A Lei Geral de Proteção de Dados Pessoais foi promulgada em 2018, com o objetivo de regular as atividades voltadas ao tratamento de dados pessoais no processo de contratação de serviços e compras de produtos. A LGPD para empresas pode ser um grande desafio para os líderes de negócios que ainda não entenderam as principais regras da legislação e como ela pode ser aplicada no contexto em que estão inseridos.
Pensando nisso, desenvolvemos um conteúdo contendo tudo o que você precisa saber sobre a LGPD para empresas. Confira a seguir:
LGPD: O que é?
A Lei Geral de Proteção de Dados Pessoais (LGPD), inscrita como a Lei n°13.709/2018, é o documento de referência legal que aborda sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado.
Essa legislação surgiu em meio a necessidade de desenvolver um padrão regulatório para as atividades que utilizam dados pessoais na execução de sua operação. Apesar de parecer algo muito específico, a coleta de dados pessoais ocorre a todo momento no processo de fornecimento de serviços de uma empresa.
No varejo, por exemplo, é comum que as lojas solicitem dados pessoais como nome e CPF para realização de troca, ou promoção de garantias para o consumidor. Esse simples ato faz com que o estabelecimento seja responsável por guardar e assegurar a proteção desses dados em sua plataforma de funcionamento.
Além disso, de acordo com os conceitos publicados pelo Governo Federal Brasileiro, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento, que são eles o Controlador e o Operador. Esses papéis são extremamente importantes para a garantia dos termos envolvidos na LGPD, evitando assim a aplicação de multas e outras medidas punitivas devido à violação dos padrões estabelecidos por lei.
Além deles, há a figura do Encarregado, que é a pessoa indicada pelo Controlador para atuar como canal de comunicação entre todos os envolvidos na transação, são eles: o Controlador, o Operador, os(as) titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Quem são os agentes envolvidos na LGPD?
Como dito anteriormente, para o correto cumprimento da LGPD é preciso que os agentes envolvidos na transação estejam cumprindo o seu papel de forma correta. Pensando nisso, separamos algumas das principais funções de cada um desses indivíduos na relação abaixo:
Controlador:
De maneira geral, o controlador é uma pessoa natural ou jurídica, de direito público ou privado, que tem como principal função, a responsabilidade na tomada de decisões referentes ao tratamento de dados. De acordo com o líder de LGPD do Grupo Daryus, cabe ao agente controlador determinar sua atuação, regras de acordo com seu modelo de negócios e seu legítimo interesse, em conformidade com a lei.
Operador:
O operador, por sua vez, é uma pessoa natural ou jurídica, de direito público ou privado, responsável por atuar no processo de tratamento de dados pessoais em nome do controlador. De acordo com conceitos divulgados pelo especialista da Daryus, esse agente processa e gerencia as informações de acordo com as regras estabelecidas pelo controlador.
Imagine que você é o dono de uma empresa e o seu funcionário divulgou ilegalmente os dados pessoais de um cliente. Nesse caso, você é o agente controlador, pois, mesmo que não tenha sido o responsável por divulgar as informações do consumidor, você é o líder do negócio, e o cliente em questão confiou os seus dados pessoais para a empresa e não para um funcionário em específico.
Já o seu subordinado seria o operador da LGPD, ou seja, aquele que realiza o tratamento e a manipulação dos dados de acordo com as regras pré-estabelecidas pelo líder do negócio.
Titular:
Como o seu próprio nome sugere, o titular é o agente que possui os dados, ou seja, nesse caso em questão, o titular é o cliente que confiou as suas informações para a empresa. É importante ressaltar que, o principal objetivo da LGPD é conseguir resguardar a privacidade e a segurança do titular dos dados.
Dessa forma, numa situação de violação da LGPD, como a citada anteriormente, o controlador da empresa precisa ter ciência de quais são os próximos passos a serem tomados para a resolução do problema.
Autoridade Nacional de Proteção de Dados:
Este é o órgão da administração pública federal, responsável pela regulação, implementação e fiscalização do cumprimento das diretrizes dispostas na LGPD. Além disso, é importante ressaltar que, para exercer estas diferentes funções, a autoridade possui autonomia técnica e decisória assegurada por lei.
Desde o ano de 2021 a ANPD possui a autorização para aplicar sanções em caso de violação da legislação vigente. As penalidades aplicadas pela ANPD vão variar muito de acordo com o tipo de violação realizada. Dessa forma, após processo administrativo que fará a análise da ocorrência, são aplicadas penalidades como:
- Advertências simples
- Multas de 2% do valor do faturamento da empresa ou grupo no último exercício
- Bloqueio ou exclusão dos dados envolvidos na ocorrência
- Suspensão ou proibição do acesso ao tratamento de dados pessoais.
A LGPD protege quais tipos de dados?
No processo de venda de um serviço ou produto, as empresas podem solicitar diversos tipos de dados. Por isso, é comum que os líderes de negócios se sintam curiosos e ao mesmo tempo perdidos acerca de qual tipo de dado é protegido pela LGPD.
De acordo com a lei, temos que “ A Lei n° 13.709/2018, foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo”. Ou seja, qualquer dado pessoal que possa impactar diretamente em uma das esferas citadas anteriormente é uma informação protegida pela LGPD.
Entretanto, a legislação brasileira segrega dois tipos de dados, são eles, os dados pessoais, voltados para a identificação de um indivíduo frente a sociedade, como número de identidade, data de nascimento, CPF; e ainda, existem os dados sensíveis, que são aqueles diretamente ligados à privacidade e à intimidade do indivíduo.
Para a sua melhor compreensão, separamos a seguir alguns dados que são comumente solicitados para a prestação de serviços:
- filiação sindical;
- dados genéticos,
- dados biométricos tratados simplesmente para identificar um ser humano;
- dados relacionados com a saúde;
- dados relativos à vida sexual ou orientação sexual da pessoa;
- religião;
Além dos dados disponíveis acima, a nova legislação também incorporou um terceiro tipo de informação pessoal. São os dados anonimizados, que se referem ao dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Quando os dados do indivíduo passam pelo processo de anonimização, eles deixam de ser pessoais e passam a ser meramente estatísticos, os quais não são protegidos pela LGPD. Dessa forma, a empresa pode utilizá-los sem restrições para o seu próprio interesse.
Qual a importância da LGPD?
Diferente do que muitos pensam, a LGPD foi instaurada com o objetivo de frear a grande onda de desvio de dados e cibercrimes que acontecia no Brasil nos últimos anos. Antes da Lei n°13.709 de 2018, já existia uma regulamentação nacional voltada para as transações digitais, também conhecida como o Marco Civil da Internet.
Entretanto, essa regulamentação já não era o suficiente para garantir que os direitos individuais fossem resguardados no processo de coleta de informações. Foi a partir dessa premissa que surgiu a LGPD e o seu órgão fiscalizador.
Hoje, a implementação da LGPD nas empresas representa não apenas uma medida burocrática, como também está diretamente ligada ao combate do cibercrime no Brasil. De acordo com as informações publicadas pela CNN, o Brasil é o país da América Latina que mais sofre com o roubo de dados pessoais.
Além disso, com o advento da pandemia, o Estado Brasileiro sofreu um aumento de 106% no número de casos voltados ao cibercrime. Tais números são um reflexo da grande revolução tecnológica ao redor do mundo.
Atualmente, novas tecnologias surgem a todo momento, substituindo os objetos analógicos, gerando uma maior acessibilidade e rapidez nas operações. Entretanto, um dos grandes problemas existentes é que grande parte das empresas e líderes de negócios não possuem a proteção necessária nos seus sistemas, comprometendo assim a segurança dos seus consumidores e da própria organização.
Por isso, é necessário que os empresários brasileiros estejam cada vez mais preparados para lidar com as ameaças externas no seu banco de dados. Para isso, você pode contar com as soluções digitais da Monitora. Juntos, podemos desenvolver o melhor sistema de proteção para a sua organização.
A LGPD nas empresas
Até o ano de 2021, a LGPD era apenas uma medida para o futuro dos negócios brasileiros. Entretanto, hoje, o cumprimento das normas legais voltadas para a proteção de dados já é uma realidade fiscalizada pela ANPD.
O grande problema é que, mesmo após o passar dos anos, diversas instituições ainda não conseguiram cumprir com todos os pré-requisitos dispostos na lei. Como consequência, essas empresas acabam sofrendo sanções legais sobre a sua falta de preparo e cumprimento da norma.
Já existem diversos tipos de abordagem para o cumprimento da Lei Geral de Proteção de Dados pessoais na empresa. O primeiro caminho a ser tomado, é a contratação de uma equipe especializada na segurança tecnológica da empresa.
Para que você consiga resguardar as informações coletadas, é importante que todo o seu sistema de dados conte com uma interface segura e escalável. Além disso, também é relevante que você realize vistorias em seu sistema de informação para verificar possíveis comportamentos inseguros que, indiretamente, podem estar prejudicando a eficiência dos seus processos.
Outro ponto muito importante para as empresas é a contratação de uma equipe de advogados especializada. Assim como toda e qualquer área do direito, a LGPD também é um setor que possui suas nuances e especificidades. Por isso, é importante que os processos da empresa sejam acompanhados por um profissional atualizado.
Apesar de parecer algo custoso e estressante, esse processo de adequação a LGPD já é uma realidade consolidada no Brasil. As grandes empresas já estão estabelecendo seus padrões de segurança, treinando funcionários e, principalmente, atualizando os sistemas de software e tecnologias digitais.
Como evitar sanções na LGPD?
A melhor forma de evitar multas e outras sanções relacionadas à LGPD é através da criação de um programa efetivo de conformidade. Dessa forma, a empresa conseguirá verificar como é feito o tratamento de dados dentro da organização e adequando-o às exigências legais.
De maneira resumida, quando falamos em LGPD, temos que todo tratamento de dados deve respeitar um tripé básico:
Ser coerente com os princípios da lei;
Estar justificado por uma das bases legais da LGPD;
Respeitar os direitos dos titulares.
Entretanto, sabemos que para evitar as multas nos processos de fiscalização, precisamos entender muitos mais do apenas o tripé de funcionamento da legislação. Dessa forma, separamos 4 dicas cruciais para o seu planejamento estratégico na LGPD:
1. Mapeamento das informações armazenadas na base de dados
Um dos principais erros cometidos pelas empresas brasileiras no processo de implementação do programa de conformidade é não realizar o mapeamento de dados (data-mapping).
Esse é um ponto fundamental para a segurança do seu sistema de informação, pois, quando se trata da adequação à LGPD, o mapeamento de dados permite um panorama geral de como a empresa está tratando a privacidade e segurança dos dados sob sua detenção.
Entretanto, é importante ressaltar que todo esse processo deve contar com as normas de proteção de dados em vigor.
Diferente do que muitos pensam, o processo de mapeamento não é um bônus no processo de garantia de segurança. Na verdade, esse procedimento está voltado para o cumprimento do art. 37 da LGPD, onde foi estabelecido aos agentes responsáveis, o controlador e operador, que o registro das operações de tratamento de dados pessoais seja mantido armazenado no banco de dados da empresa.
Outro ponto importante é que esse processo deve permitir que o caminho percorrido pelas informações dentro da empresa, esteja bem estabelecido. Dessa forma, após o mapeamento, a forma como os dados foram adquiridos deve estar claramente definida, indicando questões como:
- qual a base legal que sustenta o tratamento desses dados;
- qual o nível de segurança da base de dados;
- possíveis fraquezas técnicas e jurídicas presentes no sistema de informação.
2. Instituir o Data Protection Officer (DPO)
O DPO ou encarregado de proteção de dados é o profissional, ou o grupo de profissionais que possuem especialização em proteção de dados. Esses indivíduos têm como principal responsabilidade monitorar, fiscalizar e orientar o agente controlador, os titulares dos dados e a ANPD.
Em resumo, o seu papel é garantir que a empresa esteja em consonância com as normas de proteção e privacidade de dados.
Veja quais são as responsabilidades do DPO,segundo a LGPD:
I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – Receber comunicações da autoridade nacional e adotar providências;
III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
3. Gerir o compartilhamento de dados com terceiros
Outra questão muito importante no que se refere à garantia da LGPD é acerca do compartilhamento de dados com instituições terceirizadas. Isso acontece pois, a maioria das organizações trabalham com serviços terceirizados e isso acaba resultando no compartilhamento de informações importantes com outras empresas. Mas o que seria esse compartilhamento de dados?
De acordo com a legislação vigente, o uso compartilhado de dados pessoais emprega-se quando os dados pessoais são difundidos, comunicados, comunicados e transferidos, seja em território nacional ou entre diferentes países.
Dessa forma, a partir do momento em que utilizamos instituições terceirizadas para realizar diferentes processos na nossa empresa, é imprescindível que, no fluxo de compartilhamento de dados, a empresa recolha as autorizações devidas por parte dos titulares.
Além disso, o tratamento desses dados deve ser feito de forma adequada, fora da zona de risco de exposições ou de vazamento de informações. Outro ponto importante é que é fundamental verificar se os terceiros já estão em compliance com a Lei Geral de Proteção de Dados.
4. Investimentos adequados em segurança da informação
O grande aumento no número de casos voltados para o cibercrime no Brasil forma um cenário altamente instável, perigoso e preocupante para a estabilidade das empresas. Atualmente, o país enfrenta diversos casos de ataques cibernéticos, exposição ou perda de dados, especialmente ligados a questões financeiras ou exposição política.
A partir dessa realidade, podemos perceber ainda mais claramente a importância em investir adequadamente em profissionais de tecnologia altamente capacitados, bem como em uma infraestrutura de segurança da informação Dessa forma, você poderá garantir que os dados sensíveis armazenados não sofram qualquer risco de serem expostos ou roubados para fins diversos.
Quando o líder de um negócio une a estruturação de segurança digital à disposição de profissionais especializados, a empresa estará em conformidade com a LGPD no que diz respeito à privacidade e segurança dos dados pessoais de seus clientes.
Quer entender como você pode reforçar o seu sistema de proteção de dados a partir do investimento em tecnologia da informação? Entre em contato com a Monitora e conheça as melhores soluções para a sua empresa!
