Neste ano irá entrar em vigor o projeto que promete mudar a relação entre as instituição e consumidor.
A Lei Geral de Proteção de Dados, sancionada em 2018, que implica em um maior cumprimento das empresas em relação à proteção de dados dos usuários, além de mais transparência e investimento na comunicação com os clientes sobre como esses dados são armazenados e tratados.
O pano de fundo para o estabelecimento da Lei Geral de Proteção de Dados (LGPD) é a rápida evolução da tecnologia e da globalização. Com dados de atributo do cliente, informações de histórico de comportamento online e offline e IoT (Internet das Coisas), os dados foram coletados e acumulados de inúmeros dispositivos pela Internet.
O que é a Lei Geral de Proteção de Dados?
A LGPD foi estabelecida com base na necessidade de proteger as informações pessoais.
Anteriormente, ocorreram anos de debate sobre o uso de dados pessoais em empresas. O Marco Civil da Internet foi a primeira tentativa de criar uma legislação focada no mundo digital. Porém, ela deixou algumas brechas a respeito da proteção de dados pessoais.
Nesse aspecto, a Lei Geral de Proteção de Dados surgiu para preencher as lacunas deixadas por outras leis específicas. Ela visa garantir padrões e aprimorar os direitos das pessoas físicas com relação às organizações que capturam seus dados para fins diversos.
Por meio da LGPD o leque de dados pessoais a serem cobertos está em expansão. Além de informações como nome, endereço, endereço de e-mail e número de crédito, também inclui identificadores como endereços IP e cookies que podem ser usados para identificação pessoal e informações de localização.
Quando a lei começa a valer?
A Lei Geral de Proteção de Dados (lei Nº 13.709) passa a valer a partir de agosto de 2020. Tendo em vista a transparência do caminho percorrido pelos dados captados de pessoas. Ela tem grande importância para o mercado cada vez mais dinâmico e digital.
Mesmo ainda havendo prazo para a devida reorganização e adequação das empresas, o texto já está sendo usado. Em uma denúncia feita pelo Ministério Público do Distrito Federal e Territórios (MPDFT) o texto da LGPD já foi considerado.
Nessa ocasião, foi instaurado pelo promotor uma investigação direcionada a empresas que comercializavam o acesso a dados e informações pessoais de cidadãos brasileiros. Dentre a base legal para os argumentos estava a nova lei.
De fato, diversos pontos da LGPD são voltados a boas práticas já existentes em processos de desenvolvimento de projetos sofisticados. Porém, esses pontos serão cobrados de forma mais rigorosa pela lei. Um exemplo disso é que quando a GDPR entrou em vigor na UE (União Europeia) vários serviços como o Facebook tiveram que se adaptar.
Diversos e-mails foram disparados para os usuários informando mudanças nas políticas de privacidade e termos de uso justamente por esse motivo. Com a Lei Geral de Proteção de Dados não será diferente — várias empresas já estão atualizando e revisando seus termos de uso de dados e comunicando a sua base de clientes.
O que exatamente está na LGPD?
A Lei Geral de Proteção de Dados colocou o Brasil no rol das nações que priorizam a proteção dos dados dos seus cidadãos. Isso demonstra o respeito aos indivíduos e o combate ao mau uso de informações. Afinal, a geração e o fluxo de dados ganharam grandes proporções devido à evolução digital e à conectividade.
De maneira geral, as empresas deverão ser transparentes com relação à finalidade do uso de dados pessoais e ter políticas de privacidade e proteção que garantam a confidencialidade. Os cidadãos terão o direito de intervir a qualquer momento nesse uso e de serem informados caso ocorra um incidente de segurança.
Destacamos os principais pontos que constam na LGPD.
A responsabilidade direta do processador de dados
As organizações que processam dados pessoais de outras empresas ao fornecer serviços a elas (como empresas que fornecem soluções em nuvem ou de hospedagem de sites) serão diretamente responsáveis por violar a LGPD, incluindo o risco de receber uma penalidade financeira.
Além disso, serão necessárias obrigações mais rigorosas do que antes para a criação de contratos de processamento, enquanto danos e limitações de responsabilidade provavelmente serão renegociados.
Direitos novos e ampliados dos cidadãos
Os titulares dos dados terão um direito estendido sobre informações pessoais, o que é de grande importância para as empresas baseadas na análise de dados. Além do mais também haverá:
– Exclusão de dados a qualquer momento, dirigido aos cidadãos que desejam que seus dados pessoais sejam deletados;
– Permissão para solicitar transferência de dados.
Também fica registrado nas disposições da LGPD regras novas ou suplementadas para obter consentimentos válidos e verificáveis para o processamento de dados pessoais de titulares de dados. Isso dá maior controle aos proprietários das informações coletadas em determinado momento.
Denúncia de violações
É da responsabilidade dos controladores de dados relatar violações após a detecção à autoridade supervisora competente. Sendo eventos que possam resultar em uma ameaça aos direitos e liberdades dos titulares dos dados.
Também pode ser necessário notificar uma pessoa específica, sem demora injustificada, sobre um alto risco de violação de seus direitos ou liberdades.
Nomeação do inspetor de proteção de dados pessoais
Será de responsabilidade de algumas empresas que controlem e processem dados da nomeação de um Inspetor de Proteção de Dados Pessoais.
Essa pessoa deve ter conhecimento especializado no campo da proteção de dados pessoais para que haja consistência na tomada de decisão e adequação das práticas corporativas internas.
Expansão da obrigação de informação
As disposições do LGPD indicam inúmeras informações que devem ser incluídas na comunicação sobre a maneira de processar dados pessoais endereçados aos titulares dos dados.
Assim como a avaliação de impacto na proteção de dados que será obrigatória antes da realização de atividades de alto risco, como perfis em larga escala ou o uso de categorias específicas de dados (como dados de saúde).
Requisitos obrigatórios de inventário e documentação de dados
O controle e o processamento de dados serão necessários para preparar e manter registros abrangentes sobre os dados processados, incluindo, entre outros: razões para o processamento de dados, categorias de titulares e dados pessoais, destinatários de dados, registros de transferências internacionais de dados, registros de violações e incidentes, desenvolvimento e manutenção de regras proteção da privacidade de cada linha de produtos, armazenamento de consentimentos confirmados para processamento de dados, entre outros.
Como ela pode afetar o meu negócio?
A LGPD abrange situações referentes à coleta e ao processamento de dados.
De acordo com ela, considera-se tratamento toda operação realizada com dados pessoais, como as que se referem a: coleta, recepção, utilização, produção, classificação, distribuição, acesso, reprodução, transmissão, processamento, armazenamento, arquivamento, eliminação, avaliação ou controle da informação, comunicação, transferência, modificação, difusão ou extração.
Se você ou sua empresa exerce qualquer uma dessas atividades citadas, sua atividade será afetada pela Lei Geral de Proteção de Dados. Além do mais, suas diretrizes têm impacto direto em operações de pesquisa e desenvolvimento de marketing, entre outras.
A lei também aborda em sua aplicação consequências em caso de danos coletivos ou individuais, morais ou patrimoniais, a entes privados ou públicos.
O não cumprimento desse regulamento pode causar diversas consequências punitivas. Elas podem ocorrer em várias instâncias, dependendo da gravidade da infração, como:
– Advertência: comunicado indicando prazo para a tomada de medidas corretivas;
– Multa simples: tendo limite máximo de 2% do faturamento da organização no seu último exercício, tendo limite de 50 milhões de reais por infração;
– Multa diária: acumulativa, porém, respeitando os limites estipulados na multa simples;
– Publicização da infração: publicação do ocorrido à sociedade após a devida apuração;
– Bloqueio dos dados pessoais: até que a regularização seja feita;
eliminação dos dados pessoais: exclusão definitiva dos dados do titular afetado.
No Capítulo V da LGPD fica estabelecido que para transferência internacional de dados só será permitida para organismos internacionais que garantam proteção de dados pessoais elevado. Ou seja, isso afeta negócios internacionais, pois ainda temos países com legislação muito desatualizada como o Chile.
Devido à mudança dos modelos de negócios, que agora estão amplamente atuando online como empresas de logísticas, que passaram a ter mecanismos de registro e controle de frota. Assim como as lojas de comércio virtual (e-commerce) que fazem uso do comportamento do usuário na rede e seu perfil para gerar ofertas e promover ações de marketing.
No caso de empresas menores será um processo de aprendizado, já que grandes corporações já têm uma infraestrutura de atuação nesse campo de coleta e gestão de dados. Independentemente de qualquer que seja o ramo de negócios, um sistema simples de registro de clientes já deve ser pensado e adaptado a LGPD.
Vale ressaltar que não é apenas o setor de TI da empresa que deve se preocupar com as adaptações necessárias previstas na Lei Geral de Proteção de Dados. O departamento de RH também será afetado diretamente ao coletar dados de colaboradores e candidatos a preenchimento de vagas, por exemplo. Por isso, o ideal é o envolvimento em todos os níveis da organização.
A Lei Geral de Proteção de Dados irá gerar impactos para os diversos tipos de negócios. Por isto, até ela começar a valer, busque atentamente mapear os seus processos empresariais com o auxílio especializado sobre a LGPD para adequar seus negócios aos novos padrões estabelecidos no país.
Somado ao planejamento e organização para atender as normas da LGPD, é importante também que a empresa faça investimento em um seguro, que esteja protegida contra riscos de vazamento de informações.
Quer saber mais sobre o Seguro Cyber? Fale conosco da Southcorp Seguros, nós temos ampla experiência neste segmento de seguro focado na segurança da informação.
Fonte: Certisign