lei geral de proteção de dados

Lei Geral de Proteção de Dados: como ela impacta sua empresa

A abundância de informações já se tornou um recurso valioso no mercado. Entretanto, com a atuação de empresas no tratamento de dados sensíveis de pessoas físicas, viu-se necessário criar uma legislação específica, no caso a Lei Geral de Proteção de Dados Pessoais (LGPD).

A LGPD foi sancionada em 14 agosto de 2018 e as empresas têm até agosto de 2020 para se adequarem aos parâmetros de segurança exigidos. Um levantamento do Serasa Experian, de agosto de 2019, mostrou que 85% ainda não está preparado para aderir à mudança.

Beatriz Soares, Head de Compliance da Superlógica, explica que “é importante você colocar o compliance desde cedo na sua matriz de risco. Este é um tema que precisaremos ter preocupação todos os dias”.

Durante o Superlógica Xperience 2019, Beatriz detalhou como funciona a nova legislação e como o Grupo Superlógica está se preparando para cumprí-la, na palestra “Lei Geral de Proteção de Dados: Como a nova legislação vai impactar o seu negócio”. Confira a palestra no vídeo abaixo!

Para não perder nenhuma novidade do conteúdo publicado, se inscreva no nosso canal do youtube e assine o nosso podcast, “Economia da Recorrência”, no Spotify, Apple Podcasts, Google Podcast e todos os principais agregadores.

Como a segurança de dados é feita atualmente?

Antes de explicar o funcionamento da Lei Geral de Proteção de Dados Pessoais, é preciso contextualizar o cenário atual. Soares identificou três verdades que definem o tratamento das informações até agora:

  1. “Existem poucas regras para coleta e comercialização de dados, tudo é feito indiscriminadamente”;
  2. “O armazenamento destes dados, na maioria das vezes, é feito de forma inadequada”;
  3. “O uso dos dados é feito de forma irrestrita, algumas empresas agem como se fossem proprietárias delas”.

A ausência de uma legislação para regulamentar diretamente como as empresas usam os dados de seus usuários resultou em escândalos. Uber e Instagram tiveram informações de usuários vazadas e encararam multas milionárias.

Um dos casos mais famosos é o envolvimento entre Facebook e a Cambridge Analytica. Ocorrendo o uso indevido dos dados de 83 milhões de usuários, o escândalo rendeu uma multa de 5 bilhões à rede social.

“Antes, no Brasil, não existia propriamente uma penalidade. A LGPD está chegando para que possamos utilizar os dados dos nossos usuários, mas que façamos isso com responsabilidade. Nós teremos que proteger esses dados, porque eles são muito valiosos”, explica Beatriz.



Os dados são o petróleo do século XXI

Atualmente, informações digitais são extremamente valiosas. A revista The Economist chegou a compará-las à importância do petróleo para o século XX. 

Entretanto, diferente do combustível fóssil, que é convertido em valor monetário, os dados têm um valor mais subjetivo e simbólico. Para as gigantes da tecnologia, como Facebook, Amazon e Google, também são elementos de dominância do mercado. 

Através de análises de Big Data e algoritmos, as grandes empresas identificam startups que podem interferir nas suas operações. Um exemplo é a compra do WhatsApp, que até então possuía apenas 60 funcionários, feita pela empresa de Mark Zuckerberg.

Outra discrepância entre o ouro preto e o novo ativo preferido do mercado é a questão da abundância. Se por um lado o combustível fóssil tem data para se esgotar, os espaço de trânsito e armazenamento de dados só aumenta. A estimativa feita pela consultoria estadunidense IDC é de que o “universo digital” se expanda para 180 zettabytes – 180 seguido de 21 zeros – em 2025. 

Lei Geral de Proteção de Dados Pessoais: o que é?

Publicada como Lei Nº 13.709/2018, a LGPD foi inspirada no regimento aprovado pela União Europeia, chamado GPDR (Regulamento Geral sobre a Proteção de Dados). “A lei europeia já resultou em multas. Na França, o Google recebeu uma multa de 50 milhões de euros”, informou Beatriz.

Entretanto, no Brasil, tanto empresas, quanto o público, precisa se educar. Em outro levantamento do Serasa Experian, 75% do público conhecia pouco ou desconhecia a LGPD. No lado corporativo, no entanto, as empresas estão planejando sua implantação, sendo que 72% pretendem contratar uma pessoa especializada ou uma consultoria.

Soares elencou três pontos importantes da Lei Geral de Proteção de Dados Pessoais:

  1. Para quem se aplica? Qualquer pessoa física ou jurídica, de direito público ou privado, que faça tratamento de dados pessoais;
  2. Qual o objetivo? Garantir a gestão de segurança do banco de dados e privacidade de informações;
  3. Qual o propósito? Todos deverão saber o que a empresa faz com os dados pessoais, como é a forma e o prazo da armazenagem e quem são os responsáveis.

Ela ainda lembra que o impacto da legislação vai além do departamento jurídico das empresas. Todas as áreas serão influenciadas, como marketing, logística, desenvolvimento de software e TI e recursos humanos.

Conceitos relevantes da LGPD

A Head de Compliance da Superlógica também lembra da necessidade de identificar os conceitos mais relevantes que compõem a nova lei. O primeiro deles é a definição do que realmente são os dados.

  • Dado Pessoal: são as informações relacionadas a pessoas identificadas ou identificáveis;
  • Dado Pessoal Sensível: são aqueles relacionados à origem racial ou étnica, convicção religiosa, ideologia filosófica e política, saúde e vida sexual ou genético biométrico.

Também existem os dados anonimizados, ou seja, aqueles que não são possíveis de ser revertidos para algo identificável. Estes não serão considerados dados pessoais.

Princípios da lei

Dentro da LGPD são listados dez princípios que norteiam o manuseio e armazenamento das informações:

  1. Finalidade: os dados deverão ser tratados para fins específicos e de ciência daquele que os compartilhou;
  2. Adequação: os dados pessoais precisam ser relacionados à finalidade proposta pela empresa e não podem ser usados para algo diferente;
  3. Necessidade (minimização): você deve coletar o mínimo de dados possíveis para realizar o seu serviço;
  4. Livre acesso (gratuito): o usuário pode consultar, gratuitamente, qualquer dado que a empresa tenha a seu respeito;
  5. Qualidade (exatidão): os dados devem estar sempre atualizados com as informações mais recentes sobre o usuário
  6. Transparência (compreensão): é necessário tratar o usuário com clareza e precisão, sem letras miúdas;
  7. Segurança (proteção): você deve adotar todas as medidas necessárias para proteger os dados;
  8. Prevenção (cuidado prévio): você deve utilizar meios para prevenir qualquer exposição ou vazamento dos dados;
  9. Não discriminação: você não pode discriminar um usuário de acordo com seus dados;
  10. Responsabilização e prestação de contas: você precisa se responsabilizar pelo tratamento dos dados e prestar contas sobre eles.

Quem são os personagens

Beatriz também aponta a importância de conhecer as partes que serão envolvidas pela Lei Geral de Proteção de Dados. Existem três tipos principais elencados dentro do escopo: titular, controlador e operador.

O titular é a pessoa física, nunca a jurídica, a qual se referem os dados pessoais que são objeto do tratamento. “Porém, já que você criará todo um projeto para fazer a segurança dos dados, faça isso como uma boa prática e estenda para os de pessoa jurídica”, sugere Soares.

O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Já o operador é a pessoa natural ou jurídica que realiza diretamente o tratamento de dados pessoais em nome do controlador.

“As empresas sempre vão atuar nas duas últimas características. Por exemplo, na Superlógica, quando falamos de dados dos funcionários, existe outra empresa que faz o processamento da folha de pagamento. Neste caso, nós somos os controladores”, explica Beatriz. “No caso do processamento de software, que é o nosso negócio, nós somos os operadores, pois recebemos os dados de terceiros”.

Existe ainda uma quarta figura, o DPO (Data Protection Officer, ou Executivo de Proteção de Dados). Trata-se de uma pessoa física ou jurídica encarregada de atuar como um canal entre os controladores e a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar a segurança de informações no Brasil.

Bases legais

Para a aplicação da LGPD, existem dez bases legais nas quais as empresas precisam se enquadrar para estarem de acordo com a legislação. Estes são fundamentos que legitimam o tratamento de dados pessoais e garante direitos aos titulares.:

  1. Consentimento: para autorização do manuseio dos dados, é necessária a manifestação inequívoca do usuário dando permissão;
  2. Execução do contrato: permite o tratamento dos dados desde que seja necessário para o cumprimento de um contrato;
  3. Interesse legítimo: baseada na lei europeia, essa base legal não tem uma definição simples. Caso você já tenha ofertado um serviço ou produto e quer apresentar novidades ao usuário, você pode manter o relacionamento com ele.
  4. Administração/políticas públicas: órgãos públicos podem tratar e compartilhar dados pessoais para execução de políticas; 
  5. Exercício regular de direito: Por exemplo, se um colaborador demitido hoje solicitar a eliminação de seus dados, você não precisa. Esse indivíduo possui dois anos para poder processá-lo e caso os apague você não terá meios legais para se defender;
  6. Órgãos de pesquisa: é permitido o tratamento de dados pessoais para fins de pesquisa, desde que anonimizados;
  7. Proteção da vida: caso seja indispensável para proteção à vida os dados pessoais poderão ser compartilhados;
  8. Tutela da saúde: semelhante ao anterior, será permitido o tratamento e divulgação das informações se forem essenciais para a manutenção da saúde;
  9. Cumprimento de obrigação legal: você poderá manusear os dados se necessário para cumprimento de ações legais, como o envio de informações de receita para a retenção de imposto de renda na fonte;
  10. Proteção ao crédito: empresas e birôs de crédito trabalham com esses dados e poderão continuar prestando tal serviço desde que se adequem à lei.

Direitos básicos dos titulares

Da mesma maneira que existem bases legais para que as empresas possam manejar essas informações, a LGPD define os direitos básicos dos usuários:

  1. Acesso: os usuários devem ter acesso gratuito e irrestrito sobre as informações que a empresa detém sobre ele;
  2. Retificação: ele pode atualizar as informações detidas pela empresa;
  3. Eliminação: o usuário pode solicitar a eliminação dos dados desde que não interfira no exercício regular do direito das empresas;
  4. Revogação do consentimento: mesmo que tenha dado consentimento para a utilização de suas informações, ele pode revogar a decisão;
  5. Informação e explicação: ele tem direito a saber exatamente para quais fins os dados serão usados;
  6. Portabilidade: por exemplo, caso o usuário queira migrar de um serviço para outro, cabe a empresa liberar esses dados.

Penalidades

Enfim, caso a empresa não se adeque em tempo à data limite da legislação e continue praticando ilegitimamente o armazenamento, análise e compartilhamento dos dados, existem penalidades que podem ser aplicadas. São elas:

  • Advertência;
  • Multa Simples – 2% do faturamento total do ano anterior, chegando até R$ 50 milhões;
  • Publicização da infração – em diário oficial e, possivelmente, em outros veículos oficiais;
  • Bloqueio dos dados pessoais a que se refere a infração, até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração.

Beatriz ainda ressalta que o maior dano pode não ser a multa. A mancha na imagem da empresa com a publicação da penalidade em veículos de comunicação pode ter efeitos sobre sua capacidade de obter receita futuramente.

Os desafios da LGPD no Brasil

Mesmo que a lei sancionada pelo nosso senado se espelhe no regulamento da União Europeia, quando trazemos para o contexto brasileiro ainda existem alguns problemas de implantação. Existem dois desafios principais, listados por Soares, para que todas as empresas se adequem: a cultura e o prazo.

“O brasileiro, via de regra, não tem um cultura de proteção de dados. Ele coloca tudo nas redes sociais”. E isso não fica apenas na realidade das pessoas, as empresas também precisam estabelecer esse tipo de cultura em seus ambientes de trabalho.

Já o segundo, o prazo, atrela-se ao primeiro. Criar um planejamento, treinar os funcionários e estabelecer costumes demanda esforços e tempo. Falta pouco mais de 300 dias para organizar-se e evitar as multas.

Como a Superlógica está se preparando para a LGDP

Para encerrar sua palestra, Beatriz trouxe o case do Grupo Superlógica, de quais estão sendo os processos para adaptar-se à nova legislação. Para isso são usados dois conceitos que estão implícitos no texto da lei: Data Protection by Design e Data Protection by Default.

O Data Protecion by Design estabelece que o produto ou serviço deve ser desenhado desde o princípio para ser seguro. “Se você começar a criar um produto hoje, não deixe para se preocupar com a segurança apenas em 2020. Coloque o produto na rua o mais seguro possível”, recomenda a Head de Compliance.

O princípio do Data Protection by Default define que as configurações referentes à privacidade devem ser estabelecidas considerando a máxima proteção possível para o usuário. “Um exemplo conhecido é o das Smart TVs da Samsung, que vinham com as opções de câmera e captação de voz ativadas automaticamente, sem a ciência do usuário. Isso causou uma situação muito desagradável, por isso hoje eles atendem o princípio, deixando essas funcionalidades desativadas no momento da compra”, demonstrou Beatriz.

O passo a passo da Superlógica

Na Superlógica já existia um cultura de boas práticas sobre a proteção de dados, difundida a partir das necessidades da outra empresa do grupo, o PJBank. Isso acontecia devido à necessidade de cumprir as normas do PCI-DSS, órgão que cria regras e fiscaliza as transações de dados de cartão. 

Enfim, ela demonstrou um passo a passo em escala de como foi definida cada etapa da adequação à Lei Geral de Proteção de Dados Pessoais:

  1. Avaliação: assim que aprovada, a primeira etapa foi de conhecer a lei, fazer cursos e seminários, além de benchmarkings com especialistas;
  2. Mapeamento: consiste em mapear os tipos de dados e sua finalidade, bem como os profissionais que serão envolvidos. “Nesta etapa, é importante já definir um DPO. Na Superlógica, nós elegemos um comitê formado por pessoas de tecnologia, jurídico e compliance para trabalhar em conjunto”;
  3. Base legal: em seguida é preciso definir as bases legais de atuação da empresa com os dados. “A maioria dos nosso dados tem base legal no contrato, obrigação legal e exercício regular do direito; 
  4. Conformidade: em paralelo, foi iniciado um processo de revisão de políticas e a prepar o Relatório de Impacto à Proteção de Dados. “A ANPD pode exigir esse documento. Não é um relatório simples de se fazer, por isso não é legal deixar para fazê-lo só quando a fiscalização estiver na sua empresa”;
  5. Melhoria contínua: como passo final é o aprimoramento da proteção de dados, com treinamentos e monitoramentos.

O prazo da LGPD está próximo e exigirá preparo desde já para a adequação das empresas. Mais do que isso, é um processo que deverá ser difundido em todas as áreas da empresa: marketing, C-levels (CEOs, CMOs, COOs), programadores, entre outros. “Todos devem estar conscientes de que os dados são importantes e que precisamos tomar cuidado deles”.

Sobre a Superlógica

A Superlógica desenvolve o software de gestão líder do mercado brasileiro para empresas de serviço recorrente. Somos referência em economia da recorrência e atuamos nos mercados de SaaS e Assinaturas, Condomínios, Imobiliárias e Educação

A Superlógica também realiza o Superlógica Xperience, maior evento sobre a economia da recorrência da América Latina, e o Superlógica Next, evento que apresenta tendências e inovações do mercado condominial.

Nova call to action

Compartilhar

Comentários

comentarios