12/08/2021 | News release | Distributed by Public on 12/08/2021 13:23
Sua empresa está passando pelo processo de adequação à nova Lei Geral de Proteção de Dados? Existem muitas dúvidas sobre como implementar essas mudanças? A jornada da LGPDé um processo que exige uma movimentação de toda a companhia.
Portanto, para esclarecer todas essas dúvidas e também ajudar você no processo de adequação às novas normas, preparamos este artigo com algumas dicas. Veja e entenda mais sobre como implementar a LGPD!
No Brasil, a proteção de dadosnão é um debate novo, muito embora a LGPD faça parecer assim. Por exemplo, na Constituição Federal, o artigo 5° pressupõe que a intimidade é um direito fundamental.
No entanto, quando o assunto é proteção e tratamento de dados pessoais, o tema só foi desenvolvido em 1990, com a promulgação do Código de Defesa do Consumidor.
A próxima atualização sobre o tema aconteceu apenas em 2011, com a Lei nº 12.527, conhecida como a Lei do Acesso à Informação.
Entre as principais mudanças sobre o tema, destaca-se a regra de transparência de informações relacionadas a transações da administração pública.
Já em 2014 foi aprovado e entrou em vigor o Marco Civil da Internet(Lei nº 12.965/14), que definiu a proteção de dados pessoais como essencial para o uso da internet no país.
Ou seja, ao longo dos anos - e especialmente na última década - a proteção aos dados pessoais já era um assunto debatido no âmbito legislativo, como uma forma de preservar a honra e a intimidade dos cidadãos.
No entanto, mesmo o Marco Civil da Internet não foi o bastante para cobrir todas as brechas possíveis da era da transformação digital.
Além disso, era necessário ampliar o escopo de normas jurídicas sobre a proteção de dados e o trato das informações pessoais por parte das empresas.
A necessidade originou-se, especialmente, com as seguidas ocorrências de vazamento e sequestro de dados de algumas grandes empresas.
Além disso, a LGPD foi fortemente influenciada por uma lei de moldes semelhantes (e que logo abordaremos), a General Data Protection Regulation (GDPR), que entrou em vigor em 2018 em toda União Europeia.
LGPD é a sigla para Lei Geral de Proteção de Dados Pessoais(Lei n° 13.709/18) um instrumento jurídico que centraliza todas as normas sobre coleta, armazenamento, tratamento e processamento de dados pessoais, sejam eles digitais ou não.
A LGPD no Brasil estabelece normas mais rígidas em relação ao tratamento de dados pessoais por parte de empresas e órgãos públicos, bem como determina sanções administrativas em caso de descumprimento ou má fé.
A LGPD percorreu um longo caminho até sua sanção em 14 de agosto de 2018. Na verdade, foram 8 anos de discussões e atualizações na redação da lei proposta.
Após algumas idas e vindas (relacionadas especialmente à pandemia), a LGPD entrou em vigor oficialmente em 18 de setembro de 2020 - com as multas passando a ser aplicadas apenas em agosto de 2021.
No fim das contas, a nova lei de proteção de dados é composta de 65 artigos ao todo.
A LGPD foi resultado de um movimento espontâneo da sociedade e de autoridades brasileiras, inspiradas por alguns acontecimentos e atualizações estrangeiras em relação ao tema, como a GDPR, a lei de proteção de dados pessoais europeia.
Quais acontecimentos? Especialmente situações identificadas como cibercrimes, como:
Em 2017, de acordo com matéria da Veja, hackers roubaram mais de US$22 bilhões de usuários brasileiros.
As perdas não são necessariamente atreladas a crimes financeiros, mas, por exemplo, a problemas que fizeram as pessoas perderem tempo recuperando arquivos ou com a perda de dados sensíveis (como senhas, fotos, informações íntimas etc).
Em estudo da McAfeepublicado da revista Veja, identificou-se que empresas brasileiras perdiam cerca de US$10 bilhões ao ano por conta de cibercrimes. No mundo inteiro, a soma foi de US$608 bilhões.
Além disso, talvez o maior exemplo de ocorrência que assustou cidadãos e autoridades foi o sequestro de dados de mais de 57 milhões de contas da Uber em 2016.
A informação, de acordo com publicação da Veja, só foi divulgada em 2017, e a gigante dos aplicativos de motorista revelou ter pago uma quantia de US$100 mil para recuperar os dados.
Entre os dados roubados na época, a empresa revelou que nomes, e-mails, telefones e até as licenças de mais de 600 mil motoristas foram extraviados.
Entre os principais objetivos da LGPD, podemos destacar que a lei tem como foco reforçar e assegurar o direito à privacidade e à proteção de dadospessoais dos cidadãos, online ou não.
Entre outros objetivos, além disso, a LGPD visa aprimorar a gestão baseada em dados, por meio de:
De acordo com o artigo 5° da LGPD, consideram-se para fins de suas normas os dados pessoais, dados pessoais sensíveis, dados anonimizados e o banco de dados.
Conforme o texto da lei, estes pontos são definidos como:
A fiscalização do cumprimento das normas da LGPD fica a cargo da Autoridade Nacional de Proteção de Dados (ANPD), órgão que foi criado junto com a lei.
A ANPD tem o poder de auditar e fiscalizar as empresas, requisitando dados, processos, entre outras coisas.
A escolha das empresas alvo das fiscalizações pode seguir tanto um critério aleatório, como também uma determinação interna ou mesmo denúncias anônimas.
A LGPD aplica-se a todas as empresas que fazem o tratamento de dados pessoais. De acordo com o artigo 3°, "aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados".
Porém, para que isso aconteça, de acordo com o texto vigente da LGPD em novembro de 2021, é preciso que:
A LGPD estabelece alguns dos protagonistas envolvidos na proteção de dados pessoais - ampliando o escopo para além da empresa e da pessoa física. Vamos conhecê-los? Trouxemos a definição atual do texto da LGPD para você conferir:
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. É o "dono" dos dados que a empresa coleta e tem total controle sobre o seu uso, podendo requisitá-los ou pedir sua exclusão a qualquer momento.
Pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
É a empresa que manda, demandando o tratamento ou compartilhamento dos dados - seja o controlador o responsável por isso ou um terceiro, chamado de "operador".
É quem responde por danos patrimoniais, coletivos, individuais e morais relativos à violações à LGPD.
O operador é o ator que cumpre ordens, sendo contratado como terceirizado para realizar o tratamento de dados.
De acordo com o texto da LGPD, é a "pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador".
Digamos que sua empresa contrate uma agência de marketing digital responsável por suas campanhas de e-mail marketing, entre outras.
Caso a agência controle o seu CRM(algo bastante comum), ela será o operador e sua empresa a controladora.
Trata-se da pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
É uma função semelhante à do Data Protection Officer (DPO), que estabelece a comunicação entre os titulares dos dados e com a ANPD, de modo a prestar esclarecimentos, providências e orientações.
O encarregado pode ser um funcionário ou um prestador de serviços com vínculo contratual.
Vale ressaltar que o DPO ou encarregado não pode ser responsabilizado em caso de incidentes.
Antes de tudo, é importante entender que o descumprimento das normas que a LGPD impõe pode gerar consequências para a empresa.
Dependendo da infração, a multa pode chegar a até R$ 50 milhões. Além disso, as novas regras podem ajudar a tornar os dados da companhia mais seguros.
Isso porque o reforço da segurança no tratamento de dados, além de prevenir vazamentos de dados estratégicos, evita ataques de pessoas mal-intencionadas.
Essa segurança reforçadapode ser um ponto positivo também para construir uma relação de confiabilidade com seus clientes.
Para que a implementação das regulamentações da LGPD seja bem-sucedida, é importante seguir alguns passos. Por isso, a seguir listamos dicas que podem ajudar nesse momento de transição:
Tendo sido criada para estabelecer regras mais objetivas e transparentes para o tratamento de dados, a LGPD traz outros assuntos relacionados que demonstram a sua importância.
Diante desse cenário, a anonimizaçãode dados vem como forte aliada sendo capaz de retirar as informações pessoais de uma base de dados.
Além disso, entender a definição de dados pessoais e sua importância ajudará a explicar os demais conceitos de maneira mais clara e objetiva.
Um dado é considerado pessoal quando possibilita a identificação, de maneira direta ou indireta, da pessoa natural por trás dele.
Neste sentido, alguns exemplos de dados pessoais são: nome, sobrenomes, documentos pessoais (como RG, CPF, passaporte, título de eleitor etc.), endereço residencial ou comercial, telefone, e-mail, endereço de IP, entre outros.
Além do entendimento sobre dado pessoal, a lei também inclui a definição de dados pessoais sensíveis. O tratamento destas informações deve atender a regras ainda mais rígidas, diante da maior possibilidade de uso para propósitos lesivos que apresentam.
São dados pessoais sensíveis, de acordo com a LGPD, aqueles que dizem respeito aos valores e convicções de cada um, como orientação sexual, etnia, opinião política, convicção religiosa, crenças filosóficas e informações de saúde.
Após o entendimento do que de fato é um dado pessoal, as premissas da LGPD, ou Lei n° 13.709/2018, no artigo 6° do regulamento, tem alguns direcionamentos fundamentais que precisam ser seguidos. Confira a seguir:
O princípio da finalidade determina que o tratamento de dados pessoais poderá ser realizado apenas quando for realmente necessário para propósitos legítimos, específicos, explícitos e informados ao titular.
Diante disso, em momento algum, será possível utilizar os dados coletados de modo divergente das finalidades pré-estabelecidas junto aos titulares.
Na mesma linha da premissa anterior, o princípio da adequação reforça que o processamento de informações pessoais precisa estar alinhado ao uso que foi inicialmente informado ao titular do dado.
Deve haver a limitação do tratamento dos dados ao mínimo necessário para a realização de suas finalidades. É isso que o princípio da necessidade determina.
Sendo assim, a coleta de informações pessoais precisa ser executada de maneira delimitada, focada nos dados imprescindíveis para a finalidade estabelecida previamente.
O objetivo deste princípio é garantir, aos titulares, o livre acesso para consultar, de modo simples e gratuito, o tratamento de seus dados pela empresa que os coletou, assim como a integralidade destas informações.
A disponibilização poderá ser realizada de forma física ou eletrônica, sempre que houver a requisição do titular.
O princípio da qualidade dos dados assegura que os titulares tenham as suas informações pessoais armazenadas com exatidão, clareza e que se mantenham atualizadas.
A LGPD resguarda o direito de correção de dados incompletos, inexatos ou desatualizados. Também leva a empresa detentora dos dados a prestar esclarecimentos sobre as entidades públicas e privadas com as quais os compartilhou.
Todas as informações dos titulares devem ser claras, precisas e de fácil acesso, segundo o princípio da transparência.
Eles devem saber como os seus dados pessoais serão tratados e os respectivos agentes de tratamento.
Ou seja, é necessário sinalizar os titulares a respeito de como as informações serão processadas, por quanto tempo ficarão retidas e com quem serão compartilhadas.
O princípio da segurança, assim como a criptografia de dados, compreende as medidas técnicas e administrativas que as empresas deverão adotar, a fim de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de perda, alteração, destruição, comunicação ou difusão.
Por sua vez, o princípio da prevenção indica a necessidade de adoção de medidas para prevenir a ocorrência de danos durante o tratamento de dados pessoais.
Neste caso, é importante que as organizações, além de investirem em tecnologia para garantir a segurança das informações, também promovam um alinhamento de processos organizacionais e criem uma cultura de conscientização dos colaboradores, quanto ao trato de informações pessoais de consumidores ou cidadãos.
A finalidade deste tipo de posicionamento é antecipar possíveis riscos e trabalhar para mitigá-los ao máximo.
O princípio da não discriminação aborda a impossibilidade do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos.
A LGPD, inclusive, conta com regras específicas para o processamento de informações que costumam ser utilizadas de forma discriminatória, classificadas como dados sensíveis, sobre os quais falaremos mais adiante.
Entre os princípios da LGPD, está ainda o da responsabilização e prestação de contas. Abordando a necessidade de demonstração pelo agente que captou os dados e adoção de medidas eficazes que comprovem o cumprimento das normas. Inclusive, deve-se demonstrar a eficácia destas medidas.
Isso quer dizer que as empresas precisam prestar contas de que estão alinhadas com todas as diretrizes apresentadas pela LGPD.
Muitas companhias estabelecidas no Brasil ainda têm o seguinte questionamento: como aplicar a LGPD? Para ajudar nesse processo, é preciso conhecer a importância do diagnóstico da empresa.
Umlevantamento realizado pela consultoria de riscos ICTS Protivitiindicou que 84% das empresas não possuem um entendimento claro sobre as exigências da lei.
Segundo o estudo, realizado com a participação de 192 organizações, as companhias têm alguns mecanismos para atenderem à LGPD, mas precisam de foco, maturação e eficiência operacional para ficar em dia com a norma.
Kallyna Lopes Antunes, gerente de projetos de negócios da TOTVS Consulting, afirma que o diagnóstico é o ponto de partida para a adequação. "É quando você descobre como são os seus processos perante a lei e o que você tem que fazer para se adequar", explica.
Não há como aplicar a LGPD em uma empresa sem o conhecimento sobre a situação atual da companhia no que diz respeito ao tratamento de dados pessoais.
Neste caso, o diagnóstico funciona como uma ferramenta para avaliação estruturada, cuja finalidade é ajudar a identificar os pontos a serem ajustados e nortear as ações para a adequação à lei.
De acordo com Kallyna, o diagnóstico é composto por três etapas. Saiba mais sobre elas adiante!
Na etapa da mobilização, há uma avaliação da estrutura organizacional. Kallyna explica que estabelecer o cumprimento da LGPD é um processo estratégico corporativo, que deve envolver a empresa inteira.
Por isso, ela ressalta a importância da participação de todos os colaboradores - líderes e equipes.
Nesta etapa, deve haver a criação de um comitê na companhia, que ficará responsável por analisar a situação atual dos procedimentos internos e definir as próximas ações. O grupo também ajudará a mobilizar as diferentes áreas da empresa ao longo da empreitada.
A próxima etapa do diagnóstico consiste no levantamento de um inventário de dados pessoais. É necessário identificar onde estão estes dados.
Por meio de questionários aplicados entre as áreas e colaboradores durante o diagnóstico, o comitê começa a identificar como são coletadas e onde são armazenadas as informações pessoais que a companhia tem em mãos.
Quem utiliza os dados, por quanto tempo ficam retidos e em que formatos, de que forma são manipulados e qual a sua relevância para o negócio são algumas das questões respondidas nesta etapa.
Concluído o processo, é possível que a organização verifique que possui dados pessoais armazenados que estão obsoletos ou já não são mais relevantes para o negócio. Deste modo, pode removê-los de sua base, reduzindo riscos e, adicionalmente, poupando custos de armazenamento.
A última etapa do diagnóstico consiste na avaliação do inventário levantado anteriormente, com a priorização dos pontos mais sensíveis e com maior potencial de risco. Desta forma, começa-se a traçar o caminho para chegar à adequação à LGPD.
O plano de adequação deve definir a implantação de procedimentos e controles, além de prazos e responsáveis, para a empresa realizar a gestão de dados pessoais da maneira mais apropriada.
Ao seguir todas as etapas e se organizar de forma estruturada, a organização acelera o alinhamento às diretrizes da nova legislação e minimiza o risco de incidentes, que podem afetar negativamente a imagem da empresa por meio da aplicação das sanções previstas na lei.
Para que a Lei Geral de Proteção de Dados possa dar às pessoas maior controle e consciência sobre a utilização de seus dados, principalmente para uso de empresas, é necessário saber quais são os direitos do titular LGPD.
É importante estar ciente do propósito da solicitação de dados feita por qualquer tipo de organização.
A implementação da LGPD possibilita aos cidadãos acessarem seus dados quando bem quiserem, observando como suas informações estão sendo tratadas e aplicadas, ao mesmo tempo em que têm conhecimento sobre quais empresas contam com os dados.
Por conseguinte, é possível adicionar novas informações, corrigir dados incorretos, revogar o consentimentoe deletar dados da base de informações. A seguir, separamos os principais direitos do titular LGPD.
O usuário tem plena capacidade de pedir a confirmação de tratamento e acesso aos seus dados, desde a origem da coleta, até os critérios aplicados e a finalidade de sua utilização.
É imprescindível se valer de meios técnicos, além de políticas de privacidadetanto no momento de coleta dos dados quanto no seu processamento.
A LGPD e os direitos do titular dão total liberdade para saber quais outras empresas, sejam elas públicas, privadas ou até mesmo órgãos do governo, terão acesso aos seus dados pessoais.
Dados que estejam incompletos, errados ou desatualizados podem ser corrigidos. Se o titular mudou de endereço, conta com um novo número de telefone ou atua em um novo cargo ou emprego, ele pode solicitar a mudança.
Visando sempre sua própria segurança na internet, o titular pode exigir que seus dados sejam eliminados dos arquivos das instituições que desejar. Há ressalvas em algumas operações, que necessitam de informações com fins legais, como transações bancárias.
As sanções e penalidades da LGPD chamam bastante atenção, pois podem realmente impactar uma empresa. Por isso, é essencial adequar-se e entrar em compliancecom a nova lei.
Que tal conferir as sanções válidas atualmente para violações à LGPD? Confira:
Após todos os conceitos e definições apresentados, fica claro que se adequar à LGPD é um processo que requer atenção.
Além da adequação de processos e tecnologias, as empresas são impulsionadas para a adoção de uma nova cultura, que desperte em seus colaboradores uma nova forma de pensar e agir, em relação à privacidade e à governança de dados.
Neste sentido, a consultoria pode atuar como um parceiro estratégico para mapear as ações necessárias e estruturar um plano de adequação à LGPD que contemple as principais dimensões organizacionais, pessoas, processos e tecnologia.
Além disso, que seja perene no longo prazo, reduzindo assim os riscos de exposição.
Os desafios para a adequação dependem das características de cada negócio e do segmento de atuação.
Contudo, por mais complexa que esta jornada pareça, a partir de um diagnóstico e compreensão de como os dados transitam em seus processos e tecnologias, é possível definir um modelo funcional e técnico para a governança de dados na organização e, a partir disso, desenvolver estratégias para a conscientização de seus colaboradores.
A especialista da TOTVS Consulting Juliana Pauleti explica que a consultoria pode atuar como um parceiro, contribuindo de forma significativa em função de seus conhecimentos prévios de mercado e também por sua isenção em relação aos processos praticados pela empresa que a contrata.
A consultoria pode contribuir de uma forma ampla no diagnóstico para mapear todos os gaps e, por consequência, identificar as ações necessárias para a adequação.
Ou seja, por meio deste mapeamento e entendimento dos modelos e práticas do negócio, é possível identificar todos os elementos capazes de expor a companhia, no tocante às diretrizes da LGPD.
De acordo com a especialista, uma consultoria deve avaliar tanto o ambiente interno quanto o externo de uma empresa. Essa análise ajuda a identificar como os dados transitam nestes ambientes e qual a finalidade e uso dos mesmos e, assim, traçar ações para assegurar a aderência às exigências da LGPD.
Todo processo de transformação - seja ele em função da adesão de uma nova tecnologia, novos modelos de atuação ou até mesmo atendente a novas exigências legais - é feito por pessoas e para pessoas. Desta forma, neste movimento de adequação à LGPD, é imprescindível atentar-se à cultura organizacional.
Isso significa que os colaboradores precisam tomar conhecimento da LGPD, saber como se comportar ante as diretrizes da lei e, mais do que isto, em função da abrangência do tema, a LGPD precisa ser inserida em todos os atributos que reforçam a cultura.
"As empresas precisam responder rapidamente à LGPD, que já é uma realidade. Processos, tecnologias e pessoas são pilares essenciais e a sinergia entre eles é fundamental para a correta transição", afirma Juliana.
Quanto antes começar a trabalhar nas revisões e adaptações necessárias, mais tempo a empresa terá para mudar a forma de pensar dos colaboradores. "Não adianta ter [apenas] processos e tecnologias prontos, as pessoas precisam estar prontas também", pontua.
A especialista reforça que a adequação à LGPD exige uma transformação cultural. "Não dá mais para pegar o currículo de um candidato, deixar na mesa de um recrutador e ir tomar um café. Não dá para criar um mailing ou abrir um canal de suporte sem se preocupar com a LGPD", enfatiza.
Juliana indicou alguns pilares-chave para a jornada de adequação à nova lei de proteção de dados.
A consultoria consegue apoiar as empresas de uma forma abrangente, do diagnóstico à adequação à LGPD. Mas, talvez você esteja se perguntando quanto tempo leva este processo.
Juliana explicou que a duração depende não só do trabalho realizado pela consultoria, mas também do contexto organizacional e da velocidade com que a empresa responde às mudanças. Ou seja, conta muito o quanto a organização está engajada na adequação.
Além de criar um plano de adequação, a consultoria consegue criar um modelo de governança de dados para que a empresa continue a jornada de forma mais autônoma no futuro.
A TOTVS Consulting, por exemplo, realiza em um primeiro momento o entendimento do contexto de adequação da empresa: quais medidas/processos estão dentro do esperado, que mudanças já estão sendo implementadas e, claro, o que ainda precisa ser feito.
Deste modo, consegue elaborar um plano de transição para que a companhia se adeque às regras impostas pela LGPD.
Juliana reforça a necessidade de haver na empresa umapessoa encarregada de garantir que a implantação esteja acontecendo.
Mais do que adequar as práticas existentes à lei, é preciso assegurar que processos futuros, novos produtos e tecnologias tenham a LGPD como "pano de fundo". Isso significa que a atenção deve ser contínua.
Bem, diante do que foi exposto, você percebeu que é importante antecipar a adequação da sua empresa para que o mindset voltado à proteção da privacidade e governança de dados se consolide o quanto antes.
Mas, não se preocupe. A TOTVS Consulting pode ajudar o seu negócio ao longo desta jornada! Para saber mais sobre os serviços oferecidos pela nossa consultoria,acesse o nosso site.