Ainda que a segurança de dados seja um assunto muito importante, a verdade é que, até 2018, o Brasil ainda não contava com uma legislação que garantisse a segurança de dados dos seus consumidores. Mas isso mudou com a aprovação da Lei Geral de Proteção de Dados (LGPD).
Baseada na General Data Protection Regulation (GDPR) – regulamentação da União Europeia com o mesmo fim, que entrou em vigor em maio de 2018 – a lei, sancionada em agosto do referido ano, aparece para proteger os cidadãos brasileiros da exposição de dados pessoais e para inibir o uso indevido e sem autorização dessas informações.
Quer saber mais sobre a LGPD e a segurança de dados? Vem com a gente!
E o que sua empresa tem a ver com a segurança de dados?
Bem, se seu negócio lida com dados pessoais dos consumidores, é certo que a nova legislação impacta na sua operação. Especialmente porque ela prevê altas penalidades para quem não estiver de acordo com seus princípios e boas práticas. Ou seja, qualquer erro pode sair muito caro para a sua empresa.
Mas, calma! Antes de se desesperar e acionar seu advogado, que tal entender melhor o que propõe essa lei que garante a segurança de dados?
Nós explicamos os aspectos mais importantes oferecendo uma boa ideia de como a regulamentação afeta a rotina do seu negócio e os pontos de atenção para sua empresa.
A importância das leis de segurança de dados
Como todos sabemos, a manipulação de dados faz parte da rotina de empresas e consumidores. Uma relação de troca e confiança que, infelizmente, – seja por má fé ou simplesmente por falhas operacionais – acaba sendo quebrada. E num cenário sem regras ou penalidades bem definidas, são os usuários desses serviços que acabam no prejuízo, muitas vezes irreparáveis.
Daí a importância de leis como a GDPR e a LGPD, que trazem segurança jurídica para os cidadãos e inibem o descuido, por parte das empresas, na manipulação e processamento de dados. Isso porque um mesmo documento consegue regular a atividade econômica digital, vetando práticas já malvistas ou mesmo ilegais, como o cookie pool e a venda de base.
A regulamentação oferece, ainda, mais liberdade e transparência para que usuários saibam quais dados estão sendo coletados, como e para que finalidade, permitindo que essas pessoas suspendam o compartilhamento e a autorização para o uso dessas informações, a qualquer momento.
Além disso, a lei de segurança de dados traz flexibilidade, uma vez que pode ser adaptada de acordo com os avanços tecnológicos e, melhor: abre, também, o mercado para parcerias internacionais, uma vez que, países que seguem leis similares restringem suas relações comerciais à empresas de países que garantam a segurança de dados.
A dinâmica das leis
Tanto a GDPR quanto a LGPD consideram três principais indivíduos, classificados pela lei de acordo com sua posição na relação dos dados. São eles:
Controlador: Empresas que detém os dados e a quem competem as decisões acerca de como os dados serão tratados.
Operador: Organizações responsáveis por processar e tratar esses dados em nome do controlador.
Titulares: Indivíduos aos quais aquelas informações pertencem.
Um exemplo: Vamos supor que você tenha um e-commerce e contrate os serviços da All iN para cadastrar e se comunicar com o seus usuários. Nesse cenário, sua empresa seria o Controlador dos dados fornecidos pelos usuários do seu site; a All in o Operador, responsável por processar e tratar essas informações; e o seu consumidor final seria o Titular dos dados.
Ok! Mas o que são considerados “dados pessoais” para as leis de segurança de dados?
Bem, para essas leis de segurança de dados, os dados pessoais são todos aqueles dados referentes à pessoa natural identificada ou identificável. Ou seja, todas aquelas informações que permitem que as empresas entendam que quem está por trás da tela do seu computador agorinha mesmo é você, ou que consigam individualizar o usuário para alguma outra finalidade.
É importante destacar que alguns dados não permitem atribuir uma identidade ao usuário. No entanto, se essas informações anônimas forem complementadas com outros dados, como endereço de e-mail, ou de alguma forma permitirem que a empresa atinja o usuário de forma individualizada, esta pessoa acaba sendo identificada e a lei de segurança de dados passa a valer para ela.
E quais são os princípios da lei?
Como a LGPD foi baseada na lei europeia de segurança de dados, apresenta basicamente os mesmos princípios e eles funcionam de forma complementar. Isto é: cada princípio traz implicações para os outros. Os princípios são:
1- Finalidade
Dados coletados só podem ser tratados para fins legítimos e especificados aos titulares. Ou seja: as empresas não podem coletar informações e, depois, usá-las para outros fins.
Ex: Você tem um blog, onde pessoas podem se cadastrar para receber conteúdos, e resolve criar um e-commerce de livros. Você não pode usar sua base de leads cadastrados do blog para divulgar suas ofertas da loja virtual.
2- Adequação
O tratamento dos dados deve ser compatível com a finalidade que foi informada para o usuário. Então, as empresas não podem usar os dados dos seus usuários para qualquer fim que não tenha sido previamente informado.
Ex: Se seu usuário deu permissão para envio apenas de e-mails, você não deve usar suas informações para enviar comunicações através de outros canais.
3- Necessidade
Os dados devem ter seu uso limitado ao necessário para realização das suas finalidades. Isto é, as empresas devem coletar apenas aquelas informações estritamente necessárias para prestação dos seus serviços.
Ex: Se o seu objetivo é disparar e-mails, não tem por que pedir informações como número do telefone ou endereço.
4- Livre acesso
Os titulares dos dados devem sempre ter acesso fácil e gratuito às suas informações, serem informados sobre como esses dados estão sendo usados e por quanto tempo eles serão tratados.
Ex: Um cliente, cadastrado na sua base há 6 meses, pode decidir revisar suas informações e/ou excluir dados que não queira mais compartilhar com sua empresa.
5- Qualidade dos dados
Este é um princípio que garante aos titulares que seus dados serão exatos, terão informações claras, relevantes e atualizadas para tratamento.
Ex: Se seu cliente, cadastrado na sua base há algum tempo, notar que os dados estão desatualizados, poderá solicitar alteração a qualquer momento.
6- Transparência
O objetivo desse princípio é garantir aos usuários informações claras e de fácil acesso sobre o tratamento dos seus dados e sobre quem são os responsáveis por tratá-los.
Ex: Se seu cliente receber um SMS da sua marca falando sobre uma promoção limitada à região onde ele mora, pode questionar o motivo para que tenha recebido essa mensagem e qual critério usaram para selecioná-lo para o envio.
7- Segurança
Define que as empresas que tratam de dados devem adotar medidas para proteger essas informações de acessos não autorizados, de eventos acidentais ou ilícitos de destruição, alteração, perda, comunicação ou difusão.
Ex: Seu cliente informou o número do seu cartão de crédito e o CCV para realizar uma compra, é responsabilidade da empresa proteger esses dados para que esse usuário não sofra fraudes.
8- Prevenção
As empresas que tratam de dados devem adotar medidas para prevenir a ocorrência de danos no tratamento dessas informações.
Na prática: Se sua empresa usa dados pessoais, deve ter meios de assegurar que não ocorrerão invasões aos computadores, servidores e tomar outras medidas de segurança de dados, garantindo a proteção do cliente.
9- Não discriminação
De acordo com esse princípio, os dados não podem ser utilizados para fins discriminatórios, ilícitos ou abusivos.
Ex: Sabendo que, em São Paulo, o valor médio de um produto é de R$700 e, em Natal, o mesmo produto custa R$500, a venda desse artigo por preços diferentes de acordo com a região dos usuários que você consegue identificar é uma prática proibida.
10- Responsabilização e prestação de contas
Este princípio fala que as empresas têm que se responsabilizar pelos dados e, para isso, têm o dever de mostrar quem são os parceiros responsáveis pelo tratamento dessas informações, tendo também o dever de determinar um encarregado pela tarefa.
Ex: Você deve possuir em sua empresa a documentação que comprove que o tratamento de dados está sendo realizado de forma regular, em concordância com a lei.
E quais são os direitos dos usuários?
Além dos seus princípios, as leis de segurança de dados garantem também alguns direitos aos titulares dessas informações. Portanto, de acordo com as novas normas, os usuários que acessam um site e têm seus dados coletados e processados têm o direito de:
1- serem informados que a empresa está realizado tratamento de seus dados;
2- ter acesso aos dados que são coletados;
3- corrigir dados incompletos ou desatualizados;
4- solicitar anonimização, bloqueio ou eliminação de dados desnecessários a qualquer momento;
5- solicitar a portabilidade dos dados. Ou seja, se desejar, o usuário pode ter os seus dados transferidos para outra organização;
6- pedir a eliminação dos seus dados da base de uma empresa, com garantia de que isso aconteça;
7- ser informado sobre o compartilhamento de seus dados com outras entidades, públicas ou privadas, caso isso seja necessário;
8- ser informado sobre a possibilidade de não consentir com o compartilhamento dos seus dados com um site, dando ciência das consequências do não consentimento;
9- informar a empresa que trata seus dados que não quer mais estar na base, revogando o seu consentimento;
10- solicitar a revisão de decisões tomadas por computadores com base em tratamento automatizado de dados pessoais, solicitando informações claras sobre como aquela decisão foi tomada, observados os segredos comerciais e industriais, hipótese em que a autoridade nacional poderá ser acionada para verificar tais questões.
Ex: Se um site de empréstimos validar automaticamente seu crédito a partir de informações de banco de dados, você pode pedir que a análise seja refeita ou pedir informações sobre como aquela decisão foi tomada.
E eu, como empresa: o que preciso fazer para lidar com dados dentro da lei?
Tudo bem, deu para entender bem os princípios que regem a lei de segurança de dados e ter uma boa ideia da extensão dos direitos dos usuários. Mas quais são os requisitos que as empresas precisam atender para que possam coletar e tratar dados?
Bem, caso você tenha curiosidade de consultar a lei, essas condições, em específico, estão dispostas no art. 7º. E quem avisa, amigo é: essa parte da lei é taxativa. Ou seja, ela não admite que os dados sejam tratados de qualquer outra forma, diferente do que foi especificado no texto.
Então é bom ficar de olho em cada um dos requisitos. Nós explicamos um a um, dá só uma olhada:
1- Consentimento
O primeiro requisito que as empresas precisam cumprir para lidar com dados é, talvez, o mais importante para e-commerces e sites, quando se trata de tratamento para fins de marketing. Trata-se do requisito de “consentimento”, fornecido pelo titular das informações que serão coletadas e tratadas.
Mas, não se engane. Não é tão simples quanto aquele conhecido “clicar no ‘ok’ significa que você aceita nossos termos de uso”.
Agora, além de estar de acordo com todos os princípios da LGPD, as empresas precisam deixar seus usuários bem cientes sobre o que ele está consentindo, incluindo que tipo de dados serão coletados, como eles serão tratados, para quais finalidades e avisá-lo sobre todos os seus direitos.
Um exemplo de boas práticas desse requisito – coisa que você pode ter visto em alguns sites ultimamente – é aquele “aviso de cookies”.
Ele informa ao usuário que, ao acessar aquele site, a empresa estará coletando um pacote de dados, chamado de cookies.
E mais: o aviso específica o objetivo da ação – que, em geral, é de melhorar a experiência de navegação – e avisa para o titular dos dados que, a partir do momento em que ele ceder algum dado pessoal (como seu perfil em redes sociais ou e-mail), terá essas informações vinculadas ao seus dados de navegação.
É importante, ainda, reavaliar a política de tratamento de dados da empresa e ver se ela está de fácil entendimento e se explica tudo de forma transparente ao titular, garantindo a adequação às leis de segurança de dados.
2- Cumprimento de obrigação legal ou regulatória
O segundo requisito diz respeito ao “cumprimento de obrigação legal ou regulatória” e, nesses casos, garante ao Controlador o tratamento dos dados.
Um exemplo é o caso das empresas de telefonia que guardam dados de IP e demais conexões, que podem identificar um usuário, para fins de cumprimento da legislação.
3- Administração Pública
A administração pública pode tratar dados quando essas informações forem necessárias para execução de políticas públicas, previstas em leis e regulamentos ou respaldadas em contratos, convênios e outros instrumentos.
4- Realização de estudos por órgão de pesquisa
É possível, ainda, o tratamento de dados para estudos, quando realizados por um órgão de pesquisa. No entanto, é importante ressaltar que, em primeiro lugar, essas instituições devem buscar anonimizar essas informações.
5- Execução de contrato ou procedimento preliminar
Empresas podem tratar dados, da mesma forma, para “execução de um contrato ou em procedimentos preliminares”, relacionados a um contrato, a pedido do titular de dados.
Um exemplo? Quando a pessoa vai pedir um empréstimo e a organização precisa dos dados desse indivíduo para fazer uma avaliação de crédito.
6- Exercício regular de direitos em processos
O “exercício regular de direito em processos” também autoriza o tratamento de dados.
Mas, o que é isso? Basicamente, dentro dos processos, as instituições acabam lidando com dados pessoais de terceiros – seja para qualificação, para indicar bens que um devedor possua, entre outros. Então a lei já traz essa hipótese, para garantir que, nesses casos, seja possível tratar dados pessoais.
7- Proteção da vida ou incolumidade física
Outra possibilidade é o tratamento de dados para a “proteção da vida ou da incolumidade física” do titular ou de terceiro.
Por exemplo: imagine que uma pessoa passa mal e precisa ser internada às pressas. Será necessário manipular seus dados para dar entrada no hospital, contatar seus parentes, etc.
8- Tutela da saúde
“Tutela da saúde” também entra como possibilidade para o tratamento de dados, quando se tratarem de procedimentos feitos por profissionais da área da saúde ou entidades sanitárias. Exemplos são as pesquisas para combate de epidemia de doenças como a dengue, estudos e levantamentos sobre questões de saúde, entre outros.
9- Atender interesses legítimos do controlador ou terceiro
O “atendimento de interesses legítimos do controlador ou terceiro” também pode ser utilizado como fundamento para legitimar o tratamento de dados, quando não conflitarem com direitos ou liberdades fundamentais do titular.
O interesse legítimo é um termo utilizado no direito brasileiro para outras finalidades, mas que foi incorporado a essa legislação pois também é usado na GDPR. Em analogia, podemos dizer que esse termo é bastante genérico e visa ser flexível para que a lei não fique defasada rapidamente.
Esse termo não é uma carta branca para que empresas façam uso de dados como quiserem. É, na verdade, para não causar empecilhos para que algumas instituições, como bancos, que precisam manipular dados para efetuar transações com eficiência.
Um exemplo? No caso de uma transferência de valores de um cliente do banco X para o banco Y. Se o banco Y precisasse pedir consentimento para o cliente do banco X toda vez que precisasse efetuar essa operação, isso poderia causar inúmeros transtornos. Afinal, os bancos realizam centenas de milhares de operações bancárias todos os dias. O art. 10 disciplina essa matéria.
10- Proteção de crédito
Por fim, a outra hipótese – e, provavelmente, a mais temida pelos brasileiros – é para “proteção do crédito”. Como, por exemplo, o envio de informações de um devedor para o Serasa ou cartórios de protesto de título.
Direitos de acesso do titular segundo a lei de segurança de dados
O art.9º da LGPD traz para o titular, ainda, os direitos de acesso facilitado às informações. Isso significa que os Controladores dos dados devem informar os titulares sobre:
- a finalidade específica do tratamento dos dados;
- a forma e duração do tratamento;
- a identificação do controlador;
- as informações de contato do controlador;
- as informações acerca do uso compartilhado de dados pelo controlador e a finalidade do compartilhamento;
- as responsabilidades dos agentes que realizarão o tratamento;
- e os direitos do titular, com menção explícita aos direitos contidos no art. 18 da Lei.
E como a empresa deve fazer tudo isso? O processo não é tão simples quanto parece. Além do aviso de cookies, você pode atualizar sua política de privacidade, criar uma política de cookies e informar tudo isso ao seu visitante, para iniciar o processo.
Tratamento de dados de crianças e adolescentes
Quando falamos de crianças e adolescentes, a lei de segurança de dados exige um cuidado maior com a manipulação destes dados.
De acordo com o art. 20, para se colher e tratar dados de crianças, menores de 12 anos, deve-se ter o consentimento de um dos pais ou responsável legal. Aliás, os dados só podem ser coletados sem consentimento para contatar os responsáveis.
Além disso, os tipos de dados, a forma como serão utilizados e procedimentos para exercício de direitos devem ser divulgados; não é permitido condicionar a coleta dessas informações com jogos, apps, etc.
Outro ponto importante é que as informações sobre o tratamento dos dados devem ser claras, de acordo com as características do usuário. Isso quer dizer que, se você está falando com uma criança, você não pode usar jargões jurídicos ou uma linguagem de difícil acesso e compreensão, por exemplo.
Posso manter os dados para sempre?
De acordo com o art. 15 da lei de segurança de dados, o tratamento dos dados precisa ter data marcada para ser interrompido. O que faz sentido, uma vez que as empresas precisam informar o prazo e finalidade para manipulação dessas informações.
Portanto o tratamento precisa ser encerrado assim que a finalidade for alcançada ou os dados não forem mais necessários; assim que alcançar a data limite para o fim do período de tratamento; quando o titular comunicar à empresa que não quer mais que seus dados sejam tratados; ou se a autoridade nacional determinar esse encerramento.
Por outro lado, o art. 16 da LGPD determina também algumas exceções para que as empresas possam continuar o tratamento de dados por prazo indeterminado.
Por exemplo, quando o controlador precisa cumprir alguma obrigação legal e, para tal, precise tratar esses dados; no caso de estudos por órgão de pesquisa, garantida, se possível, a anonimização; para transferência a terceiros; e para o uso exclusivo do controlador, desde que os dados sejam anonimizados.
Penalidades – por que é tão importante que a empresa esteja operando dentro da lei de segurança de dados?
Como a gente falou, as novas leis de segurança de dados aparecem para dar mais segurança para usuários de serviços que envolvem a coleta e processamento de dados.
Para reforçar sua importância, não só como um mecanismo de prezar pela boa relação entre consumidores e empresas, mas como uma legislação que previne o vazamento de informações pessoais e repara esses usuários quando são vítimas de vazamento de dados, a norma conta com penalidades que podem pesar – e muito – no bolso das empresas.
As empresas que não respeitarem a lei de segurança de dados podem:
- ter os dados irregulares bloqueados de uso até sua regularização ou eliminação dos dados a que se referem a infração;
- receber multas simples ou diárias de até 2% do faturamento da empresa, limitado a R$50 milhões por infração;
- multa diária, com base na limitação exposta acima;
- ter sua infração amplamente divulgada.
Conclusão: quando a lei começa a valer e como me preparar
Deu pra ver que, com a lei de segurança de dados, os direitos dos usuários de serviços que exigem o tratamento de dados estão bem alinhados com uma tendência global, que visa proteger a privacidade dos cidadãos e garantir que empresas tenham acesso e manipulem o mínimo possível de informações.
E mais: a legislação reforça a importância de as marcas investirem, cada vez mais, no seu relacionamento com os clientes. Afinal, é essa proximidade que vai garantir que a sua empresa se destaque no mercado, ganhando o consentimento para interagir com seus consumidores.
A gente sabe que muita coisa na regulamentação pode parecer repetida. Mas, a verdade é que seus capítulos são complementares. Isso para formar uma legislação robusta e redonda, que seja efetiva.
E aí, agora a lei de segurança de dados ficou mais clara para você? Sua empresa já está alinhada a LGPD? Conta para a gente nos comentários! Ah, e não esquece de clicar no banner para conhecer os serviços All in, hein!