LGPD: Como as PMEs entram em conformidade com a lei?
A LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil, legislação promulgada pelo presidente Michael Temer em 14 agosto de 2018, tendo determinado a contagem de vinte e quatro meses, a partir de 28 de dezembro de 2018.
Contudo, uma nova publicação da MP nº 869/2018 deu nova redação ao artigo 65 da LGPD, concluindo assim que, a lei entrará em vigor em 16 de agosto de 2020.
A LGPD determina regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
Ainda existe um grande alvoroço acerca do tema, muitas dúvidas e desafios, tanto para as grandes quanto para as PMEs.
Pensando nisso, preparamos esse artigo para você, onde iremos explicar sobre o que é a LGPD, como está a situação do Brasil, a efetividade, as características da lei e o mais importante: como você, pequena e média empresa pode se preparar e se adequar a ela.
Preparado para descobrir? Então vamos lá!
LGPD: As bases e a Definição
As Bases da Lei
Primeiramente, é importante você entender que o assunto sobre proteção de dados inicia-se com o direito à privacidade, que, embora originalmente desenvolvido no direito e doutrina norte-americanas, foi evidenciado pela Europa, que desenvolveu a fonte mais completa e principal de proteção de dados pessoais.
Vejamos agora alguns países que já contam com o princípio do direito à privacidade há algum tempo:
- A Suécia conta com o Datalegen, Lei 289 de 11 de maio de 1973. Desde 1977, a Alemanha tem uma lei federal de proteção de uso ilícito de dados pessoais.
- A Dinamarca regulamenta a questão da proteção de dados pelas Leis 243 e 244, ambas de 08 de julho de 1978, que estenderam a proteção também para as pessoas jurídicas.
- A França tem a Lei 78-77, de 06 de janeiro de 1978. Sendo alguns dos exemplos de como a Europa foi pioneira no desenvolvimento da legislação.
Formalmente aprovada em 24 de outubro de 1995, para entrar em vigor três anos depois, a diretriz é um amplo texto legal em matéria de proteção de dados pessoais.
Ela já exigia que cada país membro da União Europeia tenha uma agência ou comissário de proteção de dados, este último um agente estatal que supervisione a aplicação dos princípios e leis de proteção à privacidade individual.
Diante disso, em 25 de Maio de 2018, entrou em vigor o Regulamento Geral de Proteção de Dados - General Data Protection Regulation (GDPR), um criterioso conjunto de regras sobre privacidade válido para a União Europeia, mas, que também afeta pessoas em outras partes do mundo, inclusive no Brasil.
Esse Regulamento exigia igualdade regulatória de outros países, no que tange à proteção de dados. Além disso, ela foi usada como uma base para a criação da LGPD.
Um ponto importante sobre essas regulamentações é que, por tratarem da proteção de dados, consequentemente, implicam em uma drástica mudança da cibersegurança no cenário mundial.
O que é a LGPD?
A LGPD tornou-se assunto de muitos debates e uma preocupação para os empresários desde o ano 2018, quando o então presidente, Michel Temer, sancionou a lei, no dia 14 de agosto.
A agitação se dá pela nebulosidade em torno do assunto, afinal o que realmente é a lei? Quais proporções e desdobramentos ela terá? E, principalmente, como adequar-se à ela?
Mas afinal, do que se trata a LGPD?
A Lei Geral de proteção de Dados é a legislação que regula a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades significativas para o não cumprimento da norma. Ela é um marco legal de grande impacto, englobando instituições públicas e privadas.
Essa lei surge com a finalidade de proteger direitos fundamentais, como:
- Privacidade;
- Autodeterminação informativa;
- Liberdade de expressão, de informação, de comunicação e de opinião;
- Inviolabilidade da intimidade da honra e da imagem;
- Desenvolvimento econômico, tecnológico e a inovação;
- A livre iniciativa, a livre concorrência e a defesa do consumidor;
- Direitos humanos: o livre desenvolvimento da personalidade, dignidade e o exercício da cidadania pelas pessoas naturais.
A Efetividade da Lei
Um questionamento que surge quando tratamos da LGPD é se ela, de fato, será efetiva. Será que ela vai mesmo funcionar?
Lembra da GDPR, lei utilizada como base para criação da LGPD? Pois bem, ela já está em vigor, por essa razão, ao observamos a maneira como a GDPR está caminhando nos países que a implementaram, a previsão é que efetividade da legislação brasileira seja uma realidade.
Só para que você tenha noção do cenário de proteção de dados e privacidade aqui no Brasil, em abril de 2019, o Ministério Público do DF requisitou um relatório de impacto à proteção de dados pessoais no Vivo Ads.
Foram solicitadas informações sobre o tratamento de dados, dentre as quais:
- Como é feita a coleta, o armazenamento e o acesso aos dados;
- Com quem são compartilhados; por quanto tempo os dados são retidos;
- Quais medidas de segurança são adotadas; que tipo de dados são coletados;
- Qual o volume de dados pessoais coletados; a fonte dos dados;
- Até que ponto os consumidores têm controle sobre seus dados, e etc.
O MPDFT solicitou também que a Vivo preparasse uma avaliação dos riscos de segurança, em uma classificação objetiva, levando em conta os riscos de um incidente envolvendo os dados dos clientes e qual seria a gravidade do seu impacto.
Esse caso nos apresenta uma prévia de como será a fiscalização e a efetividade da lei no país. Por isso é tão necessário que as empresas estejam preparadas.
Características da Lei
Para que você entenda um pouco mais sobre a LGPD, vamos analisar algumas características que a descreve. Vejamos:
Caráter multidisciplinar
Isso significa que, não só o advogado ou o departamento jurídico, ou a TI da empresa terá a obrigatoriedade de observar essa legislação, mas, sim, todos os departamentos e pessoas da empresa que estiverem relacionadas com a organização precisarão entender e conhecer sobre o tratamento dos dados dos cidadãos.
Dado Pessoal: Informação relacionada à pessoa natural identificada ou identificável
Outra característica é o que a lei protege: o dado pessoal. Esse dado não se limita a nome, sobrenome, apelido, idade, endereço residencial ou eletrônico.
Pode incluir dados de localização, placas de automóvel, perfis de compras, número do Internet Protocol (IP), histórico de compras, dados biométricos entre outros. Sempre relacionado à pessoa viva.
Meio físico e Digital
Essa legislação não abarca somente empresas que atuam no meio digital, mas as que atuam no meio físico também precisarão se adequar.
Figuras atuantes da LGPD
As figuras de principal atuação no exercício desta lei são: Controlador, Operador, Titular do dado, DPO (encarregado de proteção de dados) e ANPD (autoridade nacional de proteção de dados) órgão federal que edita normas e fiscaliza procedimentos sobre proteção de dados pessoais.
Cada uma dessas figuras executam as seguintes atividades:
- Titular: Usuário, pessoa física que tem os dados protegidos pela lei.
- Controlador: Empresa que faz e se utiliza do tratamento de dados.
- Operador: Age em nome do controlador.
- Encarregado de proteção de dados: Aquele que fará intermediação entre o titular do dado, o controlado e a autoridade nacional de dados.
- Autoridade nacional de proteção aos dados: Fiscaliza o cumprimento da lei e elabora diretrizes para a Política de Proteção de Dados Pessoais e Privacidade.
Direitos dos titulares de Dados
O objetivo das novas regras é garantir que os indivíduos tenham controle sobre seus dados pessoais, garantindo aos titulares amplos direitos, entre eles:
- Informação e acesso aos dados;
- Retificação de dados incompletos, inexatos ou desatualizados,
- Anonimização;
- Bloqueio ou eliminação de dados desnecessários,
- Cancelamento e oposição;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e resguardados os segredos comerciais e industriais;
- Revogação de consentimento.
Aplicação Extraterritorial
A LGPD tem alcance extraterritorial, ou seja, efeitos internacionais, na medida em que se aplica também aos dados que sejam tratados fora do Brasil, desde que a coleta tenha ocorrido em território nacional, ou por oferta de produto ou serviço para indivíduos no território nacional, ou que estivessem no Brasil.
Desse modo, o dado pessoal tratado por uma empresa de serviço de cloud computing (computação em nuvem), que armazene o dado fora do país, terá que cumprir as exigências.
Tratamento de Dados
A legislação abrange toda operação realizada com algum tipo de manuseio de dados pessoais, como:
- Coleta, produção, recepção, classificação, utilização, acesso, reprodução,
- Transmissão, distribuição, processamento, arquivamento, armazenamento
- Edição, eliminação, avaliação ou controle de informação, modificação
- Comunicação, transferência, difusão ou extração.
Além disso, existem regras específicas para tratar dos seguintes dados:
- Dados sensíveis (dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico)
- Transferência internacional de dados (permitido pela lei, por meio de adoção de selos, certificados e códigos de conduta regularmente emitidos e autorizados pela Autoridade Nacional)
- A utilização dados de crianças e adolescentes.
Mapeamento do tratamento de dados
Toda e qualquer atividade de tratamento de dados pessoais deve ser registrada, desde a sua coleta até a sua exclusão, indicando quais tipos de dados pessoais serão coletados.
Também é necessário indicar a base legal que autoriza o seu uso e finalidade, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento, e com quem os dados podem ser eventualmente compartilhados, metodologia também conhecida como data mapping.
Data Protection Officer (DPO)
Toda empresa responsável por tratamento de dados deverá nomear um Encarregado da Proteção de Dados Pessoais.
A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
Atividades do DPO:
- Aceitar reclamações e comunicações dos titulares,
- Prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas à serem tomadas em relação à proteção de dados pessoais;
- E executar as demais atribuições determinadas pelo controlador, ou estabelecidas em normas complementares.
ANPD
A Autoridade Nacional de Proteção de Dados como um órgão federal, atuará estão zelando pela proteção dos dados pessoais, elaborando diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções em caso de tratamento de dados realizado de forma irregular.
A ANPD terá natureza transitória, podendo ser transformada em autarquia vinculada à Presidência da República após dois anos, a critério do governo.
O órgão tem a seguinte estrutura organizacional: Conselho Diretor (órgão máximo de direção), Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, órgão de assessoramento jurídico próprio e unidades administrativas necessárias à aplicação da lei.
A ANPD será formada por diretores que serão nomeados para mandatos fixos.O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto de 23 representantes, titulares e suplentes, de órgãos públicos e da sociedade civil.
Idosos, Microempresários e Startups
A CMMVP - Comissão mista da Medida Provisória 869/2018 - aprovou no dia 07/05/2019 o relatório do deputado Orlando Silva (PCdoB-SP), que, dentre outras disposições, prevê atendimento diferenciado para idosos.
A ANPD (Associação Nacional de Pós-Graduação e Pesquisa em Administração) deve garantir que o tratamento de dados dos maiores de 60 anos seja efetuado “de maneira simples, clara e acessível e adequada ao seu entendimento”.
A ANPAD também deve editar normas, orientações e procedimentos simplificados e diferenciados para atender as empresas de pequeno porte.
Na complementação de voto, o deputado Orlando Silva estendeu o benefício às startups – empresas emergentes que têm como objetivo inovar, desenvolver ou aprimorar um modelo de negócio.
Essas são de uma forma resumida algumas características da Lei Geral de Proteção de Dados.
8 Passos de como as PMEs podem se preparar para LGPD
São muitas informações, não é mesmo? O objetivo do nosso artigo é esclarecer a você características e os pontos mais essenciais da LGPD. Sabemos que as pequenas e médias empresas enfrentam inúmeros obstáculos, afinal empreender já algo desafiador por si só.
As últimas pesquisas apontam que somente 20% das organizações estarão em conformidade quando a lei estiver ativa. Esse dados englobam todas as organizações, o que pode ser ainda mais preocupante, tendo em vista que as pequenas e médias empresas representam uma parcela ainda menos expressiva nesses dados.
Diante todas as informações apresentadas sobre a legislação,e a urgência no processo de adequação surge uma algumas perguntas muito pertinentes: Como as pequenas e médias empresas podem se adequar à essa nova lei? Por onde começar?
Continue com a gente, pois preparamos oito passos que te ajudarão na jornada de adequação a LGPD.
1. Autoconhecimento
O primeiro e fundamental passo é o autoconhecimento. É fundamental que a empresa saiba quem ela é, o seu modelo de negócio e conheça toda a sua atividade. Desde a autogestão da empresa, a diretoria até empregadores e prestadores. Todos os que se relacionam e estão envolvidos com a empresa devem conhecer o modelo de negócio.
2. Conscientização
Todos aqueles que estão envolvidos na empresa devem ter consciência da importância da lei, conhecer os dispositivos legais, os dados pessoais, e devem entender bem o modelo de negócio.
3. Mapeamento de Dados
É necessário que a empresa tenha um modelo de mapeamento de dados já encaminhado, que apresentando os seguintes itens:
- Quais são os dados que eu coleto? De qual categoria de pessoas?
- Esse dado é essencial?
- Qual será a hipótese legal para o tratamento?
- Ele precisa ser guardado? Em qual local?
- Por que ele precisa ser guardado?
- Por quanto tempo ele precisa/pode ser armazenado?
- É possível pseudo anonimizá-lo?
- O dado está sendo duplicado?
- Será transferido para país estrangeiro?
4. Mapear o Ciclo de vida do Dado
Um passo muito importante nesse processo de adequação a lei é mapear o ciclo de vida do dado tratado pela empresa. Vejamos abaixo uma figura que explica esse ciclo:
5. Revisão ou Implementação de Políticas de Segurança
Caso a empresa já tenha políticas de segurança, englobando a segurança da informação, a mesma precisa revisar essas políticas a fim de saber se elas estão de acordo com a LGDP, e se efetivamente irá proteger o dado do cidadão.
Caso não tenha, é de extrema urgência que a empresa adote e estabeleça essas políticas.
6. Elaboração e Revisão de Contratos, Políticas, Termos
Estas revisões e elaborações envolvem desde os contratos de prestadores de serviços, contratos de trabalho, até termos de consentimento e políticas de privacidade. Tudo precisa ser revisado e verificado para que esteja de acordo com as exigências da lei.
Afinal, todos aqueles que fazem parte direta ou indiretamente da empresa, tendo acesso aos dados dos clientes precisam está de acordo com os parâmetros da lei.
7. Nomeação de um encarregado de Proteção de Dados
Uma peça essencial no processo de conformidade com a lei é a nomeação do DPO, o encarregado de proteção de dados. Ele cria procedimentos e protocolos internos, para que a empresa desenvolva produtos que coletem dados de maneira lícita.
8. Elaboração do Relatório de Impacto de Privacidade
Consiste, basicamente, em uma documentação que descreve os processos de tratamento de dados pessoais que podem gerar algum risco aos direitos dos titulares, além das medidas e mecanismos empregados para mitigar esses riscos.
A construção do relatório parte do detalhamento de todos os processos de tratamento, pelos quais os dados pessoais passam durante o seu ciclo de vida na operação, assim como, das bases legais necessárias e as medidas de segurança adotadas.
Essa descrição permite identificar o data mapping da empresa, e, à partir dessa fotografia, endereçar quais medidas devem ser tomadas e quais são os agentes ou interessados que devem ser envolvidos na operação.
É importante finalizarmos esses passos trazendo a você a consciência de que são parte de um processo contínuo, sendo este processo dividido em 4 medidas básicas, dentre os oito passos que já falamos. A saber:
Neste mês de janeiro foi apresentado outra proposta para adiar a implementação efetiva da lei para o ano de 2022, pelo deputado Carlos Bezerra(MDB-MT) e está em processo de análise. Toda via, advogados e estudiosos da lei afirmam ser difícil sua aprovação, uma vez que já ocorreu uma prorrogação.
Toda essa agitação só enfatiza o óbvio: a extrema necessidade das empresas se adequarem as normas da legislação, o quanto antes possível.
A demanda é urgente pois os prejuízos para as empresas que estiverem fora da lei não serão somente financeiros, como também de reputação e confiabilidade, principalmente se houver um vazamento dos dados dos clientes.
A hora de se ajustar é agora! Por isso nós da Starti estamos preparando conteúdos exclusivos para te educar sobre a lei, bem como apontar a direção e os passos que sua empresa precisa tomar para está dentro das exigências.
Esse artigo foi produzido com base nos materiais da especialista Tatiane Moreira Guimarães que é advogada e Sócia do escritório Moreira & Rainkober, e que esteve presente em nossa conferência totalmente online e gratuita, a Starti Conference em 2019.
Fique ligado aqui em nosso blog e em nossos outros canais:
YouTube | Facebook | Instagram | LinkedIn | Podcast Távola Redonda | Canal no Telegram