A coleta e tratamento de dados de consumidores por empresas é um assunto que ainda gera debates em escala global. Em 2016, a gravidade da situação foi intensificada quando veio à tona o escândalo do vazamento de dados do Facebook.
Na época, foi revelado que a agência Cambridge Analytics utilizou as informações de mais de 87 milhões de usuários da rede de Zuckerberg para direcionar campanhas publicitárias. Um dos fatores que possibilitaram o episódio foi a falta de legislação clara sobre a proteção das informações pessoais dos usuários.
Desde então, a Europa aprovou o GDPR (General Data Protection Regulation), um conjunto de leis para remediar o problema. Já no brasil, surgiu a Lei Geral de Proteção de Dados Pessoais.
Neste texto, explicaremos os principais aspectos da lei e abordaremos as mudanças esperadas. Além disso, indicaremos como sua empresa pode se preparar para se adequar às novas regras.
O que é a Lei Geral de Proteção de Dados Pessoais?
A Lei Geral de Proteção de Dados recebeu aprovação do Senado Brasileiro em 10 de agosto de 2018, e foi ratificada quatro dias depois pelo então presidente Michel Temer. Trata-se de uma tentativa de satisfazer uma lacuna legal e, assim, evitar a má utilização dos dados pessoais.
Em 65 artigos divididos em 10 capítulos, a redação da lei determina a maneira como as informações disponibilizadas por indivíduos, e caracterizadas como dados pessoais, devem ser tratadas por companhias, tanto na esfera pública quanto privada.
A LGPD, como é chamada, entra em vigor em fevereiro de 2020, o que possibilita que as companhias comecem o planejamento para se adequar às novidades. Empresas que lidam diretamente com a coleta e tratamento de informações precisarão, provavelmente, mudar seus métodos e procedimentos.
Afinal, o que muda com a lei?
A principal mudança é o poder dado ao consumidor. O objetivo é que ele esteja em controle de seus dados, portanto, qualquer coleta deve contar com um consentimento explícito do titular das informações. Além disso, ele tem o direito de acessar seus dados e ter conhecimento da forma como estão sendo utilizados, bem como suspender a autorização de uso.
Para as empresas, o que muda é o aumento da responsabilidade. Assim como não devem vender, trocar ou mesmo utilizar os dados pessoais sem autorização, qualquer tipo de vazamento, mesmo envolvendo terceiros, será de sua responsabilidade.
Imaginemos, por exemplo, a gestão de um hotel e a quantidade de informações que são recolhidas no check-in de hóspedes. Para onde vai isso tudo? Há um processo de armazenamento para manter os dados seguros? Pode soar como uma questão banal, mas não podemos subestimar a importância que deve ser dada ao tratamento transparente desses dados.
Afinal, caso as normas estabelecidas não sejam cumpridas, o estabelecimento estará exposto a uma punição que pode chegar a 2% do faturamento do negócio, podendo até levar à suspensão — parcial ou total — das atividades de manipulação de dados. Somam-se a isso os danos causados à imagem da marca perante os consumidores.
O que são considerados dados?
De acordo com a legislação, é considerado dado qualquer tipo de informação que possa identificar uma pessoa. Portanto, não se restringe ao nome: número de telefone, endereço, informações de emprego e elementos do tipo se enquadram na mesma categoria.
É importante ressaltar que existe uma sub-categoria chamada de “dados sensíveis”. As informações classificadas como sensíveis exigem um nível ainda maior de proteção, a fim de evitar atitudes discriminatórias. São exemplos:
- religião;
- posicionamento político;
- características físicas;
- estado de saúde;
- orientação sexual.
Como a fiscalização será feita e quais os casos de exceção?
A principal responsável pela fiscalização das normas e aplicação de punições será a Autoridade Nacional de Proteção de Dados (ANPD), além de um conselho nacional composto por 23 integrantes do poder público e civil.
Porém, assim como diferencia dados sensíveis, a LGPD prevê casos de exceção, em que legislações específicas exercem controle sobre a situação. Dados tratados para fins jornalísticos, acadêmicos ou relacionados à segurança nacional são exemplos de exceções.
Como preparar sua empresa para a LGPD?
Como a lei passa a valer apenas no início de 2020, há tempo para realizar as adequações necessárias e evitar prejuízos indesejados. A primeira coisa a se fazer é garantir que a coleta de dados seja feita conforme é previsto nas regras: com consentimento do titular, com informações claras sobre a finalidade e levando em consideração os dados sensíveis.
Portanto, é necessário organizar um sistema de mapeamento das bases de dados e armazenamento. Vale ressaltar que o titular pode, a qualquer momento, solicitar o acesso aos dados ou até sua exclusão. Nesse caso, é importante que os processos estejam otimizados para que os arquivos sejam encontrados sem maiores problemas.
A própria cultura da organização também precisará passar por mudanças. É importante que colaboradores tenham treinamento adequado para lidar com as novas políticas, já que são eles que lidam diretamente com o tratamento dos dados. Para isso, pode-se considerar a criação de um cargo para supervisionar as atividades e garantir a adequação à lei.
Por fim, é crucial que a sua equipe de TI invista em um sistema de segurança sólido. Muitas empresas deixam a desejar nesse aspecto, deixando os dados armazenados fora de seu próprio controle. Assim, sua exposição a ataques e vazamentos é muito maior, o que, a partir de 2020, acarretará em multas e advertências.
Mais do que um dever legal, cuidar das informações do usuário de forma segura e transparente é responsabilidade ética de toda empresa, além de ser um fator decisivo para a confiança absorvida pelo público geral. Portanto, dar atenção à LGPD é algo fundamental e não deve ser negligenciado.
Com a implementação da Lei Geral de Proteção de Dados Pessoais no Brasil, os consumidores ganham muito mais poder sobre suas próprias informações. Além da possibilidade de autorizar ou negar a coleta, eles contam o direito de saber sua finalidade e acessar os dados quando quiserem.
