fbpx

LGPD: entenda o que mudou com a nova lei

Ouça esse artigo na íntegra

A maioria dos profissionais estava na expectativa da prorrogação da aprovação desta lei para o ano que vem. Só que isso não aconteceu, como previsto para alguns profissionais que vieram acompanhando essa saga desde o início da jornada, como eu já havia avisado a muitos da adequação.

Agora existe uma urgência para se adequar aos requisitos desta Lei, iniciando pelas adequações pela da área digital ou seja, o site institucional da sua organização.

Do que se trata a Lei Geral de Proteção de Dados Pessoais

Em todo o território nacional, todas as empresas deverão se adequar as ao tratamento do uso dos dados pessoais de clientes e usuários, protegendo seus direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade de qualquer cidadão, independentemente de etnia, cor, classe social, religião, gênero, entre outras características.

Para isso, a lei define que tratamento significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Ou seja, é necessário deixar claro a finalidade do uso dos dados operacionalizados pela organização mediante ao seu acesso, como será utilizado, como isso ocorrerá, como será armazenado, por quanto tempo e como será excluído.

Nada mais é deixar um ambiente mais transparente e seguro ao usuário/cliente.

Conceitos importantes da LGPD

A lei começa estabelecendo nomenclaturas e criando algumas figuras no processo de tratamento dos dados. Confira alguns dos conceitos.

  • Dado pessoal é qualquer informação relativa a pessoa “identificada ou identificável”
  • Dado pessoal sensível é informação relativa a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, saúde, vida sexual ou dado genético ou biométrico
  • Dado anonimizado é relativo a um titular que não possa ser identificado
  • Banco de dados é o conjunto estruturado de informações pessoais
  • Titular é a pessoa a quem se referem os dados
  • Controlador é a pessoa responsável por tomar as decisões referentes a tratamento de dados
  • Operador é quem executa o tratamento em nome do controlador
  • Encarregado é a pessoa responsável pela comunicação entre as três partes: o controlador e o operador (empresa), o titular e a Autoridade Nacional de Proteção de Dados
  • Consentimento é a manifestação livre pela qual o titular permite o uso dos dados (o ônus da prova cabe ao controlador)
  • Relatório de impacto à proteção de dados pessoais é a documentação do controlador descrevendo o processo de tratamento dos dados que podem gerar risco às liberdades civis.

O que pode e o que não pode com a LGPD

A nova lei proíbe a obrigatoriedade de informar dados pessoais para acessar serviços e produtos. Dados essenciais para o uso do serviço, como e-mail para fazer o login ou endereço para receber o produto, são uma exceção.

O ponto central da LGPD é a necessidade de consentimento expresso do titular para armazenamento dos seus dados.

Fica proibido ceder ou vender informações de contato de potenciais clientes para divulgação de produtos e serviços por telemarketing, por exemplo.

Está proibido até mesmo o uso dos dados por parte da própria organização para uma finalidade diferente daquela que foi combinada com o cliente.

É preciso obter o consentimento específico e ser capaz de provar isso a qualquer momento.

Para os dados considerados sensíveis, o processo é ainda mais rigoroso.

No caso de dados de crianças e adolescentes, é preciso o consentimento de ao menos um dos pais ou responsável legal.

O que está proibido, segundo a lei: “Acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Mas se, por exemplo, o formulário de cadastro de contato obriga o usuário a colocar o CPF, isso deve ser alterado para opcional ou ser retirado, pois não interfere diretamente no negócio.

Da mesma forma, se organização tem um aplicativo gratuito, não será mais possível exigir que o usuário compartilhe a privacidade para acessar as funções do app.

Também é importante ficar atento aos Termos de Uso e à Política de Privacidade da sua empresa. Esses documentos continuarão sendo essenciais, mas, mesmo com todas as informações disponíveis neles, ainda será proibido forçar a aceitação do usuário no que diz respeito aos dados pessoais.

Como adequar a LGPD

Iniciar as adequações de forma imediata já deve ser a sua postura nos próximos dias. Deixe claro a todos os clientes e usuários sobre a forma como sua organização liderá com as questões da Lei de forma mais transparente ao tratamento de dados a partir de agora.

Faça um diagnóstico geral: qual é o caminho que as informações das pessoas percorrem na sua organização? É necessário conhecer toda a vida útil desses dados, desde a coleta até o armazenamento, a finalidade de uso, etc. Dependendo do porte da organização e da complexidade dos serviços realizados, pode ser recomendável a contratação dos serviços de uma consultoria.

Crie uma Política adequada para o Uso dos Cookies. É preciso pedir permissão aos usuários para o uso desta ferramenta, seguidas de uma explicação de como eles funcionam, ficando mais fácil dos usuários confirmarem com uma resposta afirmativa ao seu uso.

Conforme o usuário avance no relacionamento e interação em seu site, maior deve ser a criação de avisos e políticas para o proteção deste dados.

Para não passar batido, fiz algumas dicas para você já iniciar algumas mudanças essa semana em sua organização:

  • Crie uma autorização para tratamento de dados pessoais separada das outras cláusulas contratuais. Será mais um documento que precisará ser aceito pelo usuário;
  • Incluia na autorização se os dados pessoais serão transmitidos para outras empresas, mesmo que coligadas ou pertencentes aos mesmo grupo econômico;
  • Faça um pop-up de consentimento na hora de finalizar o pedido ou o cadastro de um cliente. Informar que os dados serão coletados e processados para questões de faturamento é suficiente;
  • Peça a autorização para se comunicar com o usuário por e-mail, SMS e WhatsApp e lembrá-lo, sempre que enviar uma mensagem, que ele já autorizou tal ação. No entanto, é importante disponibilizar uma opção para que usuário deixe de recebê-las quando desejar;
  • Implemente uma estrutura para responder aos usuários que passarão a ter o direito de consultar qualquer empresa para saber se ela possui dados referentes a eles, quais são esses dados e como foram obtidos. As informações deverão ser repassadas via internet ou fisicamente, a critério do usuário;
  • Além da estrutura para responder, é preciso manter uma equipe para atender aos pedidos de exclusão, pois o usuário poderá requerer à organização que exclua seus dados pessoais após a satisfação das obrigações (pagamento, entrega, entre outros).

Importante ressaltar que você deve nomear e treinar um colaborador ou até mesmo contratar um profissional para ser responsável pela Privacidade e Proteção dos Dados, nomeá-lo como Data Protection Officer, ou DPO, para assegurar que todas as decisões tenham um embasamento legal e uma fiscalização assertiva. É ele quem deve fazer a ponte entre a organização e a  Agência Nacional de Proteção de Dados (ANPD), o órgão regulador da lei.

Fiscalização e penalidades da LGPD

Autoridade Nacional de Proteção de Dados (ANPD) está sendo estruturada de acordo com os requisitos da lei. Entre suas funções está a de zelar pela proteção dos dados, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar as penalidades em caso de tratamento de dados feito de modo ilícito.

A estrutura de penalidades pode desestruturar as organizações, cometendo falhas ao descumprimento da LGPD, confira a lista:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração;
  • Multa diária, limitada ao teto de R$ 50 milhões;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por mais 6 meses, até a regularização da atividade de tratamento;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
  • Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

As punições começam a ser aplicadas a partir de 1º de agosto de 2021. Então, por mais que o prazo para fazer as adequações tenha ficado curto, por enquanto sua organização não receberá uma multa ou qualquer outra pena. As advertências serão no sentido de educar e orientar a forma correta de implementar a LGPD.

Conte com o Inspire Qualidade para adequação da LGPD

LGPD e gestão de processos
LGPD e gestão de processos

Em um primeiro momento, a LGPD pode parecer algo bastante complexo, mas, na verdade, ela é muito mais trabalhosa do que difícil, como vimos ao longo do texto. O que sua organização precisa fazer agora é montar um planejamento rápido e ágil para deixar tudo conforme exige a legislação.

Se você pretende dar os primeiros passos para adequação da LGPD já deve saber que deve começar pelo mapeamento dos processos da Gestão.

Foi por isso que eu criei a Jornada da LGPD indicada para organizações e Cartórios que precisam tomar o primeiro passo para adequar as ações de privacidade e proteção de dados.

Eu mesma irei te ajudar a mapear os itens através dos seguintes passos:

  • Identificação dos dados em todos os processos internos
  • Identificação da forma de sua armazenagem e acesso aos dados
  • Adequações necessárias aos acessos aos dados
  • Criação da documentação regulatória interna
  • Treinamento da equipe perante a LGPD com foco nos processos

Nesta primeira jornada, serão realizados encontros programados com a equipe executora (Comitê interno) para a construção/adequação do mapeamento geral, orientações e condução para a implantação e adequação prática aos processos internos, com o mínimo de impacto possível.

Auxílio prático junto aos líderes e a equipe no desenvolvimento das novas versões das documentações obrigatórias aos processos, capacitando toda a equipe para a LGPD com foco nos processos, seus impactos e mudanças gerais.

Saiba mais solicitando uma proposta desta jornada para você também!

Antes de contratar qualquer consultoria, verifique se a mesma já possui as adequações do processo da LGPD em cima de seus processos próprios. Congruência é a palavra-chave deste momento!

0 0 vote
Article Rating
LGPD: entenda o que mudou com a nova lei
Você irá receber notícias e artigos em primeira mão! Seus dados serão mantidos em sigilo e estão protegidos. Não faremos SPAM. Você poderá se descadastrar a qualquer momento.
close
Você irá receber notícias e artigos em primeira mão! Seus dados serão mantidos em sigilo e estão protegidos. Não faremos SPAM. Você poderá se descadastrar a qualquer momento.
Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments
Rolar para o topo
Page Reader Press Enter to Read Page Content Out Loud Press Enter to Pause or Restart Reading Page Content Out Loud Press Enter to Stop Reading Page Content Out Loud Screen Reader Support
0
Would love your thoughts, please comment.x
()
x
×

Envie sua mensagem

× WhatsApp