na implementação da LGPD. A Lei foi sancionada em 2018, mas, no mesmo período, foi vetada a criação de um órgão regulador.

O argumento foi que, nos moldes dos legisladores, haveria uma falha. O Poder Legislativo estaria criando despesas ao Poder Executivo, prática que seria inconstitucional.

Em dezembro de 2018, o presidente Michel Temer editou a medida que criava a ANPD, mas com várias restrições em relação ao texto original.

Nesse processo de discussão da LGPD foi criada, a partir da Medida Provisória 869/18, a Autoridade Nacional de Proteção de Dados (ANPD).

Ela é a principal responsável por fiscalizar o cumprimento das normas que foram fixadas na Lei. A qualquer momento, a ANPD poderá pedir relatórios de riscos de privacidade às empresas.

A medida serve para certificar de que as organizações estão dentro das normas estabelecidas pela  LGPD.

Em 2020, quando a Lei realmente entra em vigor, um grupo com 23 representantes do poder público e civil ficarão a cargo da fiscalização a nível nacional.

Esses representantes vão formar o Conselho Nacional da Proteção de Dados Pessoais e da Privacidade, órgão que vai ficar responsável por promover debates e disseminar informações sobre a LGPD.

Os vetos da ANPD

A medida provisória da criação da ANPD foi aprovada em maio deste ano pela Câmara e pelo Senado, mas com diversas modificações em relação à original.

Dentro da LGPD, a ANPD passou a ter natureza transitória, podendo ser transformada em autarquia (órgão independente) ou ser vinculada à Presidência da República após dois anos. Esse critério é escolhido pelo governo.

Por enquanto, a ANPD possui a seguinte divisão: Conselho Diretor (órgão máximo de direção), Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, órgão de assessoramento jurídico próprio e unidades de aplicação da lei.

Os diretores serão nomeados para mandatos fixos, e o Conselho Nacional permanece com 23 representantes, entre titulares e suplentes.

Todos os itens vetados tinham sido incluídos pelos parlamentares. Neste ano, o presidente Jair Bolsonaro barrou o dispositivo que permitia à ANPD cobrar taxas por serviços prestados.

A justificativa do Presidente foi de que não poderia haver cobrança de uma instituição de natureza jurídica transitória da Autoridade. Dessa forma, a ANPD passa a depender do Orçamento da União.

Existem outros vetos que serão analisados em nova sessão do Congresso, ainda sem data marcada. São necessários, segundo o Senado, os votos de pelo menos 257 deputados e 41 senadores para derrubar um veto presidencial.

Caso a LGPD seja descumprida

A partir de agosto de 2020, as penalidades para o descumprimento da LGPD passam a valer. As punições podem causar prejuízos financeiros e proibições.

As sanções envolvem:

  • Advertência. Nesse caso, haverá um prazo para corrigir as medidas. Depois, acontece a fiscalização novamente;
  • Multa simples, que chega a até 2% do faturamento líquido da pessoa jurídica, com o máximo de 50 milhões de reais por infração;
  • Multa diária;
  • Publicação da infração, caso seja confirmada;
  • Proibição total ou parcial das atividades relacionadas ao tratamento de dados;
  • Bloqueio dos dados pessoas envolvidos na infração enquanto a situação não for regularizada e, em caso de outro descumprimento, há a eliminação desses dados.

Sua implantação vai ser um desafio, mas a LGPD já é vista como um avanço na segurança dos dados, ao assegurar ao usuário o controle dos próprios dados.

Assim como outras leis, a LGPD pode sofrer algumas alterações decorrentes das necessidades que podem aparecer durante sua implementação. Por isso, fique sempre de olho. Ouça também o nosso podcast sobre o assunto.

2019_outubro_deskmanager_LGPD_blog