Foi dada a largada: começou o alvoroço em torno da Lei Geral de Proteção de Dados (LGPD). Se você ainda não sabe o que é ou como funciona, saiba que o atraso pode custar caro. Apesar de estar em fase de implementação, são muitos os passos necessários para estar em conformidade com a lei. Confira este conteúdo exclusivo e entenda como ficam os direitos, deveres e obrigações da empresa (e seus!) com a nova lei.

O que é a LGPD?

A LGPD (abreviação de Lei Geral de Proteção de Dados) veio para regularizar a atuação digital das empresas brasileiras. Ela concretiza, por assim dizer, o direito digital. A LGPD define como as empresas podem coletar, armazenar e compartilhar as informações de pessoas físicas e jurídicas com que têm contato.

O que é LGPD?

A nova regulamentação diz respeito ao uso responsável de informações de usuário por empresas. Com ela, a segurança da informação é compreendida como fundamental ao direito civil. As pessoas têm direito à privacidade, e as empresas têm a obrigação de garantir a confidencialidade.

O que significa LGPD

Podemos resumir a LGPD em dois pontos:

icone de redução de riscos considerando a lgpdRedução de riscos
Considerando que o uso de dados tem se tornado cada vez mais abrangente, é preciso se atentar. Assim os benefícios trazidos pela mineração de dados a analytics não são ameaçados pelos riscos de vazamento ou uso indevido de informações.

icone lampadaMelhores decisões
O uso inteligente de dados permite a pessoas e organizações tomar decisões embasadas. Fica mais fácil alcançar objetivos com o uso ético e coerente de dados – há ganhos em eficiência, transparência e competitividade.

O que muda com a LGPD

O volume de dados coletados e processados nunca foi tão grande. Com a LGPD (e o direito digital como um todo), temas como privacidade, ética, confiabilidade e segurança são trazidos à tona.

As empresas precisam repensar suas rotinas e interações de maneira complexa:

  • Uso de dados de modo a promover inovação, crescimento e responsabilidade social;
  • Organização e tratamento de diferentes tipos e fontes (físicas e lógicas) de informação;
  • Prerrogativas, riscos e responsabilização pelo manuseio de dados, visando a proteção de dados pessoais.

Além disso, a Lei Geral de Proteção de Dados acaba por trazer 4 mudanças que afetam o dia a dia das empresas:

Direitos
A privacidade é vista como direito civil. Informações não podem ser coletadas, tratadas ou compartilhadas com terceiros sem expressa aprovação do indivíduo.

Segurança
As empresas devem proteger o banco de dados de maneira pró-ativa – não somente com base nas configurações de privacidade dos titulares dos dados.

Obrigações
Os termos de privacidade devem ser claros e facilmente compreendidos pelo usuário (sem juridiquês). O usuário pode consultar, transferir e excluir os próprios registros.

Penalidades
Empresa que não cumprir com a LGPD pode ser advertida ou até mesmo ter as atividades suspensas. Multas podem chegar a até 2% do faturamento (limitada a R$ 50 milhões).

martelo de tribunal representando o direito digital que está sujeito a LGPD

Por que expandir o Direito Digital com a LGPD?

A legislação aprovada pelo Senado em julho de 2018 é um marco histórico. A LGPD representa as transformações tecnológicas e culturais trazidas Indústria 4.0. Pela primeira vez, a lei reconhece que o processo produtivo utiliza de conceitos e tecnologias como:

Em outras palavras: a LGPD reconhece a Quarta Revolução Industrial, realidade em que sistemas, equipamentos e pessoas estão profundamente conectados. Poucas coisas são tão impactantes quanto a transformação digital, não é mesmo?

Precedentes: a lei europeia de segurança de informação e confidencialidade

Pode-se dizer que a LGPD nasce de um benchmark europeu.

Na União Européia, esse tipo de legislação existe há bem mais tempo. Apesar de algumas leis vigorarem desde 1995, houve avanços significativos na última década. A General Data Protection Regulation (GDPR) começou a ser idealizada em 2012, foi aprovada em 2016.
Para melhor entender as diferenças entre a LGPD brasileira e a GDPR europeia, traçamos um breve resumo/comparativo:

Comparativo LGPD e GDPR
Perguntas frequentes sobre LGPD e GDPRGeneral Data Protection Regulation (Europa)Lei Geral de Proteção de Dados (Brasil)
Quando começa a valer a lei de proteção de dados?Leis já existem há quase 25 anos, desde 1995.Lei entra em vigor em 2020.
Quais dados considerados sensíveis são vistos como exceção e podem ser tratados sem o consentimento expresso?Dados tornados públicos pelo titular ou dados referentes a membros de organizações sem fins lucrativos, sob medidas de segurança adequadas.Dados indispensáveis para execução de políticas públicas, previstos em lei, ou necessários à garantia da segurança do titular.
Como ficam os dados de menores?O uso de dados de pessoas menores de 16 anos deve ser autorizado pelos responsáveis legais.O uso de dados de pessoas menores de 18 anos deve ser autorizado pelos responsáveis legais.
Quem é responsabilizado no caso de dano?O operador é responsável pelos danos causados ao titular, salvo se/quando o tratamento foi feito em conformidade com a regulamentação.O operador é responsável pelos danos causados ao titular, salvo se/quando o tratamento foi feito em conformidade com a regulamentação ou se o dano é decorrente de culpa do titular.
Como é a relação entre controlador e operador?A relação para tratamento de dados deve ser formalizada por contrato ou outro ato jurídico.Há orientação de que o operador deverá seguir as instruções do controlador, porém não é exigida a formalização.

Pontos positivos e negativos da nova legislação

A lei vale tanto para dados online quanto offline, inclusive registros físicos

Indivíduos precisam autorizar explicitamente o uso das informações

Uma análise jurídica aprofundada está disponível neste artigo do advogado especialista e DPO Adriano Mendes.

Gestores debatendo o LGPD

Quem são os envolvidos na LGPD?

  • O titular dos dados é a pessoa física a quem se referem os dados.
  • A pessoa física ou jurídica que coleta as informações e decide sobre como e para quê acontece o tratamento dos dados é chamada de controlador.
  • A pessoa física ou jurídica que processa as informações e segue as instruções do controlador é chamada de operador.
  • A pessoa física ou jurídica que faz a comunicação entre titular, operador e controlador é chamada de encarregado.
  • Para educação digital, cria-se O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. O grupo reúne governo e sociedade civil organizada para promover a conscientização de empresas e usuários.
  • Para fiscalização da LGDP, cria-se a Autoridade Nacional de Proteção de Dados (ANPD). No entanto, está em discussão se a entidade será vinculada ao Ministério da Justiça ou a algum órgão do Executivo.
OrgãoNúmero de indicações
Poder Executivo FederalIcone pessoa poder executivo federalIcone pessoa 2 poder executivo federalIcone pessoa 3 poder executivo federalIcone pessoa 4 poder executivo federalIcone pessoa 5 poder executivo federalIcone pessoa 6 poder executivo federal
Sociedade civil, com atuação comprovada em proteção de dados pessoaisLGPD icone pessoa sociedade civilLGPD icone pessoa 2 sociedade civilLGPD icone pessoa 3 sociedade civilLGPD icone pessoa sociedade civil 4
Entidade representativa do setor empresarial afetadalgpd icone pessoa setor empresariallgpd icone pessoa 2 setor empresariallgpd icone pessoa 3 setor empresariallgpd icone pessoa 4 setor empresarial
Conselho Nacional de JustiçaIcone pessoa CNJ
Senado FederalIcone senado federal
Conselho Nacional do Ministério Públicoicone lgpd ministério público
Câmara dos Deputadosicone pessoa
Comitê Gestor da Internet no Brasilicone pessoa lgpd

Como a LGPD afetará as empresas brasileiras

Se você não é especialista em TI, deve estar se perguntando: o que significa LGPD, na prática?

Antes de entender o impacto para cada área, vale a pena relembrar conceitos centrais.

Informações pessoais
Dados que tornam identificável a pessoa física. Informações do tipo nome, CPF, endereço de email, IP, fotos e voz entram nesta categoria.

Informações sensíveis
Dados que podem levar à discriminação ou situações de constrangimento, como informações sobre crenças religiosas e políticas, características físicas e de saúde ou vida sexual.

Consentimento
Autorização livre e informada feita pelo titular para o uso de seus dados para determinada finalidade.

Tratamento de dados
Coleta, produção, armazenamento, acesso, utilização, reprodução e transmissão, por exemplo.

Anonimização
Processos e técnicas por meio dos quais o dado deixa de ser associável ao titular, direta ou indiretamente.

O impacto da LGPD na TI das empresas está muito baseada na questão de estruturas. Mas a LGPD tem relação direta, também, com os direitos do consumidor e, principalmente, com o direito do trabalho.

Os times de Marketing, Vendas, Financeiro, e Jurídico possuem informações de clientes. Da mesma forma, todo Recursos Humanos ou Departamento Pessoal das empresas possui extenso banco de dados sobre colaboradores. E estas informações devem ser protegidas.

O impacto da LGPD para quem usa SaaS e cloud computing

Você deve estar se perguntando: “o que a empresa precisa fazer nos sistemas (referente à LGPD)?”. É por isso que recomendamos a leitura do artigo LGPD e GDPR: 7 princípios que a TI deve colocar em prática, da CIO. Em duas frases: 1) privacidade como padrão; e 2) segurança da coleta à eliminação dos dados.

Vazamento de dados

Mas e quando acontece vazamento de dados? No caso deste (ou qualquer outro) problema de segurança, a organização deve notificar as autoridades. Há responsabilidade legal pelas consequências da falha de segurança. A ANPD determina os próximos passos na tratativa da situação.

É preciso listar as pessoas afetadas, descrever a natureza das informação e os possíveis riscos relacionados. A empresa deve apresentar, também, as medidas de segurança usadas preventiva e corretivamente.

Empresas de atuação internacional

Empresas estrangeiras que atuam no Brasil precisam seguir a LGPD para os dados coletados aqui. Os dados só poderão ser transferidos e utilizados em países com proteção compatível, como é o caso da GDPR.

mulheres sorrindo

Como a LGPD afeta as rotinas de RH das empresas

Os colaboradores são titulares de dados. Assim sendo, a(s) base(s) de dados usada pelo Recursos Humanos e Departamento pessoal devem estar de acordo com a LGPD. Isso vale para o sistema de fechamento de folha, intranet, e demais aplicativos e sistemas de armazenamento de dados sobre os profissionais contratados pela empresa.

Entre as mudanças trazidas pela LGPD estão questões como a coleta de dados biométricos.

Empresas que utilizam o registro eletrônico de ponto (relógio ponto homologado, etc. ) são afetadas. Isso porque a lei entende a biometria como dado pessoal sensível. O tratamento desses dados exige mais rigor. Contudo, o tratamento pode, nestes casos, ser realizado sem consentimento do titular – afinal, é exigida como do cumprimento de uma obrigação legal.

O mesmo vale para empresas que fazem gestão de acesso usando biometria digital ou facial, uma vez que é entendido que este cadastro ajuda a à fraude e à segurança do titular, entre outras.

Com a LGPD, soma-se as obrigações das empresas o cumprimento dos procedimentos previstos pelo direito digital às rotinas e prazos do eSocial.

[Webinar] Desafios da Lei geral de proteção de dados nas áreas de RH e DP

Assista agora

Principais artigos da lei brasileira de proteção de dados

Segundo a previsão, a LGPD entra em vigor em agosto de 2020 – 18 meses após a criação. Como funciona a aplicação da nova lei, então?

10 princípios da coleta de dados

A Lei Geral de Proteção de Dados prevê quais informações podem ou não ser coletadas, quando e por quem. Os agentes de tratamento de dados têm como requisitos:

Finalidade específica
legítima explícita e informada ao titular
Adequação do contexto de tratamento
com relação às finalidades
Abrangência mínima
limitada ao pertinente e necessário às finalidades
Clareza e transparência
sobre o tratamento, observados os segredos comercial e industrial
Não discriminação
do titular com ações ilícitas ou abusivas
Segurança da informação
utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão
Foco em prevenção
com protocolos e medidas para evitar danos consequentes do tratamento de dados pessoais
Prestação de contas
comprovação do cumprimento das normas, sua eficácia e responsabilização das partes
Livre acesso ao titular
de maneira gratuita para agir sobre os dados e compreender como se dá o tratamento e suas finalidades

Precisão
qualidade, exatidão, clareza, relevância dos dados

Exceções à LGPD

Algumas informações podem ser tratadas, quando a finalidade se enquadrar em uma das condições abaixo:

  • Uso por pessoa física para fins particulares, sem intenção de lucro.
  • Pesquisa jornalística, artística ou acadêmica.
  • Garantia de segurança pública, defesa nacional ou prevenção à crimes.
  • Dados com agente de tratamento no exterior.

gestores de TI analisando servidores de computação

O que fazer para cumprir a LGPD?

O primeiro passo é, claro, conhecer a legislação. É preciso entender que há uma relação entre Marco Civil da Internet e a LGPD, sendo a segunda uma atualização da primeira. Você pode acessar as leis relevantes nos links abaixo:

Marco Civil da Internet
trata de “os direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania em meios digitais”: Lei nº 12.965, de 23 de abril de 2014.

Acessar

Lei Geral de Proteção de Dados
refere-se ao tratamento de dados “por pessoa natural ou por pessoa jurídica de direito público ou privado”: Lei nº 13.709, de 14 de agosto de 2018.

Acessar

Lendo as duas leis você vai perceber que o atendimento à LGPD não é responsabilidade exclusiva da TI. Todas as áreas e departamentos que coletam dados do RH ao Marketing à Produção) precisam se adequar.

Na dúvida sobre como implementar a LGPD? Listamos alguns passos importantes para você aplicar na sua organização. Siga estas recomendações para o seu desenho de implementação da LGPD.

Organize uma comissão para se debruçar sobre a LGPD.
É interessante combinar profissionais de Operações, TI, Vendas e Departamento Pessoal.
Mapeie as bases de dados da empresa.
Saiba quais softwares são usados para compilar dados. Existem sistemas de folha de pagamento? ERP? CRM? Você pode usar uma ferramenta de mapa mental para identificar como elas se relacionam.
Esquematize as restrições de acesso.
Identifique quem são as pessoas que têm acesso a cada tipo de informação e os níveis de usuário. Quem pode visualizar? Quem pode alterar ou excluir documentos?
Aplique medidas de segurança.
Pessoas: O mais básico é incluir um acordo de não divulgação (NDA, em inglês) aos contratos com clientes e de contratação de colaboradores e fornecedores.
Processos: Invista na educação de colaboradores. Monitore a rotina: existem brechas de segurança? Você pode optar por fornecedores com certificação ISO 9001 e ISO 27001, por exemplo.
Tecnologia: Backups automáticos, testes de segurança, criptografia de dados. Considere também soluções de controle físico e lógico de acesso. Isso vale desde o controle de senhas ao acesso a salas de servidores.
Atualize a política de segurança da empresa, com periodicidade de auditoria interna. Defina qual colaborador é responsável pelo projeto

Quer ir além? Você pode se cadastrar em nosso mailing para receber informações sobre como trazer a sua gestão de pessoas para o futuro, hoje – ou então fale com um consultor ahgora e comece hoje mesmo!

Cadastre-se