A nova Lei Geral de Proteção de Dados, também conhecida como LGPD, entrou em vigor no Brasil. Ela passa a regular e impactar todas as empresas que coletam e tratam dados pessoais e sensíveis, independente do porte.
Após diversas reviravoltas entre Senado e Câmara a respeito do início de vigência da nova legislação, o veredito final tornou o seu início oficial em setembro de 2020. Agora, com a lei em vigor a única certeza que as empresas passam a ter é a necessidade de entrar em conformidade.
Porém, muitas empresas ainda não sabem por onde começar sua adequação. Quer saber como preparar sua empresa em conformidade com a LGPD? Confira a seguir!
O propósito da LGPD.
Antes de mais nada, é importante que você entenda o que é a nova lei.
A proteção e o tratamento de dados pessoais são temas de extrema relevância para uma sociedade com interações virtuais entre o poder público, empresas e indivíduos. A LGPD surge com o objetivo de regular esse tratamento de dados.
A lei garante que a coleta, armazenamento e tratamento dos dados de pessoas físicas só poderá ser realizada com a autorização do chamado “titular dos dados”, ou seja, a pessoa à qual esses dados se referem.
Esses dados podem ser nomes, endereços, telefones, e-mails, características físicas, localização, hábitos, preferências, entre outros.
A autorização por parte do titular deve ser obtida de forma clara e direta. A informação de para qual fim os dados serão usados também é obrigatória, além de ser necessária nova autorização no caso de uso para outra finalidade. O titular ainda possui o direito de revogar sua permissão a qualquer momento.
A fiscalização.
A Autoridade Nacional de Proteção de Dados, também conhecida por ANPD, é um órgão da administração pública federal do Brasil que faz parte da Presidência da República.
Ela possui atribuições relacionadas a proteção de dados pessoais e da privacidade e, sobretudo, será a responsável por realizar a fiscalização do cumprimento da LGPD.
É de responsabilidade do órgão averiguar reclamações não solucionadas entre clientes e empresas, no que tange à violação de dados e privacidade. Ou seja, toda fiscalização e aplicação de sanções em caráter administrativo, dentre as quais, advertências, multas, publicização da infração, bloqueio ou eliminação dos dados pessoais.
Porém, sua atuação não fica apenas no âmbito das sanções, ele também deverá promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados e privacidade.
E as sanções?
A partir de agosto de 2021, as penalidades previstas na LGPD passam a poder ser aplicadas pela ANPD.
São elas:
- Advertência administrativa;
- Multa diária ou total de até 2% sobre o faturamento total, limitada a R$ 50 milhões por infração;
- Publicização da informação;
- Bloqueio e eliminação dos dados pessoais a que se refere a infração;
- Obrigação de reparar danos eventualmente causados em decorrência do tratamento inadequados dos dados;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, podendo ser prorrogado por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo de seis meses, podendo ser prorrogado por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
No bolso e na imagem.
Desde sua implementação na União Europeia, a GDPR vem influenciando diversos países a desenvolverem suas próprias leis de proteção de dados. Surgindo, assim, a nossa LGPD em terras brasileiras.
Trouxemos, portanto, dois exemplos de empresas que tiveram grande impacto do descumprimento da lei diretamente em seu orçamento.
A companhia aérea British Airways teve que pagar uma maiores multas da GDPR. O órgão responsável pela supervisão da lei pediu o pagamento de £183 milhões.
O motivo da multa pedida remete ao final de 2018, quando a empresa por motivo de falha de segurança, acabou vazando dados como os nomes completos, endereços, detalhes de passagens e viagens feitas e agendadas, login e cartão de crédito de aproximadamente 500 mil dos seus clientes.
O Facebook viu não apenas seu bolso ser afetado, mas também sua imagem. Em 2018, a empresa recebeu a decisão de que deveria pagar uma multa no valor de US$ 5,5 bilhões para que fosse encerrada a investigação do governo americano sobre suas práticas de privacidade.
O comunicado veio através da Comissão Federal do Comércio dos Estados Unidos. Dois dias após a publicação, o valor do Facebook diminuiu em US$ 35 bilhões na bolsa de valores de tecnologia dos EUA.
Iniciando a adequação.
Após entender como a LGPD pode ser aplicada em sua empresa, começa sua jornada de adequação. Para tornar um pouco mais simples a sua preparação, separamos o que podem ser os seus primeiros passos.
- Mapeamento de dados.
Partindo da premissa de que se você não enxerga seus dados, você não os protege, o mapeamento de dados é fundamental.
A Lei faz com que as empresas tenham a necessidade de entender quais dados estão coletando, como estão usando e com quem estão compartilhando eles. Para aprimorar a proteção de dados, esse é um importante passo inicial na jornada de compliance.
Através dele você garante um maior entendimento de como os dados se movem através da sua organização.
- O seu site em conformidade.
É importante lembrar que o seu site também precisa entrar em conformidade. Visto que é através dele, muitas vezes, que você irá se comunicar com seus clientes. Portanto, é necessário que ele tenha um banner para que os usuários possam dar ou não o seu consentimento para a coleta de dados feita através dos cookies.
Uma gestão de Cookies disponibiliza aos visitantes do seu site o controle e o gerenciamento sobre o uso de cookies utilizados.
As políticas do seu consultório também devem estar disponíveis no seu site. Desta forma, todos que o acessam podem saber sobre como ocorre essa coleta e uso de dados.
Existem diferentes tipos de políticas que podem estar presentes em um site, mas as principais e imprescindíveis são: Política de Privacidade (ou termos e condições de segurança), Política de Cookies e os Termos de Uso.
Por exemplo, se no seu site são coletados dados pessoais, seja através do uso de cookies ou até mesmo de formulários, você precisa ter estas políticas para comunicação com o paciente.
- Um canal de atendimento
Sua empresa precisa ter um canal de comunicação com seus clientes titulares de dados. Esse canal funcionará como um meio de receber o chamado Data Subject Request (Pedidos dos Titulares).
Essa plataforma de atendimento especializada nos direitos dos titulares dos dados, servirá para que quando um titular de dados desejar ter acesso às suas informações privadas, será através dele a realização dessa solicitação. Tendo, portanto, um canal especializado e adequado para esse tipo de interação.
Seus clientes podem solicitar a remoção dos dados ou pedir esclarecimentos sobre o uso deles, por exemplo. E com o atendimento adequado, seja um formulário, telefone ou e-mail, é possível melhorar essa relação com eles e garantir a transparência no uso de seus dados.
A responsabilidade da empresa.
É importante frisar que o dever de comprovar, perante à ANPD, que os consentimentos fornecidos pelos usuários foi obtido em conformidade é da organização que o coleta. Ou seja, é a sua empresa que terá tal responsabilidade.
Esse conteúdo foi produzido por Luíza Paines, redatora na empresa Privacy Tools.