LGPD: o que é, como funciona e para que serve.

A LGPD, Lei Geral de Proteção de Dados, é uma legislação brasileira que regulamenta as atividades que envolvem dados, de forma a proteger as informações pessoais e a privacidade dos usuários.

O crescimento exponencial da produção de dados no mundo e a exposição cada vez maior das pessoas nas redes sociais abrem margem para as empresas usarem as informações em diversos tipos de análises.

Esse excesso de liberdade provocou a necessidade de criar uma legislação específica para lidar com o novo cenário.

A discussão ganhou contornos mais sérios a partir de eventos como o escândalo da Cambridge Analytica, em que dados de usuários do Facebook foram utilizados durante a campanha presidencial dos EUA.

Na Europa, isso se deu com a criação da GDPR (General Data Protection Regulation), lei que serviu de base para a brasileira LGPD — Lei Geral de Proteção de Dados.

Neste artigo, você terá um panorama sobre a LGPD e entenderá como a lei pode afetar as atividades dos profissionais de TI. Confira!

O que é a LGPD (Lei Geral de Proteção de Dados Pessoais)
Determinações da LGPD
Penalidades por Descumprir a LGPD
Webinar: LGPD + Cibersegurança

Boa leitura!

O que é a LGPD (Lei Geral de Proteção de Dados Pessoais)

A LGPD regulamenta atividades que envolvem a captação de dados pessoais.

A Lei 13.709/2018 foi sancionada em agosto de 2018, pelo então Presidente da República Michel Temer.

Essa implementação da LGPD foi fruto de oito anos de debates e adaptações. A sanção, com vetos, não coloca a lei em vigor imediatamente, pois foi dado um prazo para que as empresas pudessem se adaptar.

A necessidade de uma norma específica para a proteção de dados aumentou conforme a facilidade de produção e vazamento das informações foi ficando latente.

Atualmente, qualquer pessoa pode ter um smartphone e produzir uma variedade de dados a cada minuto. Além disso, temos os objetos conectados (com a Internet das Coisas), que coletam informações do ambiente e monitoram pessoas.

A LGPD nasce como uma maneira de limitar possíveis abusos e penalizar de forma objetiva o uso desregrado de dados por parte das empresas.

O Brasil entra, dessa forma, no grupo de países que contam com uma legislação específica para regular o tratamento de dados países, ao lado de países da União Europeia e os Estados Unidos.

COMO FUNCIONA A LGPD

A Lei Geral de Proteção de Dados, em resumo, coloca nas mãos do titular das informações o controle sobre elas. Ou seja: todo usuário deve permitir, de forma explícita, consciente e espontânea, que empresas utilizem os seus dados pessoais para fins específicos.

Estes fins também devem ser explícitos pelas empresas. Dessa forma, cada parte deixa claro a sua responsabilidade e compromisso, estabelecendo uma relação de mais transparência e segurança.

Assim, a LGPD tem um grande impacto nas empresas, especialmente nos setores de marketing, TI, comercial e jurídico.

Determinações da LGPD

A LGPD determina, e resumo, que o usuário deve ter sempre o controle de suas informações. Assim, ele deve poder modificar, transportar ou excluir seus dados a qualquer momento e sem burocracias.

Além disso, cabe às empresas informar os motivos do armazenamento e tratamento dos dados de maneira clara, evitando truques como:

o uso de letras miúdas nos termos de adesão;
termos enormes e sem objetividade, nos quais a maioria das pessoas acaba pulando a leitura;
botões pré-selecionados, como “OK”, “Aceito”, “Sim” e outros que induzem à aceitação automática.

Basicamente, a LGPD exige que as companhias expliquem os motivos pelos quais estão capturando e tratando os dados de um usuário.

Essa justificativa deve ser clara e objetiva, contendo como usarão e quanto tempo ficarão com o dado, além de quando as informações serão “devolvidas” e tiradas da base das corporações.

A empresa também precisa oferecer meios para que o titular possa acessar e controlar seus dados a qualquer momento. Em caso de vazamentos ou alguma mudança em relação ao tratamento, é necessário notificar o titular imediatamente.

Também é preciso designar um responsável pelo controle e pelas práticas relacionadas aos dados.

Essa pessoa será a mediadora e assumirá quando houver qualquer tipo de entrave ou problema quanto às informações.

O profissional também deve orientar e esclarecer a lei a todos os colaboradores que estiverem diretamente envolvidos com os dados dos usuários.

Agora, vamos entender ponto a ponto cada item que é abordado na LGPD e o que se espera em relação a eles.

Dados Pessoais

O dado pessoal é aquele que permite, sozinho ou em conjunto com outros, a identificação de seu titular. Por meio dele, é possível descobrir nome, apelido, endereço de residência, e-mail, endereço IP, números de cartões e cookies.

São dados que as empresas devem garantir proteção, sendo utilizados somente para os fins autorizados pelo dono desses dados.

Dados Sensíveis

A lei também visa à proteção dos dados sensíveis, que contêm características ainda mais reveladoras sobre uma pessoa.

Alguns exemplos de dados sensíveis são: religião, etnia, sexo, posicionamento político, biometria, dados bancários e outras que permitam que um sistema ou ferramenta faça segmentação de grupos.

Essas informações exigem um cuidado ainda maior da empresa que se dispõe a armazenar e fazer o tratamento.

Tratamento de Dados

O tratamento de dados faz referência à utilização dos dados do usuário. Ou seja: o que a empresa faz ou pretende fazer com as informações coletadas?

Essas intenções devem estar claras para o usuário, que deverá consentir o uso dos dados para estes fins. Um exemplo é a comunicação entre bancos.

Sem a LGPD, os bancos interligam os dados dos seus clientes. Dessa forma, os dados bancários e financeiros do cliente de um banco pode ser consultado por outro banco, ainda que isso não seja uma prática ética ou legal.

Com a LGPD, o usuário terá garantida sua proteção ao crédito, já que ele terá que dar permissão para que seus dados possam ser comunicados entre bancos.

É importante reforçar que todas as autorizações devem estar explícitas e claras, ou seja, não serão válidos os consentimentos que forem dados a partir de letras miúdas ou textos muito longos e complexos, que possam confundir o usuário.

Esse consentimento, transparente e direto, é o que garante às empresas o direito de tratar os dados coletados, de acordo com os termos acordados.

Titular dos Dados

Titular dos dados é qualquer pessoa física que tenha passado dados e informações pessoais, de maneira virtual ou não.

O titular dos dados tem direitos sobre os seus dados, incluindo o direito ao esquecimento.

Se a pessoa estiver com dados sendo expostos em algum site, por exemplo, ainda que ela tenha autorizado a exposição no passado, se quiser retirar, ela tem direito à remoção imediata do conteúdo.

Outros direitos fundamentais da LGPD ao usuário é o direito ao acesso e o direito da informação, que permitem que ele saiba quais dados estão sendo armazenados pela empresa e o porquê.

O artigo 18 da LGPD prevê que o titular dos dados pode solicitar, a qualquer momento e sem necessidade de justificativas:

Confirmação da existência de tratamento dos seus dados;
O acesso aos seus dados;

Correção de dados incompletos, inexatos ou desatualizados;

Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD;
Portabilidade dos dados a outro fornecedor de serviço ou produto;
Eliminação dos dados pessoais tratados;
Informações das entidades públicas e privadas com as quais o controlador compartilhou os dados do usuário;
Informações sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
Revogação do consentimento;
Revisão por pessoa natural de decisões automatizadas.

O objetivo de dar ao titular os dados o controle total sobre suas informações é evitar que empresas se utilizem de brechas legais (ou desconhecimento dos usuários) para utilizar os dados a seu favor, como aconteceu no famoso caso da Cambridge Analytica.

Consentimento aos Dados

Quando falamos em dados, não temos como fugir do setor de TI. Afinal, é nessa área que as informações são processadas, armazenadas e tratadas. Portanto, a responsabilidade de seus profissionais aumenta a partir da lei.

Um dos fatores primordiais será a adoção do Privacy by Design

Ou seja: a privacidade passa a ser incorporada à arquitetura dos sistemas, dando acesso ao titular dos dados e permitindo o gerenciamento, a coleta e o tratamento de modo autônomo. Caberá ao setor de TI disponibilizar e incorporar esse novo modelo aos negócios.

A governança em TI é uma estratégia que irá dar o suporte necessário às empresas, garantindo suas políticas de segurança digital, privacidade e manutenção de ativos.

Anonimação e Pseudoanonimação

Uma das formas que a empresa tem que garantir a privacidade dos dados pessoais é utilizando técnicas de anonimação dos dados.

O processo envolve criptografar as informações, impossibilitando a ligação direta da informação com um usuário específico. Para fins de LGPD, dados anônimos não são considerados dados pessoais.

Já a pseudoanonimação dificulta a associação entre dado e usuário, mas não impede. Para a LGPD, mesmo que alguns dados sejam anonimizados, se ainda puderem permitir a ligação entre eles com os seus titulares, serão considerados como dados pessoais.

Controlador e Processador

Controlador e processador são duas figuras que fazem parte da LGPD, com responsabilidades diferentes em relação aos dados pessoais.

O controlador tem como responsabilidade tomar decisões relacionadas ao tratamento de dados. Para a LGPD, o controlador poderá ser a empresa ou a pessoa física que cumpre este papel, sendo responsabilizadas em caso de alguma infração.

O processador é aquele que executa o tratamento dos dados, de acordo com as orientações do controlador. Também pode ser uma pessoa física ou jurídica, e igualmente responde juridicamente em caso de descumprimento de alguma norma prevista em lei.

As penalidades vão desde a proibição das atividades pela empresa até multas altas, chegando a R$ 50 milhões por infração.

Um ponto que é importante trazer é que qualquer empresa que tenha contato ou relação com brasileiros devem se adequar à LGPD. Isso significa que empresas do exterior, ainda que de países sem legislação específica sobre o assunto, também devem respeitar e cumprir os termos da lei brasileira. No caso da empresa descumprir a LGPD, poderá ter suas atividades relacionadas a tratamento de dados interrompidas ou completamente proibidas. O descumprimento parcial, ou seja, as não conformidades, também trazem prejuízos. As multas podem corresponder a 2% do faturamento da empresa ou limitadas a R$ 50 milhões por infração. ATENÇÃO: Em caso de vazamento de dados, cada dado pode ser interpretado como uma infração! No art. 52 da LGPD, constam todas as sanções para caso de descumprimento. Confira: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração. Não existe, ainda, um órgão específico para regular a lei e as penalidades para as empresas. Dessa forma, as partes ambíguas da lei que dependem de interpretação podem acabar custando muito dinheiro à empresa. Portanto, é fundamental que as empresas providenciem todas as adequações necessárias e esperadas com a entrada da LGPD em vigor, revendo processos, planos de contingência e sistemas, se necessário.

Webinar: LGPD + Cibersegurança

Os profissionais de suporte de TI poderão utilizar a LGPD a seu favor, aproveitando as bases da legislação para vender seus serviços.

Trata-se de uma maneira de garantir as boas práticas de segurança de dados nas empresas, evitando multas e sanções por uso indevido.

Como os clientes que trabalham com a coleta de dados necessitarão de um cuidado maior com seus sistemas (backups mais rigorosos e proteção contra invasões), os profissionais de TI que dominarem a lei usarão esse embasamento para oferecer produtos e serviços personalizados.

O FOCO SERÁ A PREVENÇÃO E O TRATAMENTO LEGAL DAS INFORMAÇÕES.

Você é um profissional de TI que utiliza estratégias de Marketing Digital para conquistar novos clientes? Para isso, faz a prospecção de dados dos leads (potenciais clientes) por meio de formulários em landing pages e aplicativos?

Então, saiba que deverá também adaptar suas táticas de captação de dados com base na nova lei.

A LGPD veio para reduzir os abusos no uso de dados pessoais — que, se bem-estruturados, podem influenciar até em eleições.

No setor de TI, os profissionais devem estudar a norma a fundo para que possam oferecer um serviço mais segmentado, com base na proteção de dados, e desenvolver estratégias de marketing.

É importante lembrar que o uso de um software de gestão ajuda muito nesse novo cenário, pois a ferramenta permite uma gestão centralizada e com muito mais organização.

Assim, o monitoramento e a automação de ações com foco na segurança e proteção dos dados (como backups e atualizações) são facilitados.

Conclusão

A LGPD é necessária para assegurar a privacidade dos usuários e evitar a exposição não autorizada, é uma legislação nacional para regular a captação, armazenamento e tratamento de dados pessoais e sensíveis, garantindo a privacidade dos usuários.

Ela é aplicada dando ao titular dos dados o controle e direito total sobre suas informações, de forma que as empresas não possam mais se apoiar no desconhecimento do usuário, brechas legais ou estratégias para confundir o titular, utilizando os dados para seu próprio benefício.

É obrigatório, portanto, que as empresas que possuam atividades relacionadas ao tratamento de dados deixem claro ao usuário o objetivo da captura daquela informação, e a sua utilização. O usuário, então, pode autorizar ou não o compartilhamento ou tratamento daquele dado.

Além disso, o usuário também pode solicitar a remoção da informação do banco de dados da empresa, a qualquer momento.

O descumprimento da nova lei pode gerar grandes prejuízos à empresas, incluindo a interrupção total ou parcial das atividades relacionadas.

Prepare-se para a LGPD, que em poucos meses já estará em vigor. A utilização de um sistema de automação e controle para seus departamento de TI pode ser essencial para a gestão dos dados e facilitar as mudanças de processos.

TI 360

TERCEIRIZAÇÃO DE TI

TECNICO ALOCADO

MONITORAMENTO - NOC

Consultoria de TI

Infraestrutura de TI

SEGURANÇA

Backup Online Gerenciado

Análise de Vulnerabilidades

NEXT GENERATION FIREWALL

RECUPERAÇÃO DE DESASTRE

CLOUD

NUVEM PÚBLICA

NUVEM PRIVADA

NUVEM HÍBRIDA

MICROSOFT 365

GOOGLE WORKSPACE

REDE

CABEAMENTO ESTRUTURADO

PROJETOS DE CABEAMENTO

CERTIFICAÇÃO DE REDE

WIFI CORPORTATIVO