A Lei Geral de Proteção de Dados Pessoais (LGPD) entrará em completo vigor em agosto de 2020 para todo o território nacional. O Brasil terá então uma legislação específica para proteger os dados e a privacidade de todos os cidadãos brasileiros.
Por ser um projeto de interesse de todos os cidadãos, a LGPD está deixando várias dúvidas para os empresários brasileiros: o que é essa lei LGPD? Quem vai regulamentar? Como ela impacta na minha empresa? O que faço para me adequar?
Pensando nessas dúvidas, escrevemos esse artigo para determinar o que sua empresa deve fazer para ficar em dia com essa nova lei.
O que é LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709) foi sancionada no dia 14 de agosto de 2018 e passa a entrar em vigor a partir de agosto de 2020. Essa regulamentação estabelece uma série de regras que todas as empresas e organizações atuantes no Brasil terão de seguir para permitir que o cidadão tenha mais controle sobre seus dados pessoais, garantindo uma transparência no uso dos dados das pessoas físicas em quaisquer meios.
Inspirada fortemente na GDPR (regulamentação europeia que foi aprovada em 2016), a LGPD determina como os dados de cidadãos podem ser coletados e estipula punições, para garantir que as empresas cumpram a lei, que variam desde multa simples de até 2% do faturamento da empresa no seu último exercício, limitada, no total, a R$ 50 milhões por infração, até multa diária, observando o limite total da multa simples.
Com a LGPD, as empresas devem fazer alguns investimentos para padronizar a coleta dos dados dos cidadãos e principalmente aumentar a segurança dessas informações. E se tratando de segurança, alguns passos podem ser necessários:
- Consentimento do uso de dados aprovado pelo usuário;
- Proteger dados pessoais dos usuários;
- Implementar serviço de controle e segurança contra acessos indesejados, vírus, phishing e ransomware para garantir o item anterior. Veja artigo sobre a Segurança da Informação em 2018: fatos relevantes e o aumento dos ataques virtuais;
- Ter rápida resposta contra qualquer suspeita de ameaças; e
- Visibilidade e controle sobre essas ferramentas de segurança. Veja o artigo A Lumiun é uma das 117 startups que estão mudando a TI no Brasil.
Quem regulamenta a LGPD?
A partir de agosto de 2020, o órgão responsável por averiguar, investigar e punir, quando conveniente, aqueles que não cumprirem a LGPD, será a Autoridade Nacional de Proteção de Dados (ANPD). A ANPD foi criada em 2018, através de uma medida provisória (MP 869/18) para acompanhar e aplicar sanções descritas na LGPD.
Por isso, é muito importante que empresas comecem desde já a buscar os ajustes necessários em setores como TI, RH, Finanças e Jurídico a fim de evitar desagradáveis punições a partir do segundo semestre de 2020.
Como a LGPD impacta minha empresa?
Uma das maiores mudanças que a LGPD vai trazer estará no controle que o usuário terá sobre os seus dados utilizados pela empresa. Ou seja, o colaborador/cidadão passa a ter direito de saber como seus dados pessoais estão sendo utilizados pela empresa.
Para a utilização dos dados do cidadão, a Lei 13.709 determina que a empresa deve usar a boa fé e seguir alguns princípios. Dentre os princípios, destacamos os seguintes:
- Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
- Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
E ainda, a lei determina 9 hipóteses para que o tratamento de dados pela empresa seja considerado legal, as quais, gostaríamos de destacar a primeira que se encaixa na maioria das organizações:
- Mediante o fornecimento de consentimento pelo titular. A empresa só pode coletar dados do usuário mediante a sua autorização expressa. Isso significa que o cidadão precisa ser notificado sobre toda e qualquer ação que envolva o uso de seus dados pessoais.
