A Lei Geral de Proteção de Dados Pessoais (LGPD) prevê uma série de normas e princípios que devem ser observados pelos setores privado e público. Em agosto de 2020, a nova lei entrará em vigor para valer no Brasil e, pensando nisso, elencamos algumas regras básicas que precisam ser levadas em conta pelas lideranças, gestores e colaboradores das empresas para fazer um bom uso dos dados pessoais. Confira:
Leia também: Conheça a origem da Lei Geral de Proteção de Dados (LGPD)
Finalidade e consentimento
Os dados pessoais são muito valiosos para as empresas. Existem instituições que vivem do seu uso, como o Facebook e até mesmo o Google, e a LGPD chega no Brasil justamente para regular a relação entre as instituições que fazem uso de dados, sejam elas públicas ou privadas, e a sociedade.
A proposta é que, a partir da aplicação lei, essa troca entre corporações, instituições públicas e os seus públicos aconteça de forma mais equilibrada. Por isso, o princípio da finalidade é a regra número um da lei. Ele define que a coleta de dados serve para cumprir uma determinada finalidade. Ou seja, não é possível dizer que vai usar o dado para o projeto X e, depois, usá-lo para outra finalidade, personalizar a venda de um produto ou serviço ou até mesmo vendê-lo para alguma empresa parceira.
Sendo assim, quem coleta dados deve atender aos dez requisitos de captura e processamento de dados (já falamos sobre eles aqui no blog). O primeiro deles, por exemplo, é o consentimento do titular, que indica que, se o titular autorizar a coleta e uso de seus dados, a corporação ou órgão público poderá utilizá-los, seja para realizar uma pesquisa de mercado, um estudo de comportamento e até mesmo ações de marketing – basta informar ao consumidor a sua finalidade e ele concordar com isso. Os outros nove dizem respeito a obrigações regulatórias, legais, de políticas públicas etc.
A ideia, aqui, é preservar a privacidade do cidadão e impedir que alguma instituição use dados pessoais e considerados sensíveis dos consumidores sem que eles saibam qual destino será dado a essa informação. Por isso, a regra também exige que se peça novo consentimento, caso a organização mude a finalidade do uso.
Dica: procure guardar os consentimentos e vincular aos dados daquele projeto. Assim, caso você seja cobrado algum dia, terá fácil acesso às informações para repassá-las aos órgãos reguladores.
Dados pessoais sensíveis
A LGPD segue a lógica do Código do Consumidor, sendo bastante didática ao explicitar para o que a lei serve. Então, quando a lei trata de dado pessoal, refere-se às informações que identifica uma pessoa natural, ou seja: nome, CPF, idade, gênero, condição de saúde etc. A partir disso, existem dados pessoais sensíveis. Eles estão relacionados à filiação política, crença religiosa, raça, orientação sexual, dados de saúde e biométricos e, por isso, são tratados de forma mais rigorosa dentro da lei.
Nesse caso, empresas que operam na área de saúde – especialmente planos de saúde e odontológicos – terão obrigações mais extensas que outros setores, incluindo redação de regulamento, treinamento das equipes e vedação da saída dos dados para processamento. A atenção também estará no descarte de dados ao término do tratamento.
Portanto, toda situação que envolve dados pessoais sensíveis precisará de um cuidado maior. A premissa é que só as informações necessárias para determinado fim sejam usadas. Por exemplo, quando um banco recebe um pedido de crédito deve levar em consideração somente aqueles dados relevantes para essa tomada de decisão, como o nome, CPF e até mesmo o histórico de pagamento do cliente, e não fazer uso de dados pessoais e pessoais sensíveis desassociados às atividades fim.
Controlador, encarregado e operador
A terceira regra diz respeito aos novos atores que irão trabalhar nos processos de coleta de dado e processamento. Segundo a LGPD, as empresas deverão criar novos cargos de proteção de dados, bem como seus jobs descriptions. São eles:
– Controlador de dados: responsável pelo uso dos dados feito pela instituição. Esse colaborador (que pode ser um diretor ou gerente) irá controlar a forma como são utilizados os dados.
– Encarregado de dados: responsável por fazer a interface com o titular dos dados. Ele é quem tem os registros de uso dos dados (finalidade e objetivo) e, quando solicitado, deve repassar essa informação.
– Operador de dados: responsável pelo processamento dos dados da empresa. Via de regra, podemos dizer que, naturalmente, é quem atua na área de Tecnologia da Informação (TI). Ele vai armazenar e operar o dado.
Essas pessoas deverão operar os vários quesitos burocráticos que a lei cria. Dentre as funções praticadas por eles, estão: o processo de atendimento aos titulares de dados – gratuito e com prazo a ser cumprido -, matriz de risco de privacidade, plano de contingência de incidente de privacidade, plano de mitigação de riscos de privacidade, relatório de incidente de privacidade, entre outros.
Além disso, a lei também cria, no âmbito administrativo, a Autoridade Nacional de Proteção de Dados (ANPD), o órgão de estado responsável pelas sanções administrativas, ou seja, por verificar o trabalho desses atores e por fazer a regulação do mercado de dados.
Segurança, sigilo e governança
A quarta regra trata da segurança e sigilo de dados. A LGPD estabelece que é responsabilidade da ANPD dispor sobre os níveis mínimos de segurança e sigilo a serem adotados pelas instituições públicas e privadas. A lei veda expressamente, em qualquer hipótese, a transferência de dados a terceiros. Portanto, não será permitido o repasse de informações para instituições parceiras e a venda de dados, por exemplo.
Lembrando que as multas serão dadas a qualquer um que não cumprir as normas da LGPD, o que pode chegar a 2% do faturamento total da empresa, limitado a R$ 50 milhões por infração.
Além disso, a lei prevê uma série de instruções e hipóteses de responsabilização quando os dados não forem protegidos corretamente. Em caso de acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração ou comunicação dos dados e qualquer forma de tratamento inadequado ou ilícito, as empresas serão punidas.
Portanto, conte com uma estrutura de segurança de dados e esteja atento a todos os itens destacados pela lei para não sofrer prejuízos com multas ou o afastamento da responsabilidade civil por dano causado pelo tratamento de dados.
Privacy by Design
Por fim, a LGPD exige que todo produto ou serviço, offline ou online, que envolva processamento de dados pessoais e pessoais sensíveis utilize a metodologia da privacidade desde a concepção até sua execução. Na lei, esse processo é chamado de Privacy by Design e ele reúne uma série de passos e documentos que devem orientar o planejamento do produto ou serviço e acompanhar seu ciclo de vida.
A instituição precisa ter todos os seus projetos e criações internos, os desenvolvimentos de software, o departamento de TI e o planejamento estratégico de produtos e serviços alinhados com a ideia de privacidade. Da mesma forma, toda solução e entrega para o mercado deve conter configurações referentes à privacidade, considerando a máxima proteção possível do usuário, que, por sua vez, pode liberar acesso à coleta de mais informações, caso julgue necessário.
Ou seja, a proposta é garantir, por meio de uma infraestrutura preparada, a proteção de dados pessoais, desde a coleta do dado até o seu tratamento ou compartilhamento com um terceiro, deixando claro para as pessoas os legítimos interesses e objetivos daqueles que utilizam as informações.
Com o Privacy by Design, a ANPD poderá solicitar registros e documentações para comprovar se a arquitetura e a operacionalidade do sistema ou da prática de negócio da empresa está centrada na privacidade do usuário. E esses princípios devem ser incorporados aos processos de desenvolvimento de aplicações e gerenciamento de dados de todas as empresas, não apenas as de tecnologia.
Gostou do artigo? Então, continue lendo as publicações do blog e saiba tudo sobre a LGPD clicando aqui.