Tudo sobre a Lei Geral de Proteção de Dados

Por: Pedro César Tebaldi Gomes em 08.11.2019
Lei Geral de Proteção de Dados - LGPD

A Lei Geral de Proteção de Dados foi sancionada por Michel Temer em 2018 e entrará em vigor em 2020, com a finalidade de estabelecer diretrizes legais para as operações de tratamento de dados pessoais. Isto é, trata da coleta, armazenamento, processamento, transferência de dados, entre outras atividades previstas na lei.

Com a nova lei de proteção de dados, espera-se coibir ações lesivas aos usuários, os quais têm suas informações íntimas compartilhadas e analisadas sem sua autorização expressa. Por isso, preparamos este guia para que você possa entender o contexto de criação LGPD, compreender seus pontos mais importantes, conhecer os seus principais impactos nos negócios e dominar as principais medidas para aplicá-la adequadamente.

Preparado? Então vamos lá!

 

Entenda o que é a Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados brasileira acompanha uma tendência mundial de regulamentação do uso de dados pessoais sensíveis sem a autorização dos usuários. Os últimos anos foram marcados por grandes escândalos de utilização indevida de informações, como o caso da Cambridge Analytica.

Em alguns casos, foram vazadas listas com o número do cartão de crédito de várias contas-correntes. Em outros, conversas privadas nas mídias sociais foram vendidas com finalidades comerciais. Diante disso, os Governos precisaram criar uma legislação com a finalidade de proteger as pessoas, pois, na maioria das vezes, elas nem sequer têm oportunidade de saber o destino dos seus dados.

Por exemplo, em abril de 2019, Mark Zuckerberg, presidente do Facebook, teve de depor no Congresso americano para explicar a transmissão de dados pessoais dos usuários para uma empresa de marketing eleitoral — a Cambridge Analytica. Muitos acreditam que a utilização de estratégias de segmentação, a partir de uso indevido de dados pessoais, foram imprescindíveis para definir os resultados da corrida eleitoral estadunidense.

Um dos grandes problemas nesse contexto foi a falta de uma conduta ética por parte das duas empresas. Afinal, não houve um esforço esforço por parte do Facebook para proteger os dados pessoais dos seus usuários. Todos eles poderiam ser pessoalmente identificáveis, o que compromete o direito à privacidade de todos os cidadãos.

 

Quais são os direitos protegidos pela LGPD?

Primeiramente, devemos compreender que a lei não regula a utilização de todos os tipos de dados, mas somente os dados pessoais. É necessário que eles possam ser associados a um indivíduo específico, violando o seu direito à intimidade. Ou seja, não se incluem nesse rol nem os dados de pessoas jurídicas, nem as informações completamente anônimas.

Na própria lei, há um conceito bem conciso sobre os dados pessoais: toda aquela informação relacionada à pessoa natural identificada ou identificável. Há ainda uma subcategoria muito importante, que merece uma proteção ainda mais especial por parte das empresas, os dados pessoais sensíveis. Eles se referem às seguintes classes:

  • origem racial ou étnica;
  • opinião política;
  • convicção religiosa;
  • filiação a sindicato ou organização de caráter filosófico, religioso ou político;
  • dado genético ou biométrico;
  • dado referente à saúde ou à vida sexual.

Nesses casos, as empresas deverão fazer um esforço contínuo para a proteção dos bancos de dados e para a aplicação de ferramentas poderosas de anonimização. Assim, mesmo que um agente malicioso consiga roubar as informações, ele não poderá saber sobre quem elas se referem.

 

Quem está sujeito à proteção de dados?

A lei visa à proteção tanto de cidadãos e residentes brasileiros quanto de outros países sob algumas condições. Vamos explicar cada situação a seguir:

  • todas as operações de tratamento de dados no nosso território nacional estão sujeitas à LGPD;
  • a atividade de tratamento de dados que tenha como objetivo a oferta e o fornecimento de bens ou serviços no território nacional;
  • dados pessoais que tenham sido coletados dentro do nosso território mesmo que as operações de tratamento ocorram em solo estrangeiro;
  • dados não autorizados de residentes no Brasil.

Além disso, algumas situações de tratamentos de dados específicas não estão cobertas pela lei, como:

  • utilização para fins exclusivamente particulares e não econômicos;
  • emprego para fins exclusivamente jornalísticos, artísticos e acadêmicos desde que se cumpra todos os requisitos do arts. 7º e 11;
  • uso governamental para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

 

Valores e princípios da Lei Geral de Proteção de Dados

De forma geral, a lei de proteção de dados serve como uma forma de dar mais segurança, clareza, transparência e consentimento para as operações de coleta e análise de informações pessoais.

 

Segurança

A lei estabelece o compromisso das empresas pela segurança em todos os processos de tratamento de dados, desde a coleta, processamento até a análise, o armazenamento e o descarte. Antes da LGPD, não havia responsabilização civil para os negócios quando eles deixassem de aplicar medidas de segurança digital.

Caso as informações hospedadas fossem sequestradas por hackers ou algum funcionário vazasse as informações, não havia nenhuma punição para a empresa. Ela não era vista como responsável. Assim, os seus clientes eram prejudicados e colhiam vários danos materiais e morais sem qualquer reparação.

Com a nova lei, caso se constate que não havia medidas de proteção e anonimização de dados suficientes, a corporação também será considerada culpada pelo vazamento. Assim, ela precisará comprovar, por meio de relatórios, que conta com uma infraestrutura de segurança adequada para o tipo e o volume de dados que ela guarda.

Caso contrário, se acontecer qualquer vazamento, acidental ou criminoso, ela será obrigada a notificar todos os usuários e os órgãos responsáveis. A partir de então, estará sujeita a uma multa de até 2% do faturamento ou de até 50 milhões de reais por evento, tudo isso sem prejudicar o direito dos usuários de buscarem a reparação pelos dados.

 

Clareza e transparência

Outro grande problema em relação às políticas antigas de tratamento de dados dentro das empresas, era a falta de transparência sobre o uso das informações dos usuários. Caso questionasse as empresas sobre o assunto, eles recebiam respostas vagas que remetiam aos termos de adesão das mídias sociais, das operadoras de e-mail etc.

Esses termos, por sua vez, não eram inteligíveis para o cidadão comum. Eles eram grandes, cheio de conceitos imprecisos e tecnicidades. Na prática, isso dava uma carta-branca para que as empresas utilizassem os dados dos seus clientes da forma como bem entendessem.

A partir da LGPD, essa prática está vedada. Todas as operações de tratamento de dados precisarão ser explicadas para seus usuários de forma clara para que todo o cidadão consiga entender. Além disso, as explicações não podem estar escondidas em letras miúdas ao pé de página.

 

Consentimento

Outra mudança muito positiva para o usuário está na restrição dos consentimentos genéricos. Assim, as empresas não podem simplesmente falar que podem utilizar os dados dos clientes em eventuais transações. Elas devem deixar claros todos os seus objetivos, assim como todos os parceiros com os quais ela pode eventualmente compartilhar os dados.

Além disso, outra modificação importante trazida pela lei é a possibilidade de retirada do consentimento a qualquer momento pelo próprio usuário.

 

Acessibilidade

Devido às práticas antigas, muitos indivíduos não sabem como seus dados pessoais estão sendo utilizados pelas empresas na Internet. Com a LGPD, ele ganha o direito de solicitar informações sobre as informações cadastradas, sobre as operações executadas com elas e para quem elas foram transmitidas.

Caso conste algum erro nos registros, o usuário também poderá pedir a correção. Isso será especialmente útil no caso das operações que envolvam análise de crédito. Afinal, a pessoa terá direito a requisitar a correção de decisões automatizadas baseadas no tratamento de dados equivocados.

Nas mídias sociais, por sua vez, o usuário poderá pedir para ter acesso a todas as informações armazenadas nas plataformas. No futuro, após maior regulamentação governamental, a lei prevê também a portabilidade dos dados. Assim, caso você queira transferir seus dados de uma plataforma para outra, nenhuma parte poderá estabelecer nenhum obstáculo.

 

Punições da Lei Geral de Proteção de Dados

A nova lei traz vários instrumentos para coibir o seu descumprimento. O mais poderoso é a multa única ou diária de até 2% do faturamento líquido do negócio que esteja violando o direito dos seus usuários. Portanto, é uma lei que atinge desde o microempreendedor individual até os grandes conglomerados com atividade no Brasil.

A multa tem caráter educativo, ou seja, ela será destinada ao Governo, em vez dos usuários. No entanto, estes terão o direito de demandar judicialmente a reparação de eventuais danos morais e materiais comprovados. Assim, o prejuízo dos vazamentos poderá ser muito vultoso, levando uma empresa à falência.

 
Dashboards para Gestão à Vista

 

Saiba quais são os impactos da LGPD para o setor de TI

Não há dúvidas de que a lei demandará muitas mudanças em praticamente todos os setores. Afinal, conforme um levantamento feito pelo Serasa, 85% das empresas brasileiras relatam não estar preparadas para implementar todas as medidas exigidas pela LGPD. Além disso, 73% delas também dizem esperar que a lei gerará algum impacto significativo na sua infraestrutura de Tecnologia da Informação.

Esses desafios serão ainda maiores nas empresas com mais de cem funcionários. 72% acreditam que precisarão contratar um colaborador especializado em segurança digital para prestar assessoria contínua para alcançar a completa conformidade com a legislação. Por isso, vamos resumir algumas mudanças a seguir.

 

Mudar os modelos de negócio

Atualmente, muitos modelos de negócio estão baseados em transações de dados compartilhados entre as empresas. Em outras palavras, há um grande mercado de troca de bancos de dados para gerar inputs para operações de Big Data, Business Intelligence etc. É rara a empresa que coleta todos os dados que utiliza.

Devido às novas exigências de consentimento trazidas pela lei, isso não será mais possível sem a autorização do usuário. Então, vários tipos de negócio precisarão se adaptar:

  • as empresas de coleta e mineração de dados precisarão rever seus processos;
  • o comércio e a indústria precisarão procurar parceiros em adequação com a LGPD e também reestruturar seus procedimentos de coleta;
  • os negócios digitais deverão implementar medidas de transparência etc.

 

Ajustar os data centers

O primeiro passo deverá ser a readequação dos data centers. Isso porque servidores sobrecarregados dificultam o trabalho das ferramentas de monitoramento de banco de dados. Os processadores ficam sempre sobrecarregados e os dados muito fragmentados. Essa tarefa pode ser feita com a compra de novas máquinas ou, simplesmente, com estratégias de virtualização.

Depois disso, instale uma infraestrutura que facilite os processos de auditoria e avaliação ao instalar equipamentos dedicados exclusivamente às tarefas de gestão de dados com softwares especializados.

 

Monitorar melhor os locais de armazenamento de dados

A monitorização dos bancos de dados exige que seu negócio tenha uma infraestrutura de software adequada. Há vários sistemas disponíveis no mercado que são capazes de monitorar e gerenciar banco de dados, redes, máquinas virtuais etc. Desse modo, você terá uma visão integral de tudo o que ocorre em seu ambiente de TI. Além disso, você pode integrar essas soluções com ferramentas de segurança digital, como firewalls, criptografia, antivírus, proxies etc.

 

Garantir o consentimento de uso de dados

O grande desafio será a elaboração de uma política interna com regras bem definidas para a obtenção de consentimento do uso de dados do cliente. Essa estratégia dependerá de uma equipe multidisciplinar, no qual o jurídico estabelece todos os parâmetros para a conformidade com a lei, elabora novos termos de uso e revisa os resultados.

Já o TI precisará elaborar novas ferramentas para dar mais clareza às informações e obter o consentimento adequado dos usuários. Tudo isso demandará uma reestruturação dos processos e fluxos de trabalho.

 

Veja o que fazer para se adaptar à LGPD

O processo de adaptação à LGPD não será simples e provavelmente demandará muitas mudanças nos seus processos corporativos e a incorporação de novas práticas. Confira!

 

Realizar um diagnóstico da infraestrutura de TI da empresa

O primeiro passo será realizar um diagnóstico completo de toda a sua capacidade de TI. Assim, você poderá saber quais ferramentas já estão prontas para a LGPD e o que precisará ser adquirido, como:

  • softwares de anonimização;
  • sistemas de segurança digital;
  • aplicações de virtualização de máquinas e servidores;
  • servidores físicos;
  • unidades de processamento;
  • novos profissionais especializados em cyber security etc.

 

Mapear os processos necessários para adaptação

Simultaneamente, será preciso fazer um mapeamento completo dos seus processos atuais, pois, possivelmente, muitos deles são incompatíveis com a nova lei. Então, faça um plano com uma lista de todas as ações necessárias para que eles atendam aos novos requisitos.

 

Contar com o apoio de uma empresa de TI especializada para auxiliar na adaptação à lei

Um apoio especializado é imprescindível para a adaptação a essa lei. Estamos falando de uma norma complexa e bastante extensa, com bastantes termos técnicos jurídicos e tecnológicos. Assim, somente um de profissionais de TI especializados em segurança digital e em legislação digital poderá ser capaz de garantir a conformidade total à LGPD.

Afinal, não é somente uma questão de implementar novas tecnologias, será preciso rever os termos de uso dos seus produtos, elaborar documentos dentro dos requisitos de consentimento, revisar operações de tratamento de dados etc.

 
OpMon 360

 

Conclusão

Com a maior participação da tecnologia na vida das pessoas, a privacidade dos dados digitais se tornou uma urgência. Grande parte das nossas informações mais íntimas estão armazenadas nos bancos de dados das empresas, como número de documentações, imagens, identificação etc.

Portanto, uma lei para proteger os usuários é algo essencial. Por essa razão, seu negócio deve se preparar para atender a todas as regras da LGPD, que se tornará vigente em 2020.

Compartilhe:

Facebook
Twitter
LinkedIn

Posts Relacionados

ASSINE NOSSA NEWSLETTER E RECEBA
NOSSOS MELHORES CONTEÚDOS!

Entre para nossa lista e receba conteúdos exclusivos