A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, foi aprovada em agosto de 2018 e começará a valer em 2020. A LGPD tem por objetivo regulamentar as atividades de tratamento de dados pessoais. Apesar de estar sendo discutida há algum tempo, poucas instituições, públicas ou privadas, estão se preparando para seus efeitos. O prazo para adequações é curto, visto a complexidade técnica e aperfeiçoamento de procedimentos internos que as instituições deverão adotar.

O Instituto Cátedra lança com este 1º texto uma série de artigos que explicará a LGPD, comentando cada etapa prevista  e apresentarando os desafios para sua real implantação. Como apontou um dos consultores do Instituto Cátedra: “a LGPD é de fácil compreensão, mas de difícil aplicação”.

1. O surgimento da LGPD

Elaborada com base na legislação europeia, através da GDPR (General Data Protection Regulation), que vale para todos os países da União Europeia, a LGPD já engatinhava com a criação do Marco Civil da Internet em 2014.

Prevendo que todos os dados pessoais e dados sensíveis só possam ser coletados com a autorização do usuário, a LGPD se propõe a trazer maior privacidade e segurança para os usuários/clientes.

2. O que a LGPD determina?

Para facilitar a vida, tanto do empresário quanto do consumidor, apresentamos a estrutura dos termos que compõem a Lei Geral de Proteção de Dados Pessoais.

• Dados pessoais: é qualquer informação que possa identificar uma pessoa, ou seja, qualquer dado com os quais seja possível encontrá-la e entrar em contato com ela. Exemplos: nome; RG; CPF; número de telefone, e-mail ou endereço, são exemplos de dados pessoais;

• Dados sensíveis: esses dados são aqueles que dizem respeito aos valores e convicções de cada um, como orientação sexual; etnia; opinião política; convicção religiosa, crenças filosóficas e informações de saúde. Todas essas informações podem originar discriminação e preconceito, e por isso são consideradas sensíveis;

• Tratamento de dados: os dados podem ser usados de várias maneiras. É possível apenas armazená-los na coleta, mas podem ser compartilhados, classificados, acessados, reproduzidos, avaliados, processados e transformados em novos dados a partir dos antigos. Qualquer operação que envolva esses dados, portanto, é considerada um tratamento;

• Titular dos dados: o titular dos dados nada mais é do que a pessoa física dona dos dados coletados;

• Consentimento aos dados: o consentimento é a autorização que o usuário concede a terceiros em utilizarem os dados fornecidos. Essa informação precisa estar bem clara ao usuário, assim como a finalidade para qual seus dados estão sendo solicitados;

• Anonimização e pseudoanonimização: quando um dado tem sua associação dificultada por algum processo técnico ele é chamado de dado pseudoanonimizado, pois ainda entra nas implicações da LGPD. Um dado anonimizado, no entanto, não pode ser identificado ou rastreado de forma alguma, e por isso não é considerado um dado pessoal, não se encaixando nas regras da LGPD;

• Controlador e processador: o controlador é a pessoa ou empresa que se responsabiliza e decide o que será feito com as informações coletadas de um consumidor, enquanto o processador é quem faz o tratamento dos dados.

3. Quais são os direitos do titular dos dados pessoais?

A LGPD permite ao usuário acessar seus dados a qualquer momento, conferindo se eles estão sendo tratados. O titular também pode descobrir com quais instituições seus dados foram compartilhados, corrigir dados errados, atualizar outros que já expiraram, transferir os mesmos dados para outra entidade pública ou privada; deletar os dados que estão sendo tratados e até revogar o consentimento.

4. O que acontece com quem descumprir a Lei Geral de Proteção de Dados?

A LGPD é uma lei que impõe sanções variadas a quem infringir as regras. Inicialmente, é dada uma advertência simples, que determina uma data para correção da irregularidade. Multas de até 2% do faturamento líquido da empresa também podem ser aplicadas, não chegando a mais de R$ 50 milhões; havendo a possibilidade também de aplicação de multa diária. Outra forma de punição é a divulgação da irregularidade no tratamento de dados, tornando pública a infração caso seja confirmada após investigação. Da mesma maneira, os dados pessoais podem ser bloqueados e até retirados do sistema da organização.

5. Como aplicar a LGPD em minha instituição?

Será necessário, primeiramente, capacitar os colaboradores de forma básica. Um nivelamento de praticamente todos da instituição, pois de forma direta ou indireta, todos tratam dados de usuários e clientes. Após essa etapa de sensibilização, um programa de capacitação técnica direcionada aos colaboradores das áreas técnicas e dos níveis em cargos gerenciais e de chefias deve ser criado.

Estes cursos propiciarão que sejam compostas equipes multidisciplinares e intersetoriais capazes de realmente implantar a LGPD. Em conjunto, será necessário a adequação tecnológica. A tecnologia é uma aliada no processo de adequação à LGPD, mas também é fundamental contar com ferramentas de adaptação.

Para saber mais sobre o assunto e como direcionar seus negócios e capacitar sua equipe, continue acompanhando nosso blog para não perder nada!