LGPD – O que é e seus desafios
A Lei N. 13.709 ou simplesmente LGPD, sancionada em 14 de agosto de 2018 e que entra em vigor a partir de agosto de 2020, é a sigla batizada para denominar a Lei Geral de Proteção de Dados. O seu principal objetivo é proteger os direitos fundamentais de liberdade e privacidade no uso dos dados das pessoas físicas em quaisquer meios. A LGPD altera a Lei de N. 12.965, de 23 de abril de 2014, identificada como Marco Civil da Internet que regulava até então.
A LGPD tem como base a GDPR (Regulamentação Geral de Proteção de Dados), regulamentação europeia aprovada em maio de 2018. Usa os direitos fundamentais de liberdade e de privacidade como parâmetros para estabelecer regras a respeito da coleta e armazenamento de dados pessoais e seu compartilhamento. O propósito é proporcionar proteção dos dados das pessoas físicas e penalidade convertida em multas para empresas que não cumprir.
Como funciona hoje?
As pessoas físicas, ao realizarem compras ou afins, no momento dos seus cadastros, fornecem às pessoas jurídicas uma série de dados, que muitas vezes não tem relação com a finalidade da empresa. Daí uma dúvida: aonde são armazenados esses dados e o que são feitos com eles?
Sabe-se, porém, que esses dados que deveriam ser confidenciais são comercializados sem autorização do usuário (cliente), o que traz uma série de aborrecimentos aos quais infelizmente passamos quase todos os dias: telefonemas, e-mails indesejados, malas-diretas, além de outras formas de contatos realizados por empresas com as quais nunca tivemos relação ou demonstramos qualquer interesse.
Ao entrar em vigor a LGPD espera-se um novo comportamento, no trato regulado desses dados, por parte das pessoas jurídicas, porque se ignorarem esta prerrogativa estarão sujeitas a multas de até 50 milhões de reais, uma vez que, o usuário (cliente) que é o proprietário dos dados deverá sinalizar seu consentimento de forma clara no uso destes.
Com a LGPD – O poder do Usuário (Cliente)
As pessoas jurídicas devem dar atenção especial junto às suas assessorias jurídicas à nova lei, pois, ela traz diversas hipóteses que tornam legais os tratamentos de dados. Fazendo um recorte:
- É necessário obter o consentimento explícito por parte do titular dos dados. Ou seja, ele deverá ser claramente informado dos termos de uso e extensão da autorização e precisa concedê-lo livremente.
- A partir de agosto de 2020, uma pessoa jurídica só poderá recolher determinados dados a partir da autorização do proprietário desses dados, ou seja, do titular. Mais, deverá comprovar que a sua coleta será útil para sua interação com seus usuários (clientes).
Vale ressaltar que os usuários (clientes) poderão a qualquer tempo solicitar sua exclusão, retificar ou cancelar esses cadastros. Além disso, a LGPD dá poderes ao consumidor, dando-lhe o controle sobre seus dados e a possibilidade de punir os responsáveis por quaisquer danos causados pelo uso indevido dos seus dados.
ANPD – Agência Fiscalizadora
Outro ponto importante foi a criação a partir da MP 869/18, da Autoridade Nacional de Proteção de Dados que será o órgão responsável pela fiscalização da proteção de dados por parte das pessoas jurídicas. A ANPD poderá solicitar a qualquer tempo relatórios de riscos de privacidade às empresas para certificar-se de que as organizações estão tratando o tema internamente e dentro do estabelecido pela LGPD.
Atores envolvidos no processo de proteção dos dados
Na legislação em questão identifica-se alguns atores: são eles:
- O titular: proprietário dos dados, no caso as pessoas físicas.
- O controlador: representado pelo tomador dos dados, as pessoas jurídicas.
- O operador: representado pela pessoa jurídica responsável pela coleta de dados e sua efetiva segurança através de soluções automatizadas.
- O encarregado: representado pelo profissional que responde pela de proteção dos dados da pessoa jurídica. É o seu representante, que fará contato com a ANPD quando necessário, e pode até ser responsabilizado junto com a pessoa jurídica, no caso de uso indevido dos dados ou seu vazamento por qualquer motivo.
Processo de adequação às mudanças regulamentares
Uma primeira medida adotada a partir da sanção da LGPD foi a criação do Grupo de Proteção de Dados que é responsável por diagnosticar o cenário atual de todos os processos internos com relação aos dados recebidos e armazenados.
O objetivo central é constantemente mapear e revisar de forma detalhada como os dados pessoais são coletados e tratados dentro da organização. Desde a coleta, sua armazenagem (em servidores próprios ou de terceiros tanto dentro quanto fora do Brasil), quais pessoas tem acesso e seus níveis de perfis, se há e quando há compartilhamento com terceiros. Dessa forma é possível ajustar possíveis pontos de estrangulamento e identificar também riscos.
Com o mapeamento constante e revisado, é possível melhorar os processos e todos os procedimentos operacionais a fim de tornar as transações totalmente seguras para todos os atores envolvidos no processo.
Considerações finais sobre a LGPD
Os processos privacidade e sigilo das informações sempre foram desafios constantes das organizações. A LGPD normatiza certos comportamentos e certamente obrigará as organizações à revisão dos seus processos que trata o tema dentro desse novo cenário. Autorizações e cancelamento dos titulares, solicitações precisarão de respostas mais imediatas, ciclo de vida dos dados dentro da organização, análise para separação dos dados pessoais e não pessoais conforme a norma, entre outros processos precisarão de atenção redobrada.
Por outro lado, para nós da CS-Consoft em conjunto a todos os desafios já citados precisamos ser ainda mais ágeis para analisar o orientar todo esse processo de mudança nos nossos clientes. Lei se cumpre, portanto, desde já estamos comprometidos com a aplicação da LGPD até sua efetiva entrada em vigo a partir de agosto de 2020.