2020 chegou e a Lei Geral de Proteção de Dados também. E você já sabe o que fazer?

Imagem moça segurando cartaz com imagem de cadeado. Lei Geral de Proteção de Dados.

É não tem jeito, este será o ano em que finalmente a Lei Geral de Proteção de Dados (carinhosamente chamada de LGPD), ou Lei 13.709/2018 irá definitivamente entrar em vigor em toda sua plenitude.  

Para alegria daqueles que já estão devidamente preparados e desgosto dos atrasados que ainda não se mexeram, ou sequer sabem do que se trata. 

A verdade é que alguns artigos desse importante dispositivo legal já entraram em vigor, enquanto outros devem entrar em vigor com tudo a partir de agosto de 2020. 

Por que essa lei é importante? Basicamente, ela estabelece deveres de reparação e sanções administrativas quando acontece incidentes de segurança. 

Em resumo, o foco principal desta legislação é a proteção e privacidade de dados das pessoas físicas. 

Várias são as histórias e relatos de consumidores que tiveram seus dados vazados ou roubados em empresas que não tomaram os devidos cuidados com o armazenamento e compartilhamento de dados armazenados. 

Lembra-se dos vazamentos do Facebook? Se não lembra vamos te refrescar um pouco a memória! 😉 

>> Saiba mais: O que significa a LGPD para o seu service desk?

Alguns dos eventos que levaram à criação da LGPD! 

Imagem lupa em tela de computador com várias logos do Facebook. Lei Geral de Proteção de Dados.

A Lei Geral de Proteção de Dados brasileira vem na esteira de uma tendência mundial de regulamentação do uso de dados pessoais sensíveis sem a autorização dos usuários.  

Os últimos anos foram marcados por grandes escândalos de utilização indevida de informações, como o caso da Cambridge Analytica

Em alguns casos, foram vazadas listas com o número do cartão de crédito de várias contas-correntes. Em outros, conversas privadas nas mídias sociais foram comercializadas descaradamente com finalidades comerciais.  

Diante disso, os Governos precisaram criar uma legislação com a finalidade de proteger as pessoas, pois, geralmente, elas nem sequer têm oportunidade de saber o destino dos seus dados

Em abril de 2019, Mark Zuckerberg, presidente do Facebook, teve de depor no Congresso americano para explicar a transmissão de dados pessoais dos usuários para uma empresa de marketing eleitoral — a Cambridge Analytica.  

Muitos acreditam que a utilização de estratégias de segmentação, a partir de uso indevido de dados pessoais, foram imprescindíveis para definir os resultados da corrida eleitoral estadunidense. 

Um dos grandes problemas nesse contexto foi a falta de uma conduta ética por parte das duas empresas.  

Afinal, não houve um grande esforço por parte do Facebook para proteger os dados pessoais dos seus usuários. Todos eles poderiam ser pessoalmente identificáveis, o que compromete o direito à privacidade de todos os cidadãos

Confira outros grandes escândalos de vazamentos de dados que deram o que falar:

  • Uber: a empresa foi multada em diversos países por esconder o vazamento de dados de seus clientes em 2016, quando criminosos roubaram dados de 57 milhões de pessoas, sendo que cerca de 200 mil eram brasileiras.
  • C&A: a gigante varejista foi alvo de hackers, e dados de 36 mil clientes do sistema de vale-presentes e trocas foram expostos (como e-mail, valor adquirido como presente e data da compra).
  • Banco Inter: em 2018 a instituição que opera exclusivamente online, admitiu a exposição dos dados de cerca de 20 mil correntistas e teve multa aplicada pelo Ministério Público do Distrito Federal e Territórios (MPDFT). 

Como você pode ver, os números relacionados ao vazamento de dados são superlativos e mitigar as penalidades deve estar na ordem do dia.

>> Saiba mais: 5 erros de segurança em TI que podem comprometer a segurança de dados de seu negócio!

Ok, mas o que tudo isso significa? 

Ilustração homem pensando.

Isso significa que, se o seu negócio estiver envolvido em um desses incidentes e for determinado que houve culpa, pelo não cumprimento de alguma conduta que essa lei exige, você poderá levar um sério prejuízo, na forma de indenizações ou multas, por exemplo. 

Para um negócio menor (que também está sujeito a essa mesma lei), o resultado pode ser muito ruim e até mesmo fechar as portas do negócio. 

Por isso, é bom ficar de olho na Lei Geral de Proteção de Dados e ter certeza de que está atendendo todas as suas determinações.  

Mas não precisa ficar apavorado(a), se você ainda não se preparou. A boa notícia é que ainda dá tempo de se adequar a essa norma! 

>> Saiba mais: Por que você deve se importar com os dados de atendimento?

Em primeiro lugar você precisa saber que a LGPD afeta todos os tipos de negócios! 

Ilustração régua medindo um comércio.

A Lei de proteção de dados impactará empresas de diferentes segmentos e tamanhos e pouco importa se está ligada diretamente ao setor de tecnologia ou não. Do pequeno escritório até multinacionais, todos passarão a ser impactados pela nova legislação. 

A lei de dados irá mudar também o como as organizações funcionam, alterando o ciclo de trabalho em diferentes partes do negócio. 

isso implica dizer que inclusive departamentos como o de marketing, de vendas, jurídico, Recursos Humanos e até a área de suporte ao cliente serão afetados por essa lei. 

Basicamente todos os setores que controlam ou processam algum tipo de dado pessoal dos clientes deverão estar atentos às novas diretrizes da LGPD, principalmente seguindo as regras de como esses dados devem ser manuseados e guardados. 

Essa preocupação eleva o nível da segurança com este tipo de dado e também aumenta as penalidades caso a lei não seja cumprida de forma adequada. 

A nova lei observa o uso dos dados pessoais em todo o ciclo produtivo, desde a coleta, o processamento, armazenamento e chega até mesmo ao descarte, como é o caso das informações registradas em meios físicos. 

O primeiro ponto de destaque em todo esse processo de gestão de dados pessoais, é a necessidade da obtenção do consentimento do uso dos dados pelo consumidor, que deve ser informado previamente e poder escolher livremente por disponibilizá-los ou não, simples assim. 

O segundo ponto é a incorporação do conceito do legítimo interesse do controlador dos dados, que pode promover o tratamento dos dados pessoais para finalidades legítimas. 

>> Saiba mais: Como implementar melhores práticas de atendimento à ferramenta de help desk?

Qual é a amplitude da Lei Geral de Proteção de Dados? 

Imagem do desenho Rei Leão e seu filho Simba olhando o horizonte e legenda: "Veja, Simba! Todas as empresas que o sol toca no Brasil serão afetadas pela LGPD". Lei Geral de Proteção de Dados.

Conforme o Art. 3º, a LGPD se aplica:

(1) a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional;

(2) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;

(3) ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional. 

Serão considerados coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta. 

Não se aplicam ao tratamento de dados pessoais, segundo a lei, os dados para fins particulares e não econômicos:

  • realizados para fins jornalísticos, artísticos e acadêmicos; realizados para fins de segurança pública,
  • defesa nacional,
  • segurança do Estado ou atividades de investigação e repressão de infrações penais; ou provenientes de fora do território nacional e que não sejam objeto de comunicação,
  • uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência,
  • desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. 

Mesmo que a sua empresa não faça coleta de dados pessoais ela também precisa se adequar, pois a lei também fala do tratamento dos dados, pessoais ou não.  

Após o tratamento de dados, dentro do que a legislação conceitua, a empresa fica obrigada a realizar a eliminação desses dados. 

>> Saiba mais: Sua empresa tem um plano de resposta à violação de dados?

Quais são os direitos protegidos pela Lei de Proteção de Dados? 

Ilustração punhos erguidos, símbolo de luta por direitos. Lei Geral de Proteção de Dados.

O primeiro ponto que devemos compreender sobre essa legislação é que ela não regula a utilização de todos os tipos de dados, mas somente os dados pessoais.  

Inteiramente necessário que eles possam ser associados a um indivíduo específico, violando o seu direito à intimidade. Ou seja, não se incluem nesse rol nem os dados de pessoas jurídicas, nem as informações completamente anônimas. 

Na própria lei, como visto acima, há um conceito bem conciso sobre os dados pessoais: toda aquela informação relacionada à pessoa natural identificada ou identificável. 

Nas regras da LGPD, dados pessoais e sensíveis como nomes, senhas, cartões de crédito, CPF ou RG só podem ser armazenados ou consultados com o consentimento direto e ativo dos seus titulares. 

Portanto, mesmo que uma empresa tenha um imenso banco de dados com detalhes sobre os seus clientes, após a Lei Geral de Proteção de Dados só será possível utilizá-los, ou até mesmo mantê-los, se cada titular autorizar o seu uso. 

No caso de informações de menores de idade, a regulamentação é ainda mais rigorosa e complexa. 

Considerando as exigências da Lei Geral de Dados com relação aos dados dos titulares, é fundamental usar a anonimização de dados sem que haja nenhuma associação direta aos titulares.

Justamente para que as informações demográficas como idade, região de moradia ou renda possam ser utilizadas com certa liberdade e segurança, assim como dados de interação em páginas na web, dentro dos critérios da lei. 

Há ainda uma subcategoria muito importante, que merece uma proteção ainda mais especial por parte das empresas, os dados pessoais sensíveis. Eles se referem à: 

  • origem racial ou étnica; 
  • opinião política; 
  • convicção religiosa; 
  • filiação a sindicato ou organização de caráter filosófico, religioso ou político; 
  • dado genético ou biométrico; 
  • dado referente à saúde ou à vida sexual. 

Nesses casos, as empresas deverão fazer um esforço contínuo para a proteção dos bancos de dados e para a aplicação de ferramentas de anonimização.  

Assim, mesmo que um agente malicioso consiga roubar as informações, ele não poderá saber sobre quem elas se referem. 

>> Saiba mais: Quando um incidente de segurança chega até o cliente

Ok, mas quais os direitos dos titulares dos dados pessoais? 

Ilustração mão segurando balança, símbolo de legalidade. Lei Geral de Proteção de Dados.

A Lei Geral de Proteção de Dados permitirá ao usuário acessar seus dados a qualquer momento, conferindo se eles estão sendo tratados.  

O titular também pode descobrir com quais instituições seus dados foram compartilhados, corrigir dados errados, atualizar outros que já expiraram, transferir os mesmos dados para outra entidade pública ou privada; deletar os dados que estão sendo tratados e até revogar o seu consentimento. 

>> Saiba mais: Transformação Digital Centrada no Cliente!

Impacto do Lei Geral de Proteção de Dados no atendimento ao cliente.

Imagem de pessoas na praia com homem ao centro fingindo dar soco na areia e todos pulando com o impacto.

Além de ter um grande impacto no processo produtivo das empresas a LGPD pode resultar em severas multas em decorrência dos seus requisitos.

As organizações devem se adequar as exigências previstas na nova legislação, correndo o risco de tornarem seus negócios inviáveis em decorrência das sanções previstas na lei. 

Além disso, vale destacar que o prejuízo não se restringe apenas sanções financeiras. A perda de credibilidade e confiança diante do mercado, fazem com que a Lei de Proteção de Dados se torne uma prioridade para todas as empresas. 

Como vimos acima, qualquer empresa que possua uma operação realizada no Brasil, inclusive internacionais, e que a sua finalidade seja de alguma oferta ou fornecimento de bens ou serviços que utilize dados pessoais de um natural localizado no Brasil deverá se submeter às diretrizes da legislação. 

As empresas que trabalham com dados dos usuários e principalmente as empresas de atendimento ao cliente devem reavaliar seus procedimentos, em especial, a coleta de dados pessoais. 

É preciso avaliar o que é realmente necessário para que o trabalho seja executado de forma eficiente, sem excessos de informações que não sejam pertinentes ao negócio ou a solução de determinado chamado. 

>> Saiba mais: 5 coisas que sua empresa deve considerar antes de adotar um help desk na nuvem!

Já que falamos de sanções, vejamos quais as penalidades para empresas que descumprirem a LGPD. 

Imagem martelo de juíz sobre pilha de dólares. Lei Geral de Proteção de Dados.

As sanções impostas pela Lei Geral de Proteção de Dados são variadas a quem infringir as regras. Em um primeiro momento é dada uma advertência simples, que determina uma data para correção da irregularidade. 

Multas de até 2% do faturamento líquido da empresa também podem ser aplicadas, não chegando a mais de R$ 50 milhões; havendo a possibilidade também de aplicação de multa diária. 

A multa tem caráter educativo, o que implica dizer que será destinada ao Governo, em vez de aos usuários lesados.  

No entanto, estes terão o direito de demandar judicialmente a reparação de eventuais danos morais e materiais comprovados.  

Assim, o prejuízo dos vazamentos poderá ser muito vultoso, levando a depender do porte da empresa e seus recursos um negócio à falência. 

Outra forma de punição é a divulgação da irregularidade no tratamento de dados, tornando pública a infração caso seja confirmada após investigação. Da mesma maneira, os dados pessoais podem ser bloqueados e até retirados do sistema da organização. 

Portanto, todo cuidado é pouco, porque se você acha as sanções financeiras ruins (e realmente são), imagine o prejuízo de uma má reputação no mercado. 

Como bem já disse o grande investidor Warren Buffet: “são necessários 20 anos para construir uma reputação e apenas 5 minutos para destruí-la”. 

Para fiscalizar a aplicação da Lei em território nacional, criou-se inclusive um novo órgão regulador, a Agência Nacional de Proteção de Dados (ANPD), que será responsável também por aplicar as devidas sanções e, principalmente, delimitar os parâmetros de interpretação da Lei Geral de Proteção de Dados. 

Como se adequar na prática à Lei de Proteção de dados brasileira?

Imagem mãos encaixando peças de cores diferentes.

Para que a consciência de proteção de dados seja efetivamente internalizada em todas as empresas e organizações que tem o dever de aplicá-la é preciso que algumas boas práticas sejam implementadas e aplicadas diariamente.

1. Faça a revisão da política de segurança de informação da empresa.

Extremamente necessária rever todas as medidas que já são adotadas pela empresa para detectar e corrigir possíveis problemas quanto à proteção dos dados pessoais de sua clientela.

Crie um programa de política de segurança com normas claras e detalhadas para que todos os colaboradores tenham ciência de como os dados devem ser coletados, utilizados, monitorados e protegidos na sua empresa.

Todos precisam estar cientes de suas responsabilidades no manuseio dos dados que circulam na empresa.

2. Reavalie os dados pessoais já coletados pela sua empresa.

É esta prática provavelmente irá demandar um pouco mais de trabalho, mas, caso os titulares não tenham consentido com a coleta e o uso de seus dados pessoais, será necessário entrar em contato para solicitar.

Uma dica bacana e que pode simplificar muito essa tarefa, é enviar e-mail explicando sobre as mudanças por conta da Lei Geral de Proteção de Dados.

Por fim, solicite que os usuários leiam os novos termos de uso e política de privacidade e finalmente forneçam seu consentimento, caso estejam de acordo.

3. Adote formas de consentimento para a coleta e o tratamento de dados.

Todos os dados pessoais que forem coletados, utilizados e armazenados pela empresa precisam ter o consentimento dos titulares – seja por escrito, seja por meio virtual.

Lembre-se que o titular precisa saber exatamente a finalidade dessa coleta e especialmente como seus dados serão utilizados pela empresa. Ou seja, nada de pedir o consentimento de seus clientes de forma “genérica”.

4. Defina um encarregado para a segurança dos dados.

Isso mesmo, o artigo 41 da LGPD (Lei nº 13.709/201) esclarece que a empresa precisa nomear um encarregado pelo tratamento de dados pessoais, o Data Protection Officer (DPO), cuja identidade e contato deverão ser divulgadas publicamente, de preferência, no site ou portal da empresa.

E quais as funções desse profissional? Bem aí vão algumas delas:

  • Aceitar reclamações e comunicações dos titulares dos dados, bem como prestar esclarecimentos e adotar providências;
  • Receber comunicações da Autoridade Nacional (órgão subordinado à Presidência da República) e adotar providências;
  • Orientar os funcionários e os contratados da empresa sobre as práticas a serem tomadas em relação à proteção dos dados pessoais;
  • Executar as demais funções determinadas pela empresa ou estabelecidas em normas complementares.

5. Capacite os colaboradores para conhecerem a LGPD.

Promova um ciclo de palestras e debates com os colaboradores para que eles tenham conhecimento sobre a LGPD e como a lei impactará a rotina da empresa.

Importante que todos compreendam seus direitos e deveres quanto ao uso e tratamento dos dados pessoais. Sim, os dados pessoais de seus colaboradores também estão contemplados na Lei Geral de Proteção de Dados.

6. Revise os contratos com os fornecedores.

Aproveite esse tempo de adequação à LGPD para rever também os contratos com seus fornecedores que possuem, de forma direta ou indireta, acesso aos dados da empresa.

Se necessário for, estabeleça um novo contrato prevendo a conformidade legal no tratamento dos dados pessoais, sob a pena de responsabilização solidária.

7. Monitore o ambiente de TI em tempo real.

Os dados que uma empresa vai acumulando ao longo de seu tempo de vida são ativos muito importantes e precisam de monitoramento e proteção constante e em tempo real. Justamente para que se evite situações graves como as mencionadas no início, como vazamentos e sequestro de dados.

Fale com especialista Milldesk.

Pra finalizar…

Para alívio de alguns e desgosto de outros, a Lei Geral de Proteção de Dados é uma realidade e veio para ficar!

É bem verdade que os desafios trazidos por essa nova legislação ainda são grandes, mas com o trabalho correto pode em ganho de competitividade e reputação de mercado para a empresa, alavancando novos negócios.

Deve-se olhar essa nova legislação de forma prospectiva e estratégica, não como um ônus, mas como uma oportunidade.

Restou alguma dúvida? Conta pra gente! A sua dúvida pode ser tema de um próximo artigo.