Gestão de dados e a LGPD: como adequar sua empresa

Muitas empresas que lidam com dados de clientes ou parceiros estão na mira de novas regulações propostas devido ao vazamento indevido de dados que podem causar sérias consequências. Por isso, nesse artigo veremos como adequar sua empresa às novas regulações propostas pela Lei Geral de Proteção de Dados (LGPD).

O que faz a LGPD?

A LGPD regulamenta a utilização de dados pessoais, estabelecendo as bases legais para sua utilização e tratamento, os direitos dos titulares, as medidas de segurança, os agentes do tratamento (controlador, operador), o encarregado pelo tratamento de dados (DPO – Data Protection Officer), a Agência Nacional de Proteção de Dados (ANPD) e as multas devidas ao não cumprimento da lei.

Em seu artigo 1º, a LGPD diz que: “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

Com isso a LGPD quer criar um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil. E, para que não haja confusão, a lei explica logo em seus primeiros artigos o que são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e adolescentes, e que dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação.

A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

 

Afinal, o que são dados pessoais?

Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP (Protocolo da Internet) e cookies, entre outros.

Fonte: https://www.serpro.gov.br/

Caso você não possua dados pessoais dos seus clientes e acredite que não necessite, sugerimos que conheça um pouco mais sobre essa necessidade para o marketing de uma empresa clicando aqui.

Fundamentos da LGPD

De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: a Lei Geral de Proteção de Dados Pessoais (LGPD) afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja no papel de indivíduo, empresa ou governo. Com base nisso, a disciplina da proteção de dados pessoais apresenta como fundamentos:

– O respeito à privacidade e a autodeterminação informativa;

– A liberdade de expressão, de informação, de comunicação e de opinião;

– A inviolabilidade da intimidade, da honra e da imagem;

– O desenvolvimento econômico e tecnológico e a inovação;

– A livre iniciativa, a livre concorrência e a defesa do consumidor;

– Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Um elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

Toda oferta que você quiser enviar por e-mail, anúncios ou qualquer outro tipo de abordagem precisa estar ancorada em uma autorização concedida previamente. Todo formulário ou box de autorização precisa ter uma linguagem fácil e acessível e o ideal é que não venha pré-marcado. Se possível crie uma página nova para poder informar de forma específica o tempo, finalidade e abrangência de como os dados do usuário serão usados.

 

Contexto atual das informações nas empresas

O volume de dados está cada vez maior, tornando sua importância cada vez mais vital para as empresas. Por outro lado, as Interfaces de Programação de Aplicações (APIs) não possuem proteção apropriada para dados sensíveis, dados financeiros, dados médicos, ou dados pessoais. A coleta de dados é feita sem critério (quanto mais melhor), não informam o motivo da coleta e o tempo de utilização, os dados são armazenados sem segurança (criptografia é luxo), o cliente não sabe como estão utilizando seus dados e os dados são processados por vários sistemas, sem controle.

Dessa forma, a proteção de dados pessoais busca garantir o tratamento adequado para os dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural. A Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).

Há um outro item que não poderia ficar de fora para adequar uma empresa à LGPD: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade.

Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento se sujeitam à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.

Para que o controle de todos estes processos seja feito de forma adequada, as empresas precisarão contar com três profissionais específicos:

– O Controlador: profissional que vai tomar as decisões sobre tratamento dos dados

– O Operador: responsável por aplicar as decisões sobre o tratamento dos dados

– O Encarregado: que será o intermediador entre o controlador, o proprietário dos dados e a agência do governo que vai fiscalizar a lei.

 

Como sua empresa pode se adequar à LGPD?

1 – Garanta uma proteção avançada aos dados

Sua empresa, como detentora de dados pessoais, deve garantir a segurança plena dessas informações. Para isso acontecer, é indispensável um sistema de proteção avançado. Recomendamos, então, adesão a um software de segurança que garanta o comprometimento dos dados armazenados.

 

2 – Informe ao cliente toda e qualquer movimentação de seus dados

Um dos compromissos que as empresas passarão a ter com seu público é o de o deixar a par de todas as movimentações com seus dados. Transações com o compartilhamento desses dados, por exemplo, deverão ter o consentimento do cliente para acontecer.

 

3 – Organize bem os dados

Forme grupos específicos com as informações coletadas. Para isso, estabeleça um critério. Ter à sua disposição um banco de dados bem organizado e definido pode ajudar você no manuseio dessas informações, além de um melhor controle também. Para que isso ocorra de maneira efetiva, sugerimos nossa quarta dica:

 

4 – Contrate um DPO

Um DPO (Data Protection Officer) é um profissional ou instituição contratado para monitorar todo o processo de adequar sua empresa para as conformidades da LGPD. É ele que irá assegurar que todos seus passos sejam dados de maneira a guiar sua empresa conforme as diretrizes legais. Além disso, o DPO poderá produzir relatórios para o caso de possíveis solicitações da ANPD ou de outro órgão público.

Aqui, a gente te ajuda a entender os seus direitos como cidadão, ou suas obrigações, caso você seja responsável por bases de dados de pessoas. Saiba como se utilizar da LGPD e adequar sua empresa às melhoras práticas gestão corporativa de dados para impulsionar seus resultados falando com um de nossos consultores.