Skip to main content

8 perguntas e respostas sobre a LGPD

By 2 de junho de 2023janeiro 26th, 2024LGPD

8 perguntas e respostas sobre a LGPD

 

A  LGPD (Lei Geral de Proteção de Dados) (Lei Federal n. 13.709/2018) regulamenta a troca de informações entre pessoas físicas e pessoas jurídicas, sendo um marco na segurança digital.

Neste artigo apresentamos oito perguntas e respostas para profissionais e empresas se posicionarem durante  a adequação da nova regulamentação. Boa leitura!

1. Quais as bases da LGPD?

As leis de proteção de dados pessoais, na qual se inclui a LGPD, são baseadas na interpretação de que o direito à privacidade dos dados pessoais passa a ser um direito fundamental do cidadão.

A lei se baseou não apenas na lei europeia, GDPR, mas sim nos tempos modernos, pois a divulgação de dados pessoais na internet é um fenômeno recente, que não tinha lei específica. Hoje, são divulgados muitos dados pessoais na internet e os usuários/consumidores precisam saber como esses dados são utilizados.

2. Como essa lei impacta o mundo corporativo? E a sociedade em um geral?

A grande transformação que a lei traz é o direito das pessoas sobre a propriedade dos seus dados pessoais. Os titulares dos dados – ou seja, cada um de nós – é que dizem se o dado pode ser usado, como pode ser tratado e se e quando deve ser eliminado. Esta é a grande mudança na sociedade: nunca antes na história as pessoas puderam determinar como os seus dados pessoais seriam usados. Historicamente, existiam as leis de privacidade, de sigilo bancário, proteção aos dados de saúde, da ética profissional médica, ética profissional de advogados, mas nunca houve uma clareza de que o dado pessoal pertence à pessoa e que só pode ser utilizado com uma previsão legal. A previsão legal pode ser um contrato que a pessoa assina com uma empresa e aqueles dados pessoais serão usados para a prestação do serviço. No caso de serviços online, a previsão legal é o consentimento através do portal. A pessoa consente que o Google ou o Facebook, por exemplo, utilize seus dados para ações próprias.

Obviamente, esse consentimento e as mudanças necessárias não acontecem da noite para o dia. Estamos falando de uma transformação gradual em que as pessoas passam a entender como a LGPD funciona. Depende também de como as empresas cumprem a lei, tornando mais fácil ou mais difícil para as pessoas exercerem esse direito. Pode ser tão fácil quanto entrar no portal e dizer: “Apaguem os dados que vocês têm sobre mim” ou pode ser tão difícil quanto a enviar uma carta e ficar esperando um tempo longo para obter um retorno. Então a grande mudança na sociedade é o entendimento que as pessoas passam a ter sobre propriedade de seus dados pessoais.

E no mundo corporativo o impacto é diferente, porque influencia no modelo de negócio. Empresas que baseiam seus modelos de negócio na comercialização de dados pessoais sofrem um impacto muito forte. Empresas que utilizam dados pessoais apenas para cumprimento de contratos no sentido mais restrito, como a assinatura de um jornal ou como a venda de um produto, têm um impacto pequeno. Isso porque é basicamente cumprir a lei, mas isso não afeta o seu modelo de negócio.

3. Como as empresas podem se adequar para solicitar esses consentimentos?

As empresas devem utilizar soluções e sistemas para automatizar esse processo. Não é possível imaginar que esses consentimentos serão obtidos de uma forma manual. O que nós trazemos para o mercado, inclusive como solução, são sistemas de gestão de consentimento em que a empresa integrará os seus sistemas ao nosso, para a gestão de consentimento e facilitando as permissões através de um clique.

4. E os dados que já foram coletados?

Esses dados podem não estar sob a lei, porque eles foram coletados previamente. Mas, com a LGPD em vigor, torna-se necessário obter esse consentimento. 

5. E sem esse consentimento, os dados já fornecidos serão excluídos?

Não necessariamente. Como mencionado, existe a previsão legal do dado necessário para prestação do serviço. Se você tem um contrato, paga por uma assinatura e aqueles dados pessoais são necessários para que seja enviado um boleto ou cobrança, por lei aquele dado pode ser processado pela a empresa, mas apenas para prestação do serviço. Se aquela empresa utiliza seu nome, seu endereço ou se vender para uma lista de marketing, por exemplo, isso já necessitará do consentimento, com base na lei.

6. Como ocorre a fiscalização do cumprimento da lei?

Essa é sem dúvidas, a parte mais complexa. A Agência Nacional de Proteção de Dados (ANPD) é o órgão que regula tudo isso no Brasil. Mas diferentemente da GDPR nos países da Europa, aqui existem o Ministério Público e órgãos de proteção ao consumidor. Esses órgãos atuam fortemente na proteção dos dados pessoais.

Aqui no Brasil, diferente da Europa, vemos que o MP é um órgão fiscalizador importante. A ANPD pode exigir relatórios a qualquer momento. Havendo uma suspeita ou comunicação de um vazamento de informação, ela notificará a empresa exigindo a confirmação da ocorrência e informações sobre os relatórios de impacto, que descrevem como os dados estão sendo protegidos. A partir do que a empresa responder, poderá ser aberto ou não uma investigação, que pode até envolver o Ministério Público.

7. Quais os tipos de dados são protegidos?

São os dados relativos às pessoas naturais e os dados chamados identificáveis. Se a empresa utiliza um código interno para designar que determinada pessoa é a dona daquele número de CPF, esse código interno é um dado identificável e precisará ser protegido da mesma forma.

As empresas devem ter o cuidado de identificar dentro dos seus bancos de dados, quais são os dados identificáveis. Um cookie, por exemplo, que é uma técnica utilizada para identificar o navegador de internet quando navegamos no site. Neste caso, o site grava um código no navegador do usuário e esse código passa a identificar aquele computador, ainda não necessariamente àquela pessoa. A partir do momento que a pessoa faz o login no site, por exemplo, está vinculado o código ao login e já é possível identifica-la. Então, aquele código também é um dado identificável e está sob a lei.

8. Como posso proteger os dados coletados?

O primeiro passo para a empresa proteger os dados coletados, é saber quais são os dados pessoais que armazena, coleta e processa. Isto é um inventário de dados que precisa ser feito para identificar todos dados pessoais, dados identificáveis e dados pessoais sensíveis.

A empresa precisará fazer um mapeamento e tratar com níveis de rigor diferentes os dados protegidos pela lei.

Isso pode ser feito através de processos e de sistemas que garantem que somente as pessoas autorizadas terão acesso aos dados pessoais, e garantindo, que estarão protegidos de vazamentos acidentais. Para isso além do inventário é necessário implantar processos e ferramentas de sistemas, como gestão de acessos e identidades (GIA ou IAM na sigla em inglês), além de outros sistemas complementares, de acordo com o tamanho da empresa.

Você pode se interessar também pelos artigos: