LGPD: O Que é, Como Funciona e Como Implementar a Lei em 2020
LGPD significa Lei Geral de Proteção de Dados Pessoais e regulamenta o uso da proteção e a transferência de dados pessoais como nome, endereço, e-mail, idade, estado civil e etc. A lei entra em vigor em 16 de agosto de 2020, então a partir desta data a manipulação de dados pessoais só será possível se a empresa que está coletando os dados do cidadão brasileiro tiver consentimento explicito do mesmo. Ou seja, a pessoa deve autorizar que seus dados sejam coletados.
Como sabemos há algum tempo já, os dados são o bem mais valioso de muitas empresas. Não é exagero dizer que hoje os dados valem mais que petróleo. Com a evolução do poder computacional, junto a velocidade da internet, principalmente por dispositivos móveis tornou possível a ascensão do Big Data e com isso um oceano de dados de centenas de milhões de pessoas começaram a ser coletados, analisado e manipulados.
Muitos destes dados são coletados sem que a pessoa, ou dono dos dados soubessem. Por isso a cada ano a necessidade de criar uma lei para proteger o titular dos dados foi se fortalecendo. Neste artigo vamos passar pelos principais pontos da nova legislação de proteção ao dados pessoais do Brasil.
1 – O que é LGPD?
Após alguns anos de debate, ajustes e muitas indas e vindas a Lei Geral de Proteção de Dados Pessoais do Brasil foi aprovada em 13 de agosto de 2018. Podemos dizer que esta nova lei é uma evolução do marco civil da internet, porém o marco civil não cobria diversos pontos importantes que surgiram ao longo dos anos, assim houve a necessidade de criar uma nova lei.
Temos que deixar claro que a lei regulamenta os dados relacionado à pessoa física, qualquer dado que seja possível através dele identificar uma pessoa física está protegido. Isso significa que dados empresariais estão fora da LGPD. A lei serve para empresas do setor privado e público, ambas terão que se adaptar com propósito que ninguém seja totalmente individualizado.
Então qualquer informação que uma determinada pessoa seja identificável ou identificada estão sob o regime da nova lei que entrará em vigor em 16/08/2020.
Para que serve a Lei Geral de Proteção de Dados Pessoais?
A lei tem como objetivo proteger os dados do titular dos mesmo.
Porém como muitos pensam a lei tem como propósito aumentar a transparência dos dados no mundo corporativo de modo alguma a lei quer dificultar as negociações, pelo contrário a lei quer tonar as negociações sejam elas B2B ou B2C o mais transparentes possíveis.
O que é um dado identificável?
É possibilidade de agrupar diversos dados de origens ou fontes de dados diferentes e mesmo assim conseguir identificar um indivíduo. Vamos a um exemplo?
Imagine que o seu celular está com 8% de bateria e você precisa chamar o Uber ou 99 e qualquer outra aplicativo de serviço locomoção. A empresa não precisa saber seu nome, sua idade, onde você trabalhar para aumentar em 50% o valor da corrida que você está prestes a solicitar porque a bateria do seu celular está baixa. Diferente da GDPR a nossa lei possui um regulação para este tipo de situação.
O que é um dado identificado?
É um dado que através dele eu sei quem é a pessoa exata. Por exemplo:
Eu sei o CPF de uma pessoa. Com isso eu posso verificar se ela está com o “nome sujo” e então fazer campanhas de marketing para ela ou fazer uma ligação para oferecer determinado serviço. Isso não poderá mais acontecer sem que o dono do dado permita.
Qual a data que a LGPD entra em vigor?
A lei foi criada em 13 de agosto de 2018, porém a LGPD entrará em vigor em 16 de agosto de 2020.
Qual o valor da multa aplicada pela LGPD?
As empresa que não se adequarem ou descumprirem a lei poderão receber uma multa de 50 milhões de reais ou 2% do faturamento.
Qual a diferença entre LGPD e GDPR?
A principal diferente entre a Lei Geral de Proteção de Dados Pessoais do Brasil e a GDPR (General Data Protection Regulation ou em português, Regulamentação Geral sobre a Proteção de Dados) é que a GDPR é uma lei vigente em quase 30 países da união europeia. Todos estes países que aderiram a lei desde 25 de meio de 2018 obedecem as exatas regras que os outros demais países. Por outro lado a LGPD é uma lei que será vigente apenas no Brasil.
2 – Como Funciona a LGPD?
A Lei Geral de Proteção de Dados Pessoais funciona sob 6 pilares ou pontos chaves. Abaixo vamos explicar cada um deles para termos a visão de como funciona a LGPD. Estes pontos chave formam a base a legislação, então entende-los é a o primeiro passo para se adequar à lei da forma correta.
- Escopo das Proteções
- Responsabilidade Sobre os Dados
- Melhores práticas de Relacionamento com os Dados
- Direto de Esquecimento
- Portabilidade dos Dados Pessoais
- Direito de Explicação
1 – Escopo das Proteções
A lei busca proteger os cidadãos independentemente do pais de origem das empresas nas quais eles estão fornecendo os dados. A adaptação cabe as empresas sejam elas brasileiras ou não. A lei traz um conceito para os dados pois não é só o dado que identifica, mas também o dado identificável. O que são dados sensíveis?
- Nome
- CPF
- RG
- CNH
- Endereço
- Número de Telefone
- Número de Celular
- Dados bancários
- etc
O que são dados de escopo?
- Número de IP
- Dados de Geolocalização
- Dados de Login
- etc
O que são dados de comportamento:
- Opções sexual
- Religião
- Partido Político
- Sites Acessados
- etc
2 – Responsabilidade Sobre os Dados
A responsabilidade cai para as empresas que estão coletando os dados das pessoas, sejam elas, seus clientes, assinantes ou usuários.
Porém, a responsabilidade não cai apenas sobre a primeira empresas na qual o cidadão autorizou a coleta dos dados, se esta empresa passar os dados uma empresa terceira, esta terceira empresa também tem responsabilidade sobre os dados manipulados por ela.
Ou seja, toda cadeira de empresas que coletam, manipulam e gerenciam os dados tem o mesmo grau de responsabilidade sobre os dados que estão trabalhando.
3 – Melhores Práticas com Dados
Aprimorar os processos de coleta, limpeza, análise, manipulação e gestão dos dados visando principalmente aumentar o nível de segurança com os dados armazenados e também a confiança com o cliente que está fornecendo seus dados pessoais. Podemos dividir estes melhores práticas em 2 áreas:
Criptografia
Todos os dados fornecidos pelo cidadão ou cidadã brasileiro deve ser criptografado. Isto é, é recomendado que os dados não sejam gravados do modo que como conhecemos, mas sim que passem por um processo onde o dado gravado não seja possível de leitura.
Assim, aumentando fortemente o nível de segurança caso haja um vazamento ou roubo dos dados e nenhum cidadão tenha seus dados expostos pela internet.
Transparência
Ter clareza na comunicação com a pessoas que está confiando em fornecer seus dados.
Mostrar claramente quais são dados que serão coletados, qual o intuito daquele dados, qual o benefício esta pessoa terá autorizando a coletada dos seus dados e principalmente qual o procedimento caso aconteça um eventual vazamento dos dados da mesma.
4 – Direito de Esquecimento
Todo e qualquer brasileiro pode solicitar que uma empresa na qual ele tenha autorizado a coleta de seus dados para que toda e qualquer informação relacionada a ele seja apagada.
Esta solicitação pode ser feito a qualquer momento e a empresa deve informar a solicitante o tempo que o este processo levará para acontecer.
É importante dizer que a pessoa solicitante deve comprovar que ela é a dona dos dados.
5 – Portabilidade dos Dados Pessoais
Todo e qualquer cidadão ou cidadã brasileiro pode solicitar para uma empresa na qual ele tenha autorizado a coleta de seus dados para todos seus dados sejam exportados.
Esta exportação completa dos dados pessoais tem como regra que o arquivo gerado possa ser aberto rapidamente e facilmente em qualquer outro software comum. Planilhas eletrônicas são um ótimo formato de arquivo para atender esta necessidade.
Um ponto interessante é que uma pessoa pode pedir para que uma empresa transfira seus dados para outra empresa, mesmo que esta outra seja um de seus principais concorrentes. Exemplo:
Imagine que você trabalha como motorista do Uber há 4 anos e você conseguiu chagara nota 4.9. Ou seja, você é uma ótimo motorista. Mas por algum motivo, seja lá qual for, você não quer mais trabalhar como motorista de Uber mas sim como motorista de 99.
Você poderá pedir para que o Uber envie seus dados para o 99, assim você não será prejudicado no seu novo emprego.
6 – Direito de Explicação
Toda pessoa tem como direito entrar em contato as empresas que estão manipulando seus dados que e pedir a explicação de como seus dados são analisado e quais os objetivos com o mesmos. Esta pessoas podem questionar como os algoritmos interagem com seus dados e qual será o resultado deste processo. Por exemplo:
Se você por impacto por uma campanha de anúncios em uma rede social. A rede social deve informar a você o porque você está vendo aquele determinado anúncio. Caso você não concorde com as regras das empresa para mostrar você aquele anúncio você poderá pedir uma revisão deste procedimento.
3 – Quais são os papéis do operador e do controlador na LGPD?
Existem duas figuras, ou dois cargos muito importantes para as empresas se adequarem desde já. Um dos primeiros passas é identificar se você é um controlador ou um se você é um operador de dados. Ou melhor, a pergunta a ser feita é quem é controlador de dados e quem é o operador de dados no seu modelo de negócio?
Quem é o Controlador de Dados?
Cultura Analítica: Controlador de Dados LGPD
O controlador de dados pode ser uma pessoa física, pessoa jurídica, pessoa de direto público ou privado.
Esta pessoa é o principal tomador de decisão sobre os dados pessoais. Ou seja, o controlador é responsável pelo tratamento dos dados pessoais.
Fica a cargo do controlador é quem decide como, quando, quem, quanto tempo o dado deverá ficar armazenado, como o dado será armazenado, quais as ferramentas necessárias coletar, tratar e proteger estes dados.
Quem é o Operador de Dados?
Cultura Analítica: Operador de Dados LGPD
Assim como o controlador, o operador de dados pode ser ma pessoa física, pessoa jurídica, pessoa de direto público ou privado.
Porém o controlar é a pessoa que executa o tratamento dos dados pessoais em nome do controlador.
Ou seja, o operador é uma pessoa contrata pelo controlador com o objetivo de realizar o tratamento dos dados pessoais em nome do controlador seguindo as decisões impostas pelo mesmo.
Qual a nível de responsabilidade do controlador e operador diante a lei?
Como ambos são agentes de tratamento de dados, ambos respondem diante a lei de acordo com seu nível de responsabilidade.
O controlador obviamente tem uma responsabilidade maior já que parte dele as decisões finais sobre o tratamento dos dados e o operador é o seu mandatário, o executor de todo processo de tratamento dos dados. Por tanto o operador tem responsabilidade inferior ao controlador diante a lei.
4 – Como Implantar a Lei Geral de Proteção de Dados Pessoais?
Depois entender o que é LGPD e como a LGPD funciona vamos ver como aplicar a LGPD nos processos internos da sua empresa. A principal forma de implantar a LGPD em sua empresa de maneira assertiva é através de Data Protection Officer ou em português Encarregado de Proteção de Dados.
Data Protection Officer (DPO)
Este é o profissional responsável pelos dados da empresa. Este profissional será o ponto de contato entre a organização e os titulares dos dados, Quando uma eventual reclamação, dúvida ou sugestão for enviada a organização ela deve ser direcionada ao DPO e sua equipe para então as providencias cabíveis sem tomadas.
O Data Protection Officer ou Encarregado de Proteção de Dados também é o responsável por remodelar os processos internos da empresa para que esta atenda a todos os pedidos da legislação. Esta é a pessoa que irá adequara cada área da empresa seja recursos humano, marketing ou engenharia de dados para que todos os requisitos da nova lei sejam atendidos.
Vale restara que o DPO pode e deve ser uma equipe competente que o ajude neste processo de adequação.
5 – Como se Adequar à LGPD na Prática?
Sem dúvida alguma o primeiro ponto é a conscientização das empresa na adoção e adequação da LGPD sem isso o processo será inviável. Vale aproveitar esse momento e fazer uma analise de toda base de dados com a seguinte questão em mente.
Será que existe algum dado que não uso para nada? Se a resposta for sim, aproveita a oportunidade para remover este dados da sua base. Foque em trabalhar com o mínimo de dados necessários do seus usuários. Com isso o risco de vazamento de dados também será minimizado.
Os 5 passos básicos para se adequar a LGPD são:
- Conscientização das empresa na adoção e adequação da LGPD
- Criação de um departamento de proteção ao dados liderado pelo DPO
- Identificar os possíveis riscos de cada um destes dados nos medidas para mitigar os riscos
- Implementar as medidas de mitigação segurança aos dados
- Revisão de todos os contratos oferecidos pela empresa aos usuários