Informativo

O Guia Definitivo: LGPD

Notebook e um martelo de juíz

Na era digital e da presença virtual, realizamos grande parte da nossa vida on-line. É possível estudar, conversar, comprar, brigar, ler, se divertir e postar conteúdo de diferentes jeitos. Esse efeito, não acontece somente online. A maioria das informações está contida em sistemas, sejam eles grandes ou pequenos, complexos ou privados.

Porém, é essa mesma facilidade de ter tudo ao alcance dos olhos que torna extremamente complexa a criação de uma lei de proteção de dados.

No banco, por exemplo, não é preciso demorar muito em filas: com reconhecimento digital ou facial, em questão de minutos encontram-se dados e é possível sacar dinheiro, fazer transações e empréstimos. É só entrar no site daquela loja de roupas que você gosta tanto e encontrar estilos de corte e cores de vestidos e blusas variados. É possível realizar pedidos em cliques rápidos.

Você usa programas para facilitar e agilizar a sua vida. Não é preciso mais entrar em um enorme arquivo cheio de fichas de papel e catalogar uma por uma para encontrar ali o nome do seu cliente, paciente ou fornecedor para realizar uma compra.

Tudo está na palma da mão (ou na tela do computador), no sistema da empresa (que sempre está ligado à internet). É só digitar a palavra-chave e com um precioso aperto na tecla ‘Enter’ encontrar o que precisava. Esses processos se tornaram comuns, você faz isso o tempo todo, principalmente no Google.

“Estou com sorte”, diz a pequenina tecla em baixo do cursor de pesquisa.

Cada um desses cliques implicam em escolhas que acreditamos estar livres ao fazer. Eles mostram muito com o que é considerado importante e se relacionam com a sua personalidade e a forma como você age dentro do ambiente online.

“Nem li, mas aceito”

Ao entrar em um site de uma lógica específica e sincronizar diretamente com a sua conta de e-mail do google, você já está fornecendo todo o seu histórico de acesso para aquela companhia. O monitoramento é em tempo real e a na maioria das vezes é completamente imperceptível.

Quando você entra em um restaurante e seu celular apita com uma notificação pedindo para que você avalie o estabelecimento, o que acontece é um rastreamento de localização. Milhares de pessoas são rastreadas diariamente pela localização real do google e não tem nem ideia de que isso pode ser considerada uma “invasão de privacidade”.

O comportamento mais comum entre todos os usuários de aplicativos, ao ver a caixinha com os termos de uso é só clicar no botãozinho ‘aceito’ e seguir em frente. Ler regras e termos é muito chato, são letras miúdas e nunca acontece nada mesmo, certo?

Não é bem assim. Só de ter uma notificação mostrando a sua localização já é alarmante.

As empresas usam esse termo como uma forma de regularizar e facilitar o seu compartilhamento de dados, mas o fato dessa autorização ser tão simples e rápida gerou polêmicas e problemas ao redor do mundo. Os dados pessoais de pessoas físicas começaram a ser utilizados em benefícios de terceiros ou então, por motivos de falhas de segurança, vazados e expondo clientes e usuários a golpes e fraudes.

Aquele ‘aceito’ simples do termo de uso tornou-se um problema para o consumidor, mas também para as empresas que não conseguiram reter, guardar e fazer uma forte segurança de seus dados.

Vazamento de dados

O primeiro escândalo conhecido aconteceu em 2013: O Caso Snowden. O sistema de inteligência dos Estados Unidos usou indevidamente dados de norte-americanos e de estrangeiros para investigações ligadas a “lei anti terror”, estabelecida após o 11 de setembro. Snowden, um ex-funcionário desse sistema, decidiu delatar tudo e acabou por revelar um grande esquema que invadia a privacidade de milhares de pessoas inocentes mascarando-se no lema questão de ‘segurança nacional’.

Cinco anos mais tarde, em 2018, a Cambridge Analytica, uma empresa privada de segurança de dados, vazou informações pessoais de vários norte-americanos e manipulou a timeline de notícias de muitos eleitores nos EUA.

A Cambridge Analytica utilizou os dados de 83 milhões de usuários do Facebook. Esse acontecimento resultou em uma multa de 5 bilhões à rede social e interferiu no resultado democrático de uma das eleições mais acirradas da história dos Estados Unidos.

Esses são dois exemplos famosos que alertaram da importância de ter e fazer a segurança de dados e regular as leis de privacidade na internet.

São dois problemas ocorridos devido a má utilização de dados, uma por uma organização governamental e outra por uma empresa privada. Esses fatos geraram impactos que abalaram os sistemas de informação de todo o mundo.

O desdobramento e a consequência desses escândalos impactou na forma como o mundo enxergava as leis de privacidade dentro da internet.

Problema com privacidade dos dados

Em um TEDx com o tema “Porque proteção de dados pessoais importa?” na cidade de Pinheiros-SP, Bruno Bioni, fundador da Data Privacy Brasil diz que esses dados são a nossa identidade, eles dizem quem somos. Segundo ele, “dados de qualidade é o pressuposto para qualquer tomada de decisão mais eficiente”.

Se um médico tem dados bem apurados de um paciente, ele identifica melhor as necessidades do enfermo; Se um pesquisador precisa fazer uma pesquisa de opinião e tem dados bem protegidos e de qualidade, o trabalho fica mais rico e bem produzido. Porém, toda e qualquer informação deve ser utilizada com cuidado, consentimento e privacidade garantida.

Ainda segundo ele, “se não houver proteção de dados, nós enquanto sociedade, vamos parar de produzir matéria prima hoje mais importante, dados”.

A realização de uma compra online, por exemplo, é arriscada se não é garantida a proteção. Você coloca os seus dados bancários e o código de segurança do seu cartão em um site que, se não oferecer a segurança adequada, pode ser invadido por hackers e colocar você em uma situação de golpe financeiro.

Aqui no Brasil, só em 2014 foi aprovado o Marco Civil da Internet, que pretendia regulamentar o uso da internet de forma a garantir direitos e deveres para quem usa a rede. A ideia surgiu em 2007, mas só foi arquitetado 3 anos depois e ainda demorou cerca de 5 anos para ser aprovado.

Casos de vazamento e má utilização de dados, não acontecem apenas em escala mundial. Um dos bancos online mais populares do Brasil, o Banco Inter, sofreu com insegurança da informação.

O primeiro vazamento ocorreu em 2017, quando um hacker expôs os dados de cerca de 100 mil clientes do banco.

Um ano depois, outro vazamento de dados de correntistas expôs cerca de 1,45 milhões de pessoas. A falha levou um ano para ser corrigida. A companhia foi multada pelo Ministério Público em 10 milhões de reais.

Para impedir que situações como essa tornem a acontecer e a impunidade demore ou nunca chegue a empresa que ‘permitiu’ essa violação, o legislativo brasileiro propôs a criação da LGPD – Lei de Gestão de Proteção de Dados. Esse projeto ficou durante muitos anos arquivado no congresso e só em 2018 foi aprovado.

Milhões de empresas brasileiras precisam realizar a coleta de dados de clientes de forma direta e indireta. Em muitas delas esse processo é a base do negócio, como por exemplo: bancos online, financeiras, e-commerce e entre outros. A aplicação dessa lei muda a forma como se trabalha com dados em ambiente digital e torna um pouco mais complexo o recolhimento e tratamento desses dados.

Mas para quê criar uma lei específica de proteção de dados? O Marco Civil já não faz isso?

Sim, o marco civil faz isso, mas de uma forma muito vaga e nada que tenha ligação direta com a segurança do armazenamento de dados por parte de empresas e entidades.

Ainda ficam em pauta algumas questões: Ela realmente protege os dados de pessoas físicas? Qual as suas eficiências? O que ela muda para as empresas e para os usuários?

Este artigo vai te apresentar os principais pontos da lei e a sua funcionalidade dentro das empresas. Será destacado o histórico, quando entrará em vigor, a importância, os pontos principais da norma e o impacto da sua implantação nas empresas.

Entenda!

O que é LGPD?

LGPD ou Lei Geral de Proteção de Dados é um projeto de lei que vem sendo discutido há 10 anos no legislativo brasileiro e foi muito bem pensada para melhorar a proteção do consumidor na era digital. Esse estatuto foi baseado na lei europeia de Regulamento Geral de Proteção de Dados (GDPR), que está em manutenção desde maio de 2018 e se a aplica todos os países pertencentes à União Europeia.

A LGPD está descrita no código civil brasileiro, pelo nº 13.709 e tem a seguinte definição: “esta lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Em resumo, ela é basicamente uma lei geral que harmoniza todas as legislações que antes eram separadas, criando uma regra única, não específica, para administrar e fiscalizar o recolhimento de dados de qualquer espécie.

Sua principal função é garantir e proteger os direitos dos cidadãos sem invadir a sua privacidade e liberdade. Ela se aplica a entidades de natureza pública ou privada.

ANPD: O que é?

Para garantir sua principal função, em julho de 2019, a LGPD criou a ANPD – Autoridade Nacional de Proteção de Dados, um órgão da administração federal e que será responsável pela instrução sobre casos omissos da lei e aplicação da LGPD.

De acordo com estabelecido, ela deve ficar apenas 2 anos sob mandato da administração pública e depois se transformará em uma autarquia. Entende-se que a forma mais correta é que essa autoridade (ANPD) seja totalmente autônoma, sem vínculos privados ou governamentais.

As regras, práticas e leis serão feitas pela própria entidade, sem interferência governamental. A ideia é dar o máximo de autonomia possível ao seu processo de estabelecimento. É importante que a presença do governo seja só para aspectos financeiros a princípio.

Esse aspecto garante a transparência no monitoramento e investigação de casos quanto à procedência e má utilização de dados que seja feito por entidades governamentais ou empresas privadas, sem parcialidade.

É essa autoridade que vai ajudar empresas a implementar e regularizar a aplicação efetiva da lei. Esse órgão trabalhará como um fiscal da segurança digital, certificando-se de que todas as empresas gerenciam corretamente todos os dados que são adquiridos virtualmente.

Para o cliente é como se a LGDP tivesse criado um novo código do consumidor, só que dessa fez trata-se de atividades de compra e distribuição online.

Além de zelar pela proteção de dados pessoais, é ela quem analisa e pune os casos de descumprimento da LGPD. As sanções serão aplicadas segundo o impacto e a gravidade do vazamento de dados e da não aplicação correta da lei de proteção.

Esses impactos estão relacionados ao tipo de dado vazado e seu grau de privacidade. Se você tem impacto máximo em todos os quesitos expostos na lei para dosagem de pena, a multa pode chegar a 50 milhões de reais ou 2% do faturamento global da companhia.

Ela tem outras funções importantes também, como por exemplo, o trabalho de regular e orientar na hora de fazer a regulação. Portanto, ele fará o mediador de tirar as dúvidas pertinentes a respeito da aplicação da lei e não desamparar os setores responsáveis da empresa pela área de TI.

Como era feita a segurança de dados antes da instituição da lei?

Criou-se uma lei específica para cuidar da proteção de dados, mas antes dela já existia o Marco Civil da Internet. Por que foi necessário criar outra?

Como apontado no início do texto, o Marco Civil da Internet trata-se de todas as regulações referentes a utilização da web. Ao especificar e criar a LGPD, foi dada a devida atenção ao quesito segurança.

No Marco aprovado em 2014, não era prevista uma penalidade exata para o problema da falta de segurança. A LGPD foi criada para marcar diretrizes bem estabelecidas que obriguem as empresas a usarem os dados dos seus usuários, clientes e fornecedores de forma responsável.

Como não existe nenhum tipo de punição correta ou regulação desse recolhimento de dados, na maioria das vezes o armazenamento é feito de forma inadequada. Algumas empresas até utilizam esses dados de forma irrestrita, como se as informações pertencessem a elas e não ao cliente.

Quando entra em vigor?

Aprovada em 2018, tem previsão para entrar em vigor em 16 de agosto deste ano. Em janeiro de 2020,começou a tramitar no congresso a proposta de lei 5762/19, que pretende adiar para 2022 sua aplicação na prática.

Segundo pesquisa realizada pela ICTS Protiviti84% das empresas brasileiras ainda não estão preparadas para a aplicação da nova regra, sendo 58,3% a fatia de pequenos negócios.

A pesquisa ainda avaliou que só 12,5% das empresas confirmaram ter feito o risco de segurança da informação e proteção de dados, a primeira etapa para se adequar a lei. Só 17,3% se sentem preparados para realizar uma completa gestão de privacidade de dados de fornecedores e terceiros.

Outra pesquisa feita em agosto do ano passado pela Serasa Experian, afirmou que quase 73% das empresas com mais de 100 funcionários terá algum impacto na infraestrutura de TI.

Por causa da aproximação da data de aprovação é importante que os gestores de grandes e pequenas empresas fiquem atentos e realizem todas as etapas necessárias para ter uma forte segurança de dados. É extremamente necessário garantir a proteção do consumidor.

Ao contrário do que se imagina, a criação dessa lei não é um ataque geral a forma como as empresas trabalham, mas um novo jeito de melhorar o seu relacionamento do cliente.

Segundo o especialista Zanatta em entrevista ao portal Techtudo, essa é uma lei importante não só para o consumidor, mas também para as empresas, porque quanto melhor a sua proteção de dados, maior a probabilidade de adquirir clientes.

A proteção de dados se tornará um incentivo para competir e se destacar no mercado.

Empresas grandes como a Apple aderiram a proteção de dados até mesmo como campanha publicitária. Uma das maiores empresas de tecnologia do mundo usa a seu favor a necessidade de privacidade do cliente para com os seus dados mais pessoais.

“Privacidade no iPhone – Simples Assim” é o tema do filme publicitário que não dura mais de 38 segundos, porém passa uma mensagem extremamente importante para o consumidor: “Essas coisas (os dados) são privadas e elas deveriam ser só suas”.

Levando em consideração o que a Google usa de coleta de dados para fazer publicidade nas suas páginas, a Apple lançou uma campanha que pretende ressaltar diferença entre o seu produto e o da concorrente: a privacidade.

Ninguém tem dúvidas de que ter um Iphone é mais seguro do que o Android. A Apple possui um sistema único o iOS, que é completamente próprio, já a Android é uma marca comum em vários tipos de smartphone. A segurança dessa empresa aparece no produto e no ideal vendido por eles.

Por isso, LGPD não é um ataque às empresas, mas um incentivo para que se crie um ideal de privacidade e segurança de dados que não temos costume de cultivar depois dessa explosão dos meios digitais.

Além do mais, a proteção de dados não é apenas para o consumidor, mas também para a própria empresa que tem que melhorar a sua própria segurança, protegendo ativos, informações e segredos empresariais.

Portanto, é importante se preparar o quanto antes para essa mudança que já está prestes a mudar a forma como o cliente fornece dados on-line.

Privacidade no iPhone – Simples Assim

O que muda nas empresas?

As empresas agora terão que investir em segurança de dados, montar um setor de TI ou contratar uma boa empresa de terceirização desses serviços. Mas não é só isso que vai mudar, será mais do que importante que as empresas tenham transparência para com seus clientes na hora de recolher seus dados pessoais.

Nunca foi tão necessário ter cuidado com o armazenamento de dados alheios em um sistema empresarial, seja de clientes, fornecedores e funcionários. A LGPD surge para que essa proteção se transforme em algo essencial dentro das empresas, o que cria um relacionamento de confiabilidade.

O fluxo de informações exigido pela lei é dividido em algumas partes importantes: Titular (quem fornece o dado, no caso o cliente, fornecedor e etc), Controlador (a empresa que recebe o dado), Operador (aquele que executa em nome do controlador, mas não toma decisões sobre o dado fornecido).

O operador e o controlador são conhecidos por serem “agentes de tratamento”, aqueles que segundo a lei tratam dos dados. Por isso eles são peças chave do processo, uma vez que, se algo der errado, o controlador é aquele quem carrega a culpa, pois é ele quem fala o que o operador deve fazer com as informações recolhidas.

No entanto, para facilitar o processo e ter menos erros no processo foi criado um novo cargo especializado em lidar com todo esse fluxo de atendimento entre cliente, empresa e ANP: O DPO – Data Protection Officer, em português seria o Encarregado de Proteção de Dados. Esse profissional deve estar presente em organizações que fazem armazenamento de dados em massa.

Ele é um indicado pelo controlador e operador, possuindo duas principais funções:

1 – Ouvidoria: ele é como um ouvidor para os titulares e da própria empresa, tirando dúvidas, resolvendo problemas. É ele quem se encarrega em fazer um tipo de “atendimento ao cliente”

2 – Relacionamento direto com ANPD: a sua segunda função é se relacionar diretamente com a Autoridade Nacional de Proteção de Dados. É ele quem cuida da imagem da empresa, de forma a criar uma transparência na apuração e armazenamento dos dados para com o órgão que regula todo o processo.

Esse profissional tem que ser um bom conhecedor da LGPD de forma a conseguir fazer a ponte entre as duas partes integrantes do processo: as empresas e os órgãos reguladores. Por isso, ter alguma certificação ou conhecimentos em leis é muito importante ao trabalhar nesse posto.

Espera-se que o DPO da sua empresa possua qualificações jurídicas e também de segurança da informação ou um especialista em TI (Tecnologia da Informação).

Além disso, terá de ser feito uma alteração na forma como é redigido o contrato de permissões de uso de informações dos usuários, tendo que ser alinhados com as propostas e pontos exigidos na lei.

Aquela caixinha de termos de uso escrita “aceito os termos de uso”, terá de ser feita de uma forma que permita o cliente identificar todos os termos de contrato e ter total ciência sobre o que está assinando.

Esse termo também terá de garantir a proteção eficaz de todos os seus dados, como uma certificação de proteção.

Tratamento de Dados Pessoais

Ao se definir por dados pessoais, pode-se entender como tudo aquilo que permite identificar ou localizar uma pessoa física, ou seja: nome, endereço, CPF, número da identidade, número de telefone, CEP e etc..

Portanto, segundo a LGDP, existem três separações de dados: dados pessoais, dados pessoais sensíveis e dado anonimizado.

– Dados Pessoais: tudo aquilo que se refere a pessoa natural e identificável

– Dados Pessoais Sensíveis: tudo sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dado Anonimizado: titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis.

O armazenamento dessas informações, nós conhecemos como banco de dados. Pesquisas de perfil comportamental, dependendo do seu objetivo, também podem ser classificadas como dados pessoais.

Quando se refere a tratamento de dados pessoais, não se trata apenas a coleta, mas a todas as partes do processo que são: produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Ou seja, a LGDP regulamenta e a ANPD é o órgão fiscalizador de todas essas partes.

De acordo com a nova lei, o tratamento de dados só pode ser feito:

– Com o consentimento do titular: ele tem que saber como, porquê e para quê os seus dados serão utilizados. Ele terá de autorizar expressamente a operação.

– Só o dono da empresa (controlador) mantém as principais decisões sobre o que será feito com os dados. Ou seja, não é permitido que terceiros reutilizem esses dados de forma alguma.

-Em processo judicial, administrativo ou em caso de arbitragem

-E também em casos legítimos em que o controlador precisa dos dados, desde que, não fira os direitos e liberdades fundamentais do titular.

Ao coletar dados pessoais, é imprescindível registrar o consentimento que deve ser fornecido por escrito ou por outro meio que comprove a vontade do titular de compartilhar seus dados. Encontre ferramentas de atestar que o cliente cedeu de livre e espontânea vontade e tenha esse documento registrado para apresentar a ANPD.

Se houver alguma mudança no processo de tratamento dos dados, o titular deve ser devidamente avisado com explicação e detalhes dos pontos que foram alterados, para esclarecer dúvidas e permitir esclarecimentos.

O contrato poderá ser cancelado a qualquer momento de acordo com a manifestação e necessidade do titular. A revogação tem que ser um processo fácil e gratuito, sem brechas.

Toda a obrigação de comprovação da autorização de utilização de dados cabe ao controlador (dono da empresa). Portanto, é extremamente necessário que as empresas guardem e arquivem meios de comprovar que aquele titular realmente autorizou a utilização dos seus dados,.

Reforçando que: esse processo de recolhimento de dados exigirá um cuidado muito maior para a empresa ou organização que está fazendo o trabalho. Deve-se levar em conta que essa lei propõe tratar dados como propriedade privada e tudo aquilo que é do outro não deve ser roubado e sim concedido de livre e espontânea vontade.

Não entram na lei quando, o tratamento e recolhimento de dados forem destinados para fins jornalísticos, artísticos, acadêmicos, segurança pública, defesa nacional, segurança do estado, atividades de investigação ou atividades de infrações penais.

Ao fazer o tratamento de dados, deve-se prezar pelos princípios: de finalidade, adequação, necessidade, livre acesso (garanta que seus titulares tenham livre acesso aos dados), qualidade, transparência (informações claras e precisas da necessidade e utilização dos dados), segurança, prevenção (adote medidas que previnam danos aos dados fornecidos pelo titular), não discriminação (não utilize-os com o intuito de criminalizar de alguma forma a pessoa que forneceu a informação) e por fim responsabilização e prestação de contas (é extremamente importante que a empresa estabeleça medidas que sejam eficazes na proteção e comprovação do cumprimento das normas de proteção).

As informações só podem ser tornadas públicas se o titular autorizar, da mesma forma se precisar compartilhar alguma informação é preciso ter autorização.

Adquira uma certificação LGPD

As empresas precisarão ter transparência na documentação e armazenamento de dados. Dessa forma, elas precisam se organizar para atender as demandas técnicas de liberação de relatórios no prazo estabelecido pela ANPD.

Compreender como a LGPD pode mudar a forma como tratar os dados pessoais da sua empresa é extremamente importante para se inserir nas novas regras e evitar problemas futuros.

Tendo em vista a complexidade da LGPD dentro do ambiente empresarial, a realização de cursos e especializações é muito essencial para não cometer erros que possam prejudicar o seu negócio.

O auxilio de uma empresa de TI especializada em segurança de dados, pode também ser muito importante nessas alterações que entrarão em vigor (se não ocorrerem mudanças) ainda em agosto desse ano.

Mesmo se ocorrer uma prorrogação na aplicação do projeto de lei é importante garantir e ter certeza de que seus dados e dos seus clientes estão protegidos.

O risco de invasão de hackers e aplicação de golpes é muito alto e você não pode arriscar a segurança das informações da sua empresa ou do seu cliente.

Portanto, estudar profundamente os preceitos que formam a Lei de Gestão de Proteção de Dados – LGPD, melhora o seu controle e entendimento no tratamento e construção de termos que permitam uma maior segurança para o seu cliente.

Contrate uma empresa de TI inteligente para ser sua parceira nesse projeto e realize uma certificação que permitirá a você contratar um qualificado DPO para sua empresa e resolver todos os problemas com a ANPD.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *