LGPD: Conceitos e desafios importantes
Nos últimos meses, em algum momento, você deve ter ouvido falar em uma sigla nova que está cada vez mais presente no vocabulário do mercado digital, e em entorno dela, especialistas em leis e profissionais de TI formando lives e debates. A LGPD – Lei Geral de Proteção de Dados – Lei nº 13.709 que entrará em vigor a partir de agosto de 2020, tem como objetivo a proteção de dados pessoais de pessoa natural (pessoa física) identificada ou identificável (Art.5º).
A lei toda tem como objetivo principal, a meu ver, barrar os exageros. Quem nunca recebeu aquela ligação com uma fantástica promoção e o atendente querendo confirmar os seus dados? E aqueles e-mails chatos de promoção de uma loja que você nunca comprou? Complicado, né?
O cartão sem anuidade
Para exemplificar melhor, vou relatar um caso pessoal. Uma vez recebi uma ligação de uma operadora de crédito, que me oferecia um cartão sem anuidade e que gostaria de confirmar o meu endereço para envio do mesmo. Ou seja, queriam me mandar conta para pagar! Afinal, sempre tem alguma taxa escondida. Quando eu questionei a pessoa do outro lado de como conseguiu os meus dados, ela relatou que era através de uma promoção em conjunto com uma empresa de venda de passagens. Consentimento aí passou longe.
O que ocorre é que dados de pessoas físicas que antes eram utilizados livremente (como no caso citado), agora estarão protegidos por lei, e qualquer manipulação deles deverá ser consentida pelo titular. E quando se trata de consentimento, a lei é bem clara no Art. 8º: “O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.”, ou seja, argumentos como “mas quando você comprou em nossa loja já estava consentindo em entregar seus dados” (como já ouvi), e outros abusos desse tipo, não deverão mais ser tolerados.
É muito válido pensar que o grande objetivo será evitar cada vez mais aqueles problemas como ligações, envio de SMS, e-mails, e outros tipos de mensagens não autorizadas e às vezes em excesso. Além disso, de ter dados compartilhados com operadores não autorizados onde você não tem a mínima ideia do que vão fazer com as suas informações.
E para quem não cumprir, a multa é salgada!
A LGPD regula a posse e utilização dos dados, e a punição prevista para quem não cumprir é multa de 2% do faturamento líquido da empresa, chegando a no máximo R$ 50 milhões.
Para rastrear os responsáveis pelos dados, a lei os nomeia como: controlador, operador e encarregado.
O controlador e o operador são colocados como agentes de tratamento, e por tratamento a lei considera “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.” (Art. 5º)
Dessa forma, controlador e operador podem ser considerados cliente e fornecedor. Por exemplo, uma empresa que faz disparos de e-mail marketing (operador) e seu cliente (controlador – uma loja de sapatos, por exemplo) que tem suas bases de e-mails.
Ainda temos um outro ator importante, que é o encarregado. No início da divulgação da lei, chamado pelo mercado de “oficial de dados”, trata-se de “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)” (Art. 5º). Esse profissional ficará responsável por receber contestação de armazenamento e consentimento de utilização por parte dos titulares dos dados, receber comunicações da autoridade nacional, e orientar funcionários e parceiros sobre procedimentos necessários ao cumprimento da lei.
O papel do encarregado, na minha opinião, é um dos mais importantes pois é ele que vai conseguir evitar, com o seu conhecimento, que a organização sofra algum tipo de penalidade em virtude do descumprimento da lei.
Em todos as discussões que tenho acompanhado acerca da LGPD, o que fica claro é que esse profissional deverá ter o conhecimento pleno da lei e de um bom manual de políticas e boas práticas. Além disso, deverá andar pela organização espalhando a cultura da lei.
Cuidados necessários
Nomeie um encarregado como pede a lei;
- Faça o armazenamento só do que for necessário. Dados desnecessários só tornarão a manutenção complexa e custosa. Evite, principalmente, manter dados sensíveis;
- Valide a sua base de e-mails e busque o consentimento dos titulares;
- Faça a correção de dados incompletos, inexatos ou desatualizados;
- Tenha uma política de boas práticas de segurança e proteção de dados, faça toda a organização saber da sua existência e normas;
- Tenha uma página no site da sua empresa com as suas políticas, e um canal direto para comunicação com o seu encarregado de dados;
- Faça auditorias frequentes nos departamentos da empresa e cheque se todos os âmbitos de suas políticas estão sendo cumpridas;
- Atualize suas políticas. Elas devem evoluir com os seus processos e com o crescimento da sua empresa.
E a sua empresa, como está se adaptando à lei geral de proteção de dados? Conte um pouco da sua experiência. Se precisar de ajudar, é só nos chamar.
Comentários