No primeiro semestre deste ano, entrou em vigor o GDPR (Regulamento Geral de Proteção de Dados), visando proteger seus cidadãos europeus de terem seus dados pessoais divulgados e tratados sem a devida autorização. Na mesma linha, o Brasil promulgou a LGDP (Lei Geral de Proteção de Dados – Lei 13.709) em agosto, que segue o mesmo objetivo da lei europeia e deve entregar em vigor em meados de 2.020.
Para não ser pego desprevenido e ter que pagar as multas relacionadas, a exemplo do que aconteceu com empresas com atuação na Europa, você já pode ir adotando algumas práticas para deixar o seu negócio alinhado com a nova lei.
O que é a LGPD
A Lei Geral de Proteção de Dados (LGPD) foi aprovada em agosto deste ano, abrange tanto as pessoas físicas quanto as jurídicas – públicas ou privadas, inclusive estrangeiras com atuação no país – e tem como objetivo garantir a privacidade do consumidor e prevê punições para as empresas que não cumprirem o que prevê a legislação.
A lei engloba qualquer operação realizada com os dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Segundo Dr. Luciano Bridi, advogado no Volpi Advogados, especializado em Direito Empresarial, “a nova legislação, por suas características, possui aspectos estruturais muito próximos aos da Lei Anticorrupção (Lei 12.846/2013), integrando, portanto, o conjunto de iniciativas relacionadas aos programas de integridade, reforçando a necessidade das empresas em adotarem as práticas de Compliance Digital”
As principais bases legais da lei:
- Interesse vital do individuo
- Conformidade com obrigações legais
- Necessidade contratual
- Consentimento do individuo
- Interesse legítimo da empresa
- Interesse público
Principais pontos da lei
- Proteção dos dados
- Dados de crianças e adolescentes passam a ter proteção mais específica
- As notificações sobre incidentes de segurança da informação passarão a ser obrigatórias, nos casos que houver riscos aos titulares dos dados
- As multas podem chegar até 2% do faturamento da empresa, considerando o texto de 50 milhões de reais por infração.
O que mudará com a nova lei?
Com a nova lei em vigor, toda empresa deverá solicitar o consentimento do consumidor para o uso de dados por ele fornecido. O consentimento poderá ser por escrito ou digital desde que que comprove a aprovação do consumidor e tenha a especificação das finalidades de uso da informação coletada. Poderá ser revogado a qualquer momento mediante manifestação expressa do titular (permanecem os tratamentos já realizados, enquanto não houver requerimento de eliminação).
O consentimento deverá ser claro, explícito e sem ambiguidades. Poderá ser um texto curto e objetivo, no entanto, deverá conter detalhes e contato da empresa que está coletando os dados, o propósito da informação coletada, período de utilização, local para o consumidor retirar o consentimento ou acessar/alterar os dados. E o mais importante, deverá ter a opção negativa, caso o consumidor não queira fornecer os dados. O consentimento precisa ser documentado para evidência.
Em resumo, o consumidor deverá ser informado da coleta de dados e o que será realizado com estas informações. Em paralelo, a empresa deverá obter o mínimo necessário para o uso por ela.
Essa lei aplica-se incluso no uso das informações de cookies. O consumidor deverá ser informado que os dados estão sendo coletados com os direcionamentos para a política de privacidade e termos de condições de uso da empresa.
Boas práticas de segurança de informação para aplicar na empresa
Para adequação a LGPD e garantia da segurança de dados, a empresa deve ter políticas e/ou regras bem definidas referentes à:
- Condições de organização e funcionamento
- Procedimentos, incluindo reclamações e petições de titulares
- Normas de segurança e padrões técnicos
- Obrigações específicas para os diversos envolvidos no tratamento
- Ações educativas
- Mecanismos internos de supervisão e de mitigação de riscos
- Deverão ser publicadas e atualizadas periodicamente
- Programa de integridade/compliance