O aumento exponencial de novas tecnologias, como Big Data e Inteligência Artificial, contempla avanços tecnológicos significativos para o mundo. Contudo, ao passo em que tais avanços podem ser utilizados para o bem, podem ser utilizados para o mal também. Muitas práticas que utilizam dados pessoais, começaram a ficar cada vez mais invasivas e discriminatórias, o que fortaleceu o debate quanto à necessidade de regulamentação em práticas envolvendo o uso de dados pessoais.

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece diretrizes importantes e obrigatórias para a coleta, processamento e armazenamento de dados pessoais. Ela foi inspirada na GDPR (General Data Protection Regulation), que entrou em vigência em 2018 na União Europeia, trazendo grandes impactos para empresas e consumidores.

Se você tem um negócio de qualquer porte que lida com informações do público, sejam elas específicas ou tão simples quanto apenas um nome, é muito importante estar por dentro.

Desde agosto de 2020, todas as empresas do Brasil precisam estar em concordância com essas regras.

Seja qual for o tamanho do investimento necessário, ele muito provavelmente valerá a pena, porque as multas para quem não se enquadrar na lei podem chegar a R$ 50 milhões.

O que é a LGPD?

A LGPD centraliza todas as regras vinculadas à coleta, armazenamento, tratamento e compartilhamentos de dados pessoais, digitais ou não, através de diretivas mais rígidas e estabelece sanções em caso de descumprimento.

Respeitando o processo histórico da LGPD, vale ressaltar que o projeto de lei demorou 10 anos de tramitação sendo sancionado em 14 de agosto de 2018 e entrando em vigor em setembro de 2019.

A LGPD é composta de 65 artigos, distribuídos ao longo de 10 capítulos. Ela regulamenta o relacionamento das empresas e órgãos governamentais em relação ao tratamento que é realizado com os documentos, informações e dados entregues pelas pessoas. Um exemplo de entrega de dados se dá quando uma pessoa cria o seu perfil em uma rede social ou insere os dados de seu cartão de crédito para comprar um produto em uma loja virtual. Entre outras disposições,

proíbe qualquer empresa de transmitir esses dados sem consentimento

expresso dos titulares.

Ao registrar qualquer informação de clientes, portanto, toda empresa terá que se sujeitar à LGPD. O texto começou a valer em agosto de 2020, dando um prazo de dois anos para readequação.

Principais objetivos da LGPD

A lei cria um cenário de segurança jurídica ao padronizar práticas para a proteção dessas informações e se fundamenta em diversos valores e tem como principais objetivos:

• Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais.
• Estabelecer regras claras sobre o tratamento de dados pessoais.
• Fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.
• Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.

Atores envolvidos

A LGPD prevê algumas definições e papéis que você deve compreender:

• O titular de dados: é a pessoa a quem se referem os dados pessoais;
• Controlador: uma empresa pode ser considerada controladora quando toma as decisões em relação ao uso dos dados pessoais que possui (obs.: utilizamos o termo “empresa”, como um exemplo. A LGPD determina que o controlador pode ser uma pessoa natural ou jurídica, de direito público ou privado. Além de empresas, estão submetidos à LGPD: organizações, ONGs, órgãos da administração pública etc.);
• Operador: é a empresa que apenas irá realizar o processamento de dados de acordo com as ordens do controlador, sem poder de decisão sobre o uso dos dados;
• Encarregado (DPO):é um novo cargo previsto na lei. O encarregado (ou Data Protection Officer) é a pessoa nomeada pelo controlador para coordenar as ações de adequação interna da empresa, além de atuar como canal de comunicação com o titular e com a Autoridade Nacional de Proteção de Dados (ANPD).

Penalidades para o descumprimento da LGPD

Outra grande mudança trazida pela LGPD é em relação às penalidades que serão adotadas em caso de descumprimento das regras previstas na lei. Elas podem ser:

1. Advertência, com indicação de prazo para adoção de medidas corretivas;
2. Multa simples, de até 2% do faturamento da empresa no seu último exercício, excluídos os tributos, limita a R$ 50 milhões por infração;

• Multa diária;
• Publicação da infração após a sua apuração e confirmação a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração.

Para que essas sanções e fiscalizações sejam concretizadas, a LGPD determinou no art. 55 a criação da Autoridade Nacional de Proteção de Dados (ANPD). A fiscalização e aplicação de tais sanções ficarão a cargo desta autoridade, logo, a punição das empresas não dependerá essencialmente de um processo judicial.

Esta autarquia, será responsável também pelas auditorias e por implementar e gerenciar as regras da Lei Geral de Proteção de Dados (LGPD), sobretudo através da edição de portarias.

O que são dados pessoais?

Dados pessoais são aqueles que permitem identificar uma pessoa. Exemplos: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, foto, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP, cookies etc.

O que são dados pessoais sensíveis? E dados anonimizados?

Dados pessoais sensíveis também são aqueles que permitem a identificação de alguém, mas possuem camadas que exigem ainda mais cuidado na hora de seu tratamento.

Ex.: informações sobre crianças e adolescentes, origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, dados genéticos, biométricas, de saúde ou vida sexual. São informações com potencial de uso para discriminação do seu titular. Por isso são consideradas sensíveis.

Dados anonimizados passam por etapas que desvinculam qualquer possibilidade de identificação de seu titular. Caso seja possível reorganizar os dados e um indivíduo, considera-se um dado pseudo – anonimizado. Esse tipo de informação ainda está sob o escopo das regras da LGPD.

Como é o processo para um dado pessoal se tornar anônimo? A anonimização de dados é um processo que retira as informações pessoais de modo a não oferecer chances de identificação de indivíduos. Existem três técnicas principais: criptografia, generalização e perturbação. Na criptografia, são aplicados algoritmos que transformam as informações em um conjunto aleatório de caracteres.

Na generalização, são trocadas informações por outras genéricas. Por fim, a perturbação troca as informações por outras fictícias. Só é considerado anonimização se esses métodos não puderem ser revertidos.

Tratamento de dados: o que diz a LGPD

O tratamento é como se fosse a jornada de vida de um dado, desde o momento da coleta, o processo de uso e sua possível exclusão. As empresas devem seguir algumas regras (salvo exceções) para fazer esse tratamento:

• informar a finalidade da coleta dos dados;
• garantir adequação à finalidade divulgada (garantir que os dados serão usados para o fim informado para o titular);
• coletar apenas dados necessários;
• dar acesso gratuito à forma que os dados são tratados (titulares passam a conhecer o que será feito com os seus dados);
• deixar os dados exatos e atualizados;
• ser transparente com o titular dos dados;
• investir em segurança para coibir invasões;
• investir em prevenção de danos;
• não permitir atos ilícitos com os dados tratados;
• se responsabilizar caso não haja eficácia nas medidas adotadas;

Quem pode usar dados coletados?

A empresa (pública ou privada) pode usar os dados pessoais com a respectiva finalidade informada aos titulares. O compartilhamento de dados pessoais com outras organizações seguindo os protocolos estabelecidos pelas regras da lei também podem acontecer. Qualquer vazamento é de responsabilidade da empresa que colheu os dados.

Dá para pedir para apagarem os meus dados pessoais?

No artigo 18, a LGPD diz que o titular dos dados poderá a qualquer momento solicitar a eliminação dos dados pessoais coletados, mesmo que a coleta tenha sido feita com consentimento.

A empresa é obrigada a apagar meus dados quando a finalidade se esgotar?

Os dados coletados devem ser eliminados em quatro situações: quando a finalidade foi alcançada e os dados deixaram de ser necessários; fim do período de tratamento; a pedido do titular; ou por determinação da autoridade nacional

Para saber mais informações sobre novas tecnologias e como podemos melhorar e otimizar a sua rotina, acesse o nosso site http://www.supplymidia.com.br/.