A LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil, adotada em agosto de 2018, e como é determinado a contagem de vinte e quatro meses, a partir de 28 de dezembro de 2018 (data de publicação da MP nº 869/2018, que deu nova redação ao artigo 65 da LGDP), conclui-se que,  a LGPD entrará em vigor em 29 de dezembro de 2020 e não em 16 de agosto, tal como ocorreria se o prazo pudesse ser contado a partir da data original da publicação da lei.

A LGPD determina regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.

Essa legislação vem sendo assunto de muitos debates ultimamente, e levantado inúmeros questionamentos,  desde as grandes, até as pequenas e médias empresas.

Pensando nisso, preparei esse artigo para você, onde irei explicar sobre o que é a LGPD, como está a situação do Brasil, a efetividade e as características da lei, e o mais importante: como você, pequena e média empresa pode se preparar e se adequar a ela. Preparado para descobrir? Então vamos lá.

LGPD: As bases e a Definição

As Bases da Lei

Primeiramente, é importante você compreender que o assunto sobre proteção de dados inicia-se com o direito à privacidade, que, embora originalmente desenvolvido no direito e doutrina norte-americanas, foi evidenciado pela Europa, que desenvolveu a fonte mais completa e principal de proteção de dados pessoais.

A Suécia conta com o Datalegen, Lei 289 de 11 de maio de 1973. Desde 1977, a Alemanha tem uma lei federal de proteção de uso ilícito de dados pessoais.

A Dinamarca regulamenta a questão da proteção de dados pelas Leis 243 e 244, ambas de 08 de julho de 1978, que estenderam a proteção também para as pessoas jurídicas.

A França tem a Lei 78-77, de 06 de janeiro de 1978. Sendo alguns dos exemplos de como a Europa foi pioneira no desenvolvimento da legislação.

Formalmente aprovada em 24 de outubro de 1995, para entrar em vigor três anos depois, a diretriz é um amplo texto legal em matéria de proteção de dados pessoais.

Ela já exigia que cada país membro da União Europeia tenha uma agência ou comissário de proteção de dados, este último um agente estatal que supervisione a aplicação dos princípios e leis de proteção à privacidade individual.

E, em 25 de Maio de 2018, entrou em vigor o Regulamento Geral de Proteção de Dados - GDPR, um criterioso conjunto de regras sobre privacidade válido para a União Europeia, mas, que também afeta pessoas em outras partes do mundo, inclusive no Brasil.

Esse Regulamento exigia igualdade regulatória de outros países, no que tange à proteção de dados. Além disso, ela foi usada como uma base para a criação da LGPD.

Um ponto importante sobre essas regulamentações é que, referente à  proteção de dados, consequentemente, implica uma drástica mudança da cibersegurança no cenário mundial.

O que é a LGPD

A LGPD tornou-se assunto de muitos debates e uma preocupação para os empresários desde o ano passado, quando o então presidente Michel Temer sancionou a lei, no dia 14 de agosto.

O burburinho se dá pela nebulosidade em torno do assunto, o que é realmente a lei, quais proporções e desdobramentos ela terá, e, principalmente, como adequar-se à ela.

Afinal, do que se trata a LGPD? A Lei Geral de proteção de Dados é a legislação que regula a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades significativas para o não cumprimento da norma.

Objetivo da Lei

Essa lei surge com a finalidade de proteger direitos fundamentais, como:
Privacidade, autodeterminação informativa, liberdade de expressão, de informação, de comunicação e de opinião, inviolabilidade da intimidade da honra e da imagem, desenvolvimento econômico, tecnológico e a inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, dignidade e o exercício da cidadania pelas pessoas naturais.

A Efetividade da Lei

Um questionamento que surge quando tratamos da LGPD é se ela, de fato, será efetiva. Quais as proporções que ela terá?

A GDPR, que foi utilizada como base para criação da LGPD, já está em vigor, por isso e observando a maneira como a GDPR está caminhando nos países que a implementaram, a previsão é que efetividade da legislação brasileira seja uma realidade.

Só para que você tenha noção do cenário de proteção de dados e privacidade aqui no Brasil, em abril deste ano, o Ministério Público do DF requisitou um relatório de impacto à proteção de dados pessoais no Vivo Ads.

Foram solicitadas informações sobre o tratamento de dados no Vivo Ads, dentre as quais: como é feita a coleta, o armazenamento e o acesso aos dados; com quem são compartilhados; por quanto tempo os dados são retidos; quais medidas de segurança são adotadas; que tipo de dados são coletados; qual o volume de dados pessoais coletados; a fonte dos dados; até que ponto os consumidores têm controle sobre seus dados, e etc.

O MPDFT solicitou também que a Vivo prepare uma avaliação dos riscos de segurança, em uma classificação objetiva que leve em conta a probabilidade de o problema acontecer, e qual seria a gravidade do seu impacto.

Esse caso já nos dá uma noção de como será a fiscalização e a efetividade da lei no país, e como é necessário que as empresas estejam preparadas.

Características da Lei

Para compreensão maior da LGPD, precisamos analisar algumas características que a descreve. Vejamos:

Caráter multidisciplinar

Isso significa que, não só o advogado ou o departamento jurídico, ou a TI da empresa terá a obrigatoriedade de observar essa legislação, mas, sim, todos os departamentos e pessoas da empresa que estiverem relacionadas com a organização precisarão entender e conhecer sobre o tratamento dos dados dos cidadãos.

Dado Pessoal: Informação relacionada à pessoa natural identificada ou identificável

Outra característica é o que ela (Lei) protege, que trata-se do dado pessoal. Esse dado não se limita a nome, sobrenome, apelido, idade, endereço residencial ou eletrônico.

Pode incluir dados de localização, placas de automóvel, perfis de compras, número do Internet Protocol (IP), histórico de compras, dados biométricos entre outros. Sempre relacionado à pessoa viva.

Meio físico e Digital

Essa legislação não abarca somente empresas que atuam no meio digital, mas as que atuam no meio físico também precisarão se adequar.

Figuras atuantes da LGPD

As figuras de principal atuação no exercício desta lei são: Controlador, Operador, Titular do dado, DPO (encarregado de proteção de dados) e ANPD (autoridade nacional de proteção de dados) que foi criada na medida provisória que prorrogou o prazo da lei. Cada uma dessas figuras executam as seguintes atividades:

  • Controlador: Empresa que faz e se utiliza do tratamento de dados.
  • Operador: Age em nome do controlador.
  • Titular: Usuário, pessoa física que tem os dados protegidos pela lei.
  • Encarregado de proteção de dados: Aquele que fará intermediação entre o titular do dado, o controlado e a autoridade nacional de dados.
  • Autoridade nacional de proteção aos dados: Fiscaliza o cumprimento da lei.

Direitos dos titulares de Dados

O objetivo das novas regras é garantir que os indivíduos tenham controle sobre seus dados pessoais, garantindo aos titulares amplos direitos, entre eles:

  • Informação e acesso aos dados;
  • Retificação de dados incompletos, inexatos ou desatualizados,
  • Anonimização;
  • Bloqueio ou eliminação de dados desnecessários,
  • Cancelamento e oposição;
  • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e resguardados os segredos comerciais e industriais;
  • Revogação de consentimento.

Aplicação Extraterritorial

A LGPD tem alcance extraterritorial, ou seja, efeitos internacionais, na medida em que se aplica também aos dados que sejam tratados fora do Brasil, desde que a coleta tenha ocorrido em território nacional, ou por oferta de produto ou serviço para indivíduos no território nacional, ou que estivessem no Brasil.

Desse modo, o dado pessoal tratado por uma empresa de serviço de cloud computing (computação em nuvem), que armazene o dado fora do país, terá que cumprir as exigências.

Tratamento de Dados

Toda operação realizada com algum tipo de manuseio de dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, edição, eliminação, avaliação ou controle de informação, modificação, comunicação, transferência, difusão ou extração.

Existem regras específicas para tratar dos seguintes dados:  dados sensíveis (dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico); transferência internacional de dados (permitido pela lei, por meio de adoção de selos, certificados e códigos de conduta regularmente emitidos e autorizados pela Autoridade Nacional); e, utilizar dados de crianças e adolescentes.

Mapeamento do tratamento de dados

Toda e qualquer atividade de tratamento de dados pessoais deve ser registrada, desde a sua coleta até a sua exclusão, indicando quais tipos de dados pessoais serão coletados.

A base legal que autoriza o seu uso e finalidade, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento, e com quem os dados podem ser eventualmente compartilhados, metodologia também conhecida como data mapping.

Data Protection Officer (DPO)

Toda empresa responsável por tratamento de dados deverá nomear um Encarregado da Proteção de Dados Pessoais.

A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

As atividades do encarregado consistem em:

Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas à serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador, ou estabelecidas em normas complementares.

A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive, hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Idosos , Microempresários e Startups

A  CMMVP  - Comissão mista da Medida Provisória 869/2018 - aprovou no dia 07/05/2019 o relatório do deputado Orlando Silva (PCdoB-SP), que, dentre outras disposições, prevê atendimento diferenciado para idosos.

A ANPD(Associação Nacional de Pós-Graduação e Pesquisa em Administração) deve garantir que o tratamento de dados dos maiores de 60 anos seja efetuado “de maneira simples, clara e acessível e adequada ao seu entendimento”.

A ANPAD também deve editar normas, orientações e procedimentos simplificados e diferenciados para atender as empresas de pequeno porte.

Na complementação de voto, o deputado Orlando Silva estendeu o benefício às startups – empresas emergentes que têm como objetivo inovar, desenvolver ou aprimorar um modelo de negócio.

8 Passos de como as PMEs podem se preparar para LGPD

Quantas informações em?! A LGPD tem uma série de características e desdobramentos que espero  ter conseguido esclarecer para você ao longo deste artigo, ainda que de uma forma sucinta.

Diante tantas informações e dúvidas a respeito da legislação, surge uma muito pertinente: Como as pequenas e médias empresas podem se adequar à essa nova lei? Por onde começar? À seguir, mostrarei a você oito passos que te ajudarão nessa adequação.

1. Autoconhecimento

O primeiro e fundamental passo é o autoconhecimento. A empresa precisa saber quem ela é, o seu modelo de negócio e conhecer toda a sua atividade. Desde a autogestão da empresa, a diretoria até empregadores e prestadores. Todos os que se relacionam e estão envolvidos com a empresa devem conhecer o modelo de negócio.

2.  Conscientização

Todos aqueles que estão envolvidos na empresa devem ter consciência da importância da lei, conhecer os dispositivos legais, os dados pessoais, e devem entender bem o modelo de negócio.

3. Mapeamento de Dados

Um modelo de mapeamento de dados já encaminhado que apresente os seguintes itens:

  • Quais são os dados que eu coleto? De qual categoria de pessoas?
  • Esse dado é essencial?
  • Qual será a hipótese legal para o tratamento?
  • Ele precisa ser guardado? Em qual local?
  • Por que ele precisa ser guardado?
  • Por quanto tempo ele precisa/pode ser armazenado?
  • É possível pseudo anonimizá-lo?
  • O dado está sendo duplicado?
  • Será transferido para país estrangeiro?

4. Mapear o Ciclo de vida do Dado

Um passo muito importante nesse processo de adequação a lei é mapear o ciclo de vida do dado tratado pela empresa. Abaixo temos uma figura que representa esse ciclo:

5. Revisão ou Implementação de Políticas de Segurança

Caso a empresa já tenha políticas de segurança, englobando a segurança da informação, a mesma precisa revisar essas políticas a fim de saber se elas estão de acordo com a LGDP, e se efetivamente  vai proteger o dado do cidadão.

Caso não tenha, é de extrema urgência que a empresa adote e estabeleça essas políticas.

6. Elaboração e Revisão de Contratos, Políticas, Termos

Estas revisões e elaborações envolvem desde os contratos de prestadores de serviços, contratos de trabalho, até termos de consentimento e políticas de privacidade. Tudo precisa ser revisado e verificado para que esteja de acordo com as exigências da lei.

7.  Nomeação de um encarregado de Proteção de Dados

É fundamental, para que a empresa esteja em conformidade com a lei, a nomeação do DPO, o encarregado de proteção de dados.  Ele cria procedimentos e protocolos internos, para que a empresa desenvolva produtos que coletem dados de maneira lícita.

8. Elaboração do Relatório de Impacto de Privacidade

Consiste, basicamente, em uma documentação que descreve os processos de tratamento de dados pessoais que podem gerar algum risco aos direitos dos titulares, além das medidas e mecanismos empregados para mitigar esses riscos.

A construção do relatório parte do detalhamento de todos os processos de tratamento, pelos quais os dados pessoais passam durante o seu ciclo de vida na operação, assim como, das bases legais necessárias e as medidas de segurança adotadas.

Essa descrição permite identificar o data mapping da empresa, e, à partir dessa fotografia, endereçar quais medidas devem ser tomadas e quais são os agentes ou interessados que devem ser envolvidos na operação.

É importante finalizarmos esses passos trazendo a você a consciência de que eles são parte de um processo contínuo, sendo este processo dividido em 4 medidas básicas, dentre  os oito passos que já falamos. A saber:

Conclusão

A LGPD é uma legislação que entrará em vigor logo, e tendo isso em vista, mudanças e adequações na maneira como as empresas irão tratar os dados dos clientes são ações muito necessárias.

Por isso é de extrema importância para a continuidade do seu negócio está informado e adequado a essa nova lei.

Agora que já apresentei a você o que é a lei, suas exigências e os passos iniciais necessários para que sua empresa não fique de fora da mesma e sofra danos, desejo que você fique atento ao assunto e prepare-se para essa realidade.

Você pode aprofundar ainda mais sobre a LGPD e as PMEs na palestra da advogada Tatiana Moreira Guimarães que atua na área do direito empresarial, e presta consultoria para empresas de pequeno, médio e grande porte.

Ela esteve conosco dividindo um pouco da sua experiência, conhecimento e tirando dúvidas.

Clique no link abaixo e confira:

Conference-blog-01-2