A Lei Geral de Proteção de Dados, ou LGPD, é a sanção que determinou uma série de regras de coleta, armazenamento, utilização e compartilhamento para a utilização de dados de usuários, trazendo mais controle e segurança sobre as informações concedidas às organizações. O descumprimento de determinadas condições estabelecidas em lei pode impactar em multas e sanções graves para a empresa. Saiba mais!
O que é a LGPD?
O desenvolvimento intenso de novas tecnologias tem trazido uma série de benefícios para as empresas e os consumidores ao redor do mundo. No entanto, como nem tudo são flores, problemas também podem surgir a partir de determinados avanços.
No meio digital, a solicitação e utilização de dados pessoais se tornou essencial em quase todos os processos online, o que trouxe comportamentos abusivos e até discriminatórios por parte das empresas. Em outras palavras, o debate quanto à fiscalização e regulamentação se tornou presente e a utilização de dados pessoais passou a ser olhada com mais atenção por muitos países.
Quando falamos do Brasil, a discussão demorou um pouco mais, ainda mais quando pensamos em sua implementação. Foi somente em 2018, após anos de discussão, que o então presidente Michel Temer sancionou a Lei Geral de Proteção de Dados Pessoais do Brasil, número 13.709/2018. Ela passou a vigorar em setembro de 2020, dois anos após sua sanção, e as multas passaram a valer a partir de agosto de 2021.
Todavia, a lei ainda está em constante atualização e, no ano de 2022, já passou por algumas reconfigurações aplicadas especificamente às pequenas empresas. Posteriormente falaremos mais sobre a questão.
De onde surgiu a Lei Geral de Proteção de Dados?
A prática de se olhar com mais cuidado e segurança para o recolhimento digital de dados pessoais se originou de um movimento mundial, mas a criação da LGPD se deu pela influência direta do GDPR ou General Data Protection Regulation. A sanção se aplica a países europeus e fiscaliza as mesmas questões da LGPD. Sobre o tema, é a legislação de maior referência quando falamos de privacidade de dados e serviu de inspiração para muitos países adotarem políticas semelhantes ou mesmo reforçar fiscalizações pré-existentes a GDPR.
O que diz a LGPD?
A LGPD veio para atuar como um regulamento, com diretrizes sobre coleta, uso, armazenamento e compartilhamento de dados. Sua criação mudou a estrutura de funcionamento e operação das empresas, impondo padrões de vigilância mais altos e penalidades mais graves para o descumprimento da legislação.
Para compreender a Lei Geral de Proteção de Dados é importante saber mais sobre alguns conceitos e suas aplicações.
Dados pessoais
Para a LGPD, dado pessoal é toda informação que possa identificar um indivíduo. Mas não falamos somente de nome, e-mail ou localização do usuário. Ao possuir dados de navegação (informações armazenadas pelo navegador a medida que você navega na web, como dados digitados em formulários ou sites visitados), as empresas podem gerar impacto através de publicidade online, como anúncios em sites, por exemplo. Em síntese, a soma desses dados torna os indivíduos identificáveis e as empresas passam a ser implicadas pela LGPD.
Tratamento de dados
De forma simples e sucinta, tratamento de dados é toda e qualquer operação feita com as informações coletadas dos usuários. Desde o início do processo de recolhimento até a utilização para propagação de mídias é identificada como tratamento de dados. Portanto, é importante entender este conceito, já que a LGPD se aplica a todos os passos desse processo e as implicações, caso a administração das informações não seja feita corretamente, podem ser graves.
Titular de dados
Titular é o indivíduo portador dos dados pessoais compartilhados com as empresas.
Controlador
O controlador, segundo determinação da LGPD, pode ser uma pessoa física ou jurídica, de direito público ou privado. Sua função está associada à tomada de decisões dos dados pessoais possuídos. Inclusive, embora se fale muito de empresas, outros modelos de organização também se aplicam a LGPD, como ONGs e órgãos de administração pública.
Encarregado (DPO)
Data Protection Officer (DPO), traduzido como “encarregado” para o português, é a pessoa responsável por controlar a adequação interna da empresa à LGPD. Essa posição é indicada pelo controlador e o escolhido exerce uma função de comunicação importantíssima, já que é a ponte direta com a Autoridade Nacional de Proteção de Dados (ANPD) e o titular de dados.
Operador
É a empresa responsável por fazer o tratamento dos dados coletados, sob ordem do controlador. Essa função não detém poder de decisão sobre as informações e fica sujeita a decisões acima de sua alçada.
Princípios
Toda empresa que utiliza dados pessoais, tem certas práticas obrigatórias a serem cumpridas. Na Lei Geral de Proteção de Dados existe uma série de princípios que atuam como direcionadores, reforçando o que podemos chamar de boas práticas para as empresas e organizações. Contudo, é importante frisar que apesar desses princípios serem postos como sugestões, eles na verdade são obrigatórios e devem ser cumpridos por todos aqueles que se encaixam na aplicação da lei.
Bases legais
O tratamento de dados da LGPD é gerido por algumas hipóteses, chamadas de bases legais. A ideia é que as empresas estejam adequadas segundo a listagem contida na lei para que o uso de informações não seja feito de forma ilegal. Como exemplo podemos citar o consentimento, o exercício regular de direitos e o cumprimento de obrigação legal ou regulatória.
E os cookies?
Se engana quem acha que estamos falando de biscoito (ou bolacha). Se você acessa a internet de maneira recorrente, com certeza já se deparou com a pergunta “aceita todos os cookies?” logo ao abrir um site. De forma simplificada, eles são pequenos arquivos enviados de um site para o navegador do usuário, assim que o site em questão é acessado.
Eles ficam armazenados e possuem diversas finalidades, como acelerar o carregamento da página ou acelerar o preenchimento de formulários, já que as informações previamente salvas podem ser utilizadas automaticamente.
Desde que a Lei Geral de Proteção de Dados foi instaurada, quase todos os sites têm colocado a solicitação de autorização de cookies em suas páginas. Porém, no texto original da lei, não existe nada que mencione diretamente a utilização desses pequenos arquivos.
Mas então por que eles estão sendo mencionados aqui? É simples: a transparência é um dos pilares estabelecidos na LGPD e a solicitação de consentimento para uso dos cookies pode ser encarada como adequação às bases legais da lei.
Gestão de dados
Falamos muito sobre tratamento de dados, mas pensar na organização deles também é essencial. Quando falamos de informações pessoais, mantê-las concentradas em um local plenamente seguro e sistematizado vai deixar a empresa ou sujeito controlador munido de mecanismos de defesa, caso seja necessário.
Perante a LGDP, os usuários que têm seus dados disponibilizados possuem uma série de direitos assegurados relacionados ao controle de suas informações. Nesse sentido, é possível solicitar através de um contato da empresa, a qualquer momento, a remoção de suas informações do banco de dados de todos os sistemas instituídos na organização. Neste cenário, os dados solicitados devem ser repassados em sua totalidade dentro de um prazo máximo de 15 dias a partir da data de requerimento.
Flexibilização na LGPD para pequenas e médias empresas
No início do ano de 2022, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização e regulamentação da LGPD, comunicou algumas mudanças na lei para favorecer a inclusão de pequenas e médias empresas ao modelo estabelecido.
Microempresas e empresas de pequeno porte foram diretamente afetadas pela mudança, juntamente de startups e entidades sem fins lucrativos. Confira abaixo as principais alterações feitas na lei.
Prazos:
- O prazo para processamento de solicitações referentes ao tratamento de dados pessoais de usuários era de 15 dias a partir da data de requerimento. Com a flexibilização para empresas de pequeno porte, o prazo é dobrado e os atendimentos podem ser feitos em até 30 dias.
- Caso algum incidente ocorra em relação a segurança dos dados dos usuários, o prazo para comunicar a ocorrência também é dobrado, a não ser que a situação comprometa a integridade dos indivíduos envolvidos ou a segurança nacional.
Segurança:
Em relação a segurança da informação, as empresas de pequeno porte foram agraciadas com alguns requisitos mais brandos.
- Permissão para criação de uma Política Interna de Segurança da Informação simplificada.
- Para incidentes de segurança, a ANPD desenvolverá um procedimento simplificado para comunicar os usuários e organizações envolvidas na situação. Ainda não há um processo estabelecido, mas segue em desenvolvimento pelo órgão regulatório.
- Os agentes de pequeno porte devem desenvolver medidas administrativas e técnicas essenciais. Vale ressaltar que, no final de 2021, foi publicado pela ANPD o Guia Orientativo sobre Segurança da Informação para agentes de tratamento de pequeno porte, orientando sobre a aplicação de uma série de pontos necessários para aplicação.
Encarregado (DPO):
Até então, era obrigatório para todos os tipos e portes de empresas indicar um encarregado de proteção de dados. No entanto, os agentes de pequeno porte não precisarão mais fazer isso a partir das novas atualizações da LGPD. A ANPD informa que a obrigatoriedade da indicação não existe mais, mas ainda é considerada uma boa prática profissional para aqueles que quiserem aderir a função.
Mas, apesar de não haver um encarregado delegado, as organizações de pequeno porte ainda deverão possuir um canal de comunicação estruturado com o titular de dados, para que possa processar solicitações, recepcionar problemas e prestar esclarecimentos quando necessário.
Registros:
No que diz respeito ao tratamento de dados, a LGPD prevê que tudo deve ser devidamente registrado, ação que pode ser muito complexa devido ao volume de informações processadas e seus meios de recebimento. Portanto, uma das medidas pensadas para facilitar a operacionalização desta obrigação é a simplificação dos registros a partir de um modelo concedido pela ANPD. Apesar disso, infelizmente o documento ainda não está pronto para ser disponibilizado devido a não finalização de sua regulamentação, mas espera-se que em breve seja possível utilizar o protótipo.
Exceções
Em toda regra, há uma exceção e se tratando de LGPD não seria diferente. Dentre as mudanças envolvidas para as pequenas e médias empresas, alguns fatores excludentes podem retirar alguns empreendimentos da atualização. Basicamente, existem dois cenários principais:
1. Receita bruta superior ao limite permitido
Para empresas de pequeno porte, o teto de R$4.800.000,00 não pode ser ultrapassado no referido ano-calendário. Logo as startups também não podem ter receita bruta maior que R$16.000.000,00, segundo ano-calendário anterior.
Caso a empresa faça parte de um grupo econômico, os valores acima citados também não podem ser superados.
2. Tratamentos de dados de alto risco
Sempre que o tratamento de dados se encaixar como alto risco, cumprindo ao menos um critério geral e um específico, a empresa não se encaixará nas alterações de flexibilização.
Critérios gerais:
- O tratamento de dados pode afetar direta e significativamente interesses e direitos essenciais dos titulares
- O tratamento de dados é feito em larga escala
Quando falamos de larga escala, é importante analisar fatores como número de titulares, extensão geográfica do tratamento realizado e volume de dados envolvidos, além de outros pontos essenciais como frequência e duração da utilização.
Critérios específicos:
- Utilização de tecnologias emergentes ou ainda desconhecidas
- Utilização de dados pessoais sensíveis ou dados de idosos e menores de idade
- Decisões tomadas a partir de análise de tratamento de dados automatizado
Como é possível observar, os critérios não são necessariamente autoexplicativos e abrem margem para diversos tipos de interpretação. Desse modo, a ANPD poderá auxiliar na avaliação do tratamento de alto risco através da divulgação de guias de orientação.
Afinal, a LGPD é boa ou ruim?
Compreender sobre a Lei Geral de Proteção de Dados é imprescindível, tanto para as organizações quanto para os usuários. Desse modo, cuidar para que ela seja cumprida corretamente deve ser um dever de todo tipo de conjunto organizacional que esteja enquadrado nela.
Assim, tratar a segurança dos dados pessoais deve ser sempre uma prioridade, principalmente quando pensamos nos mais variados tipos de fraudes praticados hoje em dia. Portanto, se sua empresa ainda não está enquadrada nos parâmetros legais da LGPD, procure se informar com profissionais especializados e assegure a sua segurança e a de seus clientes.