A Lei Geral de Proteção de Dados (lei 13.709, de 14 de agosto de 2018), mais conhecida como LGPD em vigor desde setembro de 2020, tem como objetivo regulamentar o tratamento de dados no Brasil. A lei é considerada tão importante quanto o Marco Civil da internet, de 2014, pelas mudanças que causa nas relações diárias entre empresas e clientes.
Inspirada na GRPD, General Data Protection Regulation, da União Europeia, a Lei brasileira entra em vigor para colocar o titular dos dados, pessoa física, natural, no controle das suas informações, e regulamentar qualquer ação que os envolva.
As empresas brasileiras tiveram dois anos para se adequar à nova legislação, e àqueles que acreditam que não é necessário correr com as mudanças, vale o alerta: a LGPD já foi usada num caso que multou uma empresa por infração, então é melhor se assegurar de que todos os procedimentos empresariais estão de acordo, além disso a pessoa física titular dos dados poderá ingressar com ação judicial contra o controlador dos dados, cobrando indenização, caso este não esteja adequado com a LGPD.
O que é a LGPD e como ela funciona
Assim como há ativistas lutando pelo meio-ambiente, há outros exigindo sanções às grandes empresas em relação ao tratamento de dados pessoais de seus usuários. Google, Facebook e outros são exemplos de corporações que são alvos destas campanhas.
A verdade é que quando não se paga por um produto, há uma razão: os seus dados pessoais, informações de comportamento e preferência de compra, visão política e religiosa, além de tantos outros, podem estar sendo comercializados. Mesmo sem seu consentimento.
Casos como o escândalo da Cambridge Analytica envolvendo a eleição presidencial norte-americana em 2016 foram o estopim para que a União Europeia saísse à frente e criasse sua legislação específica de regulamentação de dados, a GDPR que mencionamos acima, e na qual a brasileira LGPD é baseada.
O foco da LGPD e seu principal objetivo é regulamentar como dados de pessoas naturais, definidas pela constituição como físicas e vivas, podem ser colhidos, guardados e usados por empresas. O objetivo é trazer transparência e confiança a um processo que já existe, não proibir que ele aconteça.
Assim, a pessoa natural, chamada pela LGPD de titular de dados, está no controle das suas informações: sem seu consentimento expresso, nenhum dado pode ser captado, armazenado ou usado.
Por exemplo, no momento de realizar uma compra em uma loja física, é comum que um cadastro seja realizado: nome, CPF, endereço, e-mail, celular e data de nascimento são itens comuns no formulário. Com a LGPD em vigor, a loja é obrigada a informar por quê a para quê tais informações estão sendo coletadas, e como serão usadas no futuro.
E o cliente pode negar fornecer quaisquer que não sejam estritamente necessárias para a finalidade específica: neste caso, a compra.
Quem deve se adequar à LGPD e qual o custo envolvido?
A nova legislação regulamenta tratamento de dados entre seu titular e empresas. “Empresas” pode parecer vago, mas em realidade, é abrangente. Entram nesta definição:
- Órgãos públicos
- Empresas particulares
- Organizações do terceiro setor
- Empreendedores
- Autônomos
Seguramente as empresas mais impactadas serão aquelas com grandes transações realizadas com seus clientes, mas todas devem se adaptar. Principalmente por todos os dados se incluírem na LGPD, inclusive os de funcionários, fornecedores e parceiros.
Especialistas mensuram que o valor de se adequar à nova lei pode variar de R$50 a 800 mil, dependendo do tamanho das corporações e suas operações, complexidade das mesmas e contratação de equipes multidisciplinares, consultorias e eventuais remanejamentos internos.
O que muda nos contratos com a LGPD em vigor?
Os contratos são diretamente afetados pela LGPD em vigor – independentemente se tradicionais ou digitais, todos os já existentes devem ser analisados pelas empresas, e os novos devem ser redigidos de acordo com a nova legislação. Ambas partes envolvidas no acordo podem responder em caso de violações à LGPD.
Para evitar punições, veja abaixo cláusulas que devem estar presentes nos contratos:
- Explicar de modo claro e transparente quais dados serão coletados e tratados;
- Qual a finalidade;
- Como o tratamento dos dados coletados está limitado à finalidade específica designada;
- Explicar os direitos dos titulares segundo a LGPD e no contexto do acordo;
- Incluir uma cláusula específica sobre a revogação do consentimento;
- Incluir também uma cláusula que explique em detalhes como os dados são tratados.
Quais dados se enquadram na LGPD?
Está claro que o tratamento de dados é encarado de maneira séria pela nova legislação, e que ela afeta todas as empresas e pessoas físicas que captem, armazenem e usem informações de pessoas físicas. Mas afinal, quais são esses dados?
Há algumas categorias de dados dentro da LGPD, sendo: dados sensíveis, dados não sensíveis e dados anonimizados.
Dados anonimizados são os que não permitem a identificação da pessoa, ou seja, guardar informações sobre comportamento de consumo num e-commerce, mas não ser possível rastrear aquelas preferências ao João Paulo, de 45 anos, São Paulo.
Dados não sensíveis são basicamente todos os dados pessoais, além de comportamento online, tempo de leitura, preferência de compra, etc. Veja alguns exemplos abaixo:
- RG e CPF
- Nome completo
- Nome de pai e mãe
- Endereço de casa
- Endereço de email
- Números de telefone
- Data de nascimento
Dados sensíveis, por sua vez, são aqueles que podem expor o indivíduo a constrangimento ou preconceito. Esta diferenciação é relevante pois em caso de infrações, pode influenciar na penalidade. Nesta categoria entram informações referentes a raça, etnia, preferência política, religiosa, saúde, identidade sexual e de gênero.
O que configura uma infração a LGPD e quais as penalidades?
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável pela fiscalização das empresas e por garantir que a LGPD seja cumprida. Assim, exigirá relatórios sobre o tratamento de dados, emitirá advertências e multas, quando e se necessário.
Para evitar quaisquer advertências ou penalidades, vale lembrar do ponto principal: o titular dos dados tem que dar consentimento expresso para a empresa coletar e armazenar seus dados, que só podem ser compartilhados e usados para outros fins com – mais uma vez – o consentimento do titular.
Aquele velho hábito de compartilhar lista de emails, telefones ou outros dados de clientes com empresas parceiras acabou. A não ser que o cliente autorize esta ação.
O que não aconteceu no caso Cyrella, exemplo perfeito de infração da LGPD. Um dos clientes da construtora entrou com uma ação judicial depois de comprar um imóvel e passar a receber ligações de terceiros, parceiros da empresa.
A juíza da 13ª Vara Cível de São Paulo responsável pelo caso, Tonia Koroku, concluiu que a empresa descumpriu a LGPD e que o cliente foi assediado após assinar seu contrato. Assim, a Cyrela, mesmo apelando a decisão, teve que pagar a multa de R$10 mil pelo uso indevido dos dados de seu cliente.
A multa da LGPD em caso de descumprimento da lei ou vazamento de informações pode ser de até 2% do faturamento anual da empresa, ou R$50 milhões por caso.
Como implementar as novas regulamentações da LGPD em vigor?
Considerando tantos detalhes e peculiaridades, procure um especialista! De preferência um advogado que possa orientar sua empresa sobre como implementar a LGPD. Garantir que tudo está em ordem e seguindo a lei agora evitará problemas futuros.
Pelo caso Cyrela, está claro que a justiça brasileira pretende impor a lei. E pelos casos e escândalos de vazamentos ao redor do mundo, era de se esperar que uma regulamentação fosse criada para o tratamento de dados pessoais. Veja abaixo cinco pontos para considerar durante a preparação à LGPD:
- Primeiro de tudo: analise sua situação atual. A equipe de TI deve fazer uma avaliação de como o tratamento de dados acontece e apontar o que deve ser ajustado para cumprir a LGPD. Tenha uma equipe dedicada a isso, para garantir que nada se perca no processo.
- Atualize sua política de privacidade e seja transparente. Coloque um aviso de cookies para os usuários ao visitarem seu site.
- Invista em empresas de proteção de dados e processadores de pagamentos confiáveis. Para realizar compras, os clientes devem se cadastrar e fornecer seus dados, então você deve ter os mecanismos de segurança corretos para garantir que não ocorram vazamentos.
- Seja claro em relação a todas as informações que você coleta dos seus clientes. Por exemplo, se seu site tem uma lista de desejos, informe como essas informações são usadas.
- Tenha um sistema eficiente e ágil que permita cumprir com os prazos e requisitos da lei. Por exemplo, clientes podem a qualquer momento exigir ter acesso aos seus dados que estão armazenados pela empresa. A empresa tem então 15 dias para providenciar as informações. Esteja pronto.
Ficou com alguma dúvida com relação ao que muda para as empresas com a LGPD em vigor no Brasil? deixe seu comentário ou entre em contato, será um prazer orientá-lo.