O escritório BKP Advogados preparou esta seção com as principais dúvidas sobre a LGPD. Além dos esclarecimentos, você encontrará orientações sobre como manter os dados de seus clientes e colaboradores devidamente protegidos
Em sintonia com as principais legislações mundiais que tratam sobre privacidade, a Lei Geral de Proteção de Dados – LGPD surgiu no Brasil como resposta à utilização considerada predatória de informações pessoais por parte das empresas, a partir de bancos de dados coletados muitas vezes sem o conhecimento do usuário, verdadeiro dono destas informações.
A LGPD define a relação entre dados pessoais e dados sensíveis – que são informações que podem ser interpretadas para identificação ou discriminação individual do titular do dado. A lei determina os cuidados necessários com os dados e as potenciais punições para quem os desrespeita.
A partir de quando ela começa a valer?
As multas e sanções já estão valendo! Entao é essencial que você tire aqui suas principais dúvidas e busque nossa equipe para ajudá-lo a adequar a sua empresa a LGPD o quanto antes.
A LGPD impõe uma camada de proteção aos direitos dos titulares dos dados e, consequentemente, reconhece a existência desses direitos que, quando desrespeitados, podem gerar consequências graves para quem o fez.
A grande conquista desta lei é exatamente a necessidade do consenso do titular dos dados para a finalidade a que se propõe aquela coleta. Se o titular dos dados não permitiu aquela interação, ela não pode ser feita, seja ela uma simples ligação, e-mail ou SMS.
Agora, as empresas e instituições só podem recolher e manter dados autorizados pelo titular e que sejam justificados para a relação com aquele usuário. Ou seja, é proibido guardar dados não tenham utilidade prática na relação entre empresa e titular.
O objetivo disso é reduzir a circulação de dados pessoais e sensíveis de cada indivíduo, expondo-o menos ao uso irregular no caso de vazamento de dados.
Toda empresa deve manter um Comitê de Segurança da Informação, que será responsável pelo mapeamento do uso dos dados e pelo desenvolvimento dos novos métodos, já adequados às exigências da LGPD. Este comitê, seja ele múltiplo ou não, deve ter uma pessoa encarregada pelos cuidados com os dados, o DPO.
O DPO (Data Protection Officer) é uma espécie de gerente, corresponsável com a própria empresa pelo correto tratamento dos dados. É ele a pessoa a designada a realizar quaisquer esclarecimentos com a Agência Nacional de Proteção de Dados - ANPD, responsável por fiscalizar o cumprimento da lei.
Como ficam os dados que já foram coletados?
Todas as regras estabelecidas pela LGPD valem para os dados já coletados no passado.
Velhas práticas precisam ser abandonadas pelas empresas, mapeando, readequando e corrigindo todo o sistema de coleta e armazenamento de dados. Aqueles que não furem úteis para a atividade principal na relação empresa e usuário, devem ser descartados, aqueles que são relevantes, precisam da autorização do usuário.
É um trabalho que não começa daqui para frente, precisa-se retroagir.
E os dados que serão coletados?
Cabe aqui uma atenção ainda maior por parte das empresas. Os dados coletados enquanto este texto é lido, já precisam estar dentro das determinações da nova lei. Os responsáveis de cada empresa devem estruturar um plano de ação condizendo com as exigências da LGPD.
A empresa também precisa ter um plano de comunicação para casos de vazamento de dados, de forma a comunicar a seus clientes ou usuário que seus dados estão sob risco de se tornarem acidentalmente públicos, e que possam se proteger das consequências.
A ANPD não deixará que as punições passem em branco ou sejam apenas simbólicas. As multas pecuniárias podem atingir até 2% do faturamento bruto da empresa, limitadas a 50 milhões de reais, a depender da gravidade do descumprimento.
A empresa também poderá ser proibida de coletar dados pelo prazo de 1 ano, o que coloca em risco a inviabilidade de muitas empresas. Como um hospital poderá atender um paciente sem realizar o prontuário médico? Como um hotel poderá hospedar seus clientes sem coletar seus dados para cadastro?
Além das multas e sanções da ANPD, a empresa poderá sofrer consequências do Procon, do Ministério Público e indenizações pessoais pelos usuários que foram lesados.
A Autoridade Nacional de Proteção de Dados - ANPD foi criada especificamente para a fiscalização de todas as aplicações, bem como a definição de eventuais desrespeitos à Lei Geral de Proteção de Dados. Também é atribuição do órgão elaborar novas diretrizes e interpretações a respeito da lei, tornando-se uma espécie de guardiã da proteção de dados.
Qualquer pessoa (cliente, funcionário ou concorrente) pode denunciar anonimamente o descumprimento à LGPD.
A LGPD também aplica somente a empresas grandes?
Todas as empresas que atuem em território brasileiro deverão aplicar os cuidados referentes à LGPD na captação e tratamento de seus dados, sem exceção. Empresas nacionais ou internacionais, pequenas, médias ou grandes, de todos os setores. Qualquer empresa que realiza coleta de dados, precisa se adequar.
Dado pessoal é toda informação, conjunto de informações e partes de informações que identifiquem ou possam identificar um indivíduo. E essa identificação não se limita a nome e CPF.
Informações como endereço, contatos, números de documentos, placa de carro e até mesmo data de nascimento que possa ser cruzada com outra informação e apontada para o indivíduo são considerados dados pessoais.
Os dados pessoais sensíveis são aqueles que vão além da mera identificação de quem é uma pessoa. Estes dados possibilitam estruturar um perfil, com características que possam ser utilizadas para outros fins.
Características étnico-raciais, religião, posicionamentos políticos ou sociais, associação a organizações específicas, pontos de vista diversos, sexualidade, informações genéticas e biométricas e, também, dados relacionados à saúde.
Quando estes dados sensíveis são combinados aos dados pessoais, que identificam um indivíduo, eles se tornam um risco para a segurança informacional daquela pessoa, e representam o tipo mais grave de exposição.
A LGPD não é exclusividade de empresas que atuam no digital. A loja física possui informações de compras, cadastros de clientes, informações de pagamentos por cartão e uma série de outros dados armazenados em seus sistemas internos, que também podem ser violados e utilizados de forma inadequada.
Mesmo os dados que foram coletados e armazenados em papel devem se adequar completamente aos termos da LGPD, sob os mesmos riscos de penalidades que já mencionamos anteriormente. Para a LGPD não existe diferenciação ou “nível de importância” se os dados foram coletados digitalmente ou fisicamente.
É o processo de tratamento de dados que os tornam anônimos, no sentido de não poderem ser utilizados para apontar um indivíduo específico. Em outras palavras, caso um estranho tenha acesso indevido aos dados de uma certa empresa, essa pessoa não conseguirá rastrear individualmente quem são os indivíduos referentes àqueles dados, pois estão anonimizados. É um procedimento necessário para a segurança dos usuários.
Sim. É um direito garantido pela LGPD. O titular dos dados que consentiu com a coleta pode solicitar a retirada deles de forma definitiva do banco de dados da empresa, de maneira que qualquer informação de seu uso em certo serviço seja totalmente anonimizada.