Prévia do material em texto
Proteção de Dados: Você está preparado? E-Book 1 - A Formação da Sociedade de Dados Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações PROTEÇÃO DE DADOS: VOCÊ ESTÁ PREPARADO? Essa é uma Coleção de E-books para deixar você informado sobre a importância da coleta, análise e tratamento de todo o tipo de dados, para todos os setores do negócio, além de deixar você preparado para a Lei Geral de Proteção de Dados n.º 13.709 - a LGPD - que se aplica a todas as empresas do Brasil. E-Book 1 - A Formação da Sociedade de Dados E-Book 2 - Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Agora que você já acessou o E-Book 1 - A Formação da Sociedade de Dados e já sabe como a coleta, análise e tratamento de dados é relevante para todos os setores do negócio, é importante conhecer a Lei Geral de Proteção de Dados n.º 13.709, a LGPD, bem como a dinâmica das novas regulamentações, quais questões estão em aberto e quais os desafios dos pequenos negócios para a adequação. A lei nº 13.709, ou LGPD, foi aprovada em agosto de 2018, para entrar em vigor a partir de 31 de dezembro de 2020, cujas sanções, para quem desrespeitar as regras, serão aplicadas a partir de 1º de agosto de 2021. Como vimos, a Lei Geral de Proteção de Dados Pessoais foi criada para buscar garantir a privacidade dos titulares de dados no Brasil, com uma melhor segurança no uso e tratamento de dados. Apesar de inovadora, a LGPD não é a primeira lei que trata do assunto: o Código de Defesa do Consumidor, a Lei de Acesso à Informação, o Marco Civil da Internet e, até mesmo, a própria Constituição Federal possuem pequenos textos sobre o assunto. O diferencial da nova lei é que ela trata especificamente da segurança, esclarecendo as informações contidas nas leis anteriores. Essa lei tem por objetivo padronizar as normas e práticas do tratamento das informações e promover a proteção aos dados pessoais para todos os cidadãos que residam no Brasil. Ao fazer essa padronização, a LGPD busca fornecer uma maior segurança tanto para as empresas quanto para os consumidores, que podem saber com precisão quais são as leis aplicáveis, seus direitos e deveres. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Logo de início, a lei define dois conceitos muito importantes, o de dados pessoais e o de dados pessoais sensíveis. Independentemente do tipo de dado, a LGPD estabelece que todos os dados estão sujeitos às mesmas leis, estando eles em meio físico ou digital. Além disso, segundo a LGPD, o local onde o tratamento dos dados acontece não importa. Se as pessoas afetadas estão em território brasileiro, a lei se aplica. De olho nos conceitos: tipos de dados Um dado pessoal é, basicamente, qualquer informação de uma pessoa que permita sua identificação, como, por exemplo, seu nome, foto ou mesmo data e local de nascimento. Já os dados pessoais sensíveis são informações relativas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, saúde, vida sexual ou dado genético ou biométrico. A lei ainda dispõe sobre o dado anonimizado, que é o dado que já foi pessoal, mas que foi tratado de alguma forma que tornou impossível descobrir de qual pessoa ele é, ou seja, quem é o seu titular. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Um dos principais elementos defendidos pela LGPD é o consentimento, ou seja, a manifestação livre pela qual o titular permite o uso dos dados. Isso quer dizer que, se a pessoa não consentir, os seus dados não podem ser usados de forma alguma pela empresa. Existem, porém, algumas exceções a essa regra. A lei permite tratar dados sem o consentimento se isso for indispensável para, por exemplo, cumprir uma obrigação legal, preservar a vida e a integridade física de uma pessoa ou prevenir fraudes contra o titular. Fundamentos da LGPD O artigo 2º da lei 13.709 decreta os fundamentos gerais da proteção de dados. São eles: I – O respeito à privacidade; II – A autodeterminação informativa, que é o direito do cidadão ao controle e à proteção de seus dados pessoais; III – A liberdade de expressão, de informação, de comunicação e de opinião, que são direitos previstos na Constituição brasileira; IV – A inviolabilidade da intimidade, da honra e da imagem; V – O desenvolvimento econômico e tecnológico e a inovação, a partir da criação de um cenário de segurança jurídica em todo o país; VI – A livre iniciativa, a livre concorrência e a defesa do consumidor, por meio de regras claras e válidas para todo o setor privado; VII – Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas; Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Como o foco da lei é garantir os direitos do cidadão à privacidade, liberdade e ao controle de seus dados, esses são pontos recorrentes em seu texto. Toda pessoa pode, por exemplo, solicitar que seus dados sejam deletados, revogar um consentimento dado anteriormente e transferir dados para um fornecedor de serviços diferente daquele para quem consentiu o seu uso num primeiro momento. Além disso, o tratamento dos dados deve ser feito levandose em conta alguns quesitos que precisam ser previamente definidos e informados ao cidadão. Ele deve ser informado, por exemplo, sobre o porquê de estarem usando os seus dados, como será feito esse uso e qual será a finalidade da organização ao tratar as suas informações pessoais. O cidadão também deve ser informado sobre quais são os seus poderes nesse processo e como ele poderá intervir na maneira como os seus dados estão sendo utilizados, caso ache necessário. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Fiscalização e conscientização Para garantir que a lei seja cumprida, o governo propôs a criação da chamada Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Dentre outras coisas, a ANPD é responsável por fiscalizar a aplicação da LGPD e, caso haja infração, penalizar os seus infratores. E não se engane: as penas aplicáveis podem ser graves, dependendo do tipo de crime cometido. Falhas de segurança, por exemplo, estão sujeitas à multas de até 2% do faturamento anual da organização, o que pode resultar em um pagamento de até R$ 50 milhões por infração! Outras possíveis medidas são advertências, publicação da infração e eliminação ou bloqueio dos dados pessoais. Cabe a ANPD julgar a gravidade da falha e aplicar a penalidade de acordo, além de enviar alertas e orientações antes da aplicação de tais sanções. Por fim, dentre as obrigações da ANPD, está ainda a tarefa de orientar preventivamente sobre as normas previstas na lei 13.709. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Para reduzir a carga sobre a ANPD relacionada à conscientização sobre o trabalho com dados pessoais, a LGPD também estipula que as organizações deverão ter seus próprios agentes de tratamento de dados. Esses agentes podem assumir três funções distintas: Controlador Pessoa responsável pelas decisões referentes ao tratamento de dados. O controlador também é o responsável por redigir os chamados “relatórios de impacto à proteção de dados pessoais”, que compilam todos os processos de tratamentos de dados que podem gerar riscos. Operador Pessoa responsável pela execução das atividades definidas pelo controlador. EncarregadoPessoa encarregada de gerenciar a comunicação entre a empresa, o titular e a ANPD. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Além da designação dos agentes, as organizações ainda possuem mais uma responsabilidade importante: administrar os riscos e falhas. Isso significa que os agentes responsáveis devem tomar várias medidas de controle e segurança, como: redigir normas de governança para sua empresa, replicar boas práticas e certificações existentes no mercado, fazer auditorias e resolver incidentes com agilidade. No fim das contas, o que a lei mais espera das empresas é a boa-fé no tratamento dos dados pessoais coletados. Elas devem ter plena consciência de seus objetivos ao coletar e analisar essas informações pessoais, garantindo que o uso delas é necessário, consentido e não tem o potencial de prejudicar o seu titular. Em outras palavras, as organizações precisam seguir os dez princípios estabelecidos pela LGPD, que sintetizam claramente a conduta esperada. USO DE DADOS, SEGURANÇA E PRIVACIDADE 1. Finalidade: especificar e informar explicitamente a finalidade ao titular. 2. Adequação: uma vez acordada a finalidade, ter um tratamento adequado de acordo com ela. 3. Necessidade: limitar o uso de dados pessoais, trabalhando apenas com aqueles realmente necessários para alcançar a finalidade inicial. 4. Livre acesso: garantir que as pessoas possam acessar de forma fácil e gratuita a forma como os seus dados estão sendo tratados. 5. Qualidade dos dados: manter os dados atualizados, exatos, claros, e relevantes às necessidades e finalidades originais. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações 6. Transparência: garantir que as informações dadas aos clientes sobre como os seus dados estão sendo usadas sejam claras e acessíveis. 7. Segurança: usar medidas técnicas e administrativas para proteger os dados pessoais de acidentes ou atos ilícitos, como a destruição ou a alteração deles. 8. Prevenção: adotar medidas para prevenir danos ao titular ou outros. 9. Não discriminação: não permitir o tratamento de dados de forma discriminatória, ilícita ou abusiva. 10. Responsabilização: o agente deve mostrar que está tomando as medidas de segurança necessárias e que elas são efetivas. Veja Mais Se tiver interesse ou curiosidade, a LGPD está disponível integralmente na Internet e pode ser acessada por qualquer pessoa por meio do endereço: http://www. planalto.gov.br/ ccivil_03/_ato2015- 2018/2018/lei/L13709.htm. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Agora que você conhece mais sobre a Lei n.º 13.709 - LGPD, é importante que você saiba que essa Lei é válida para todas as empresas do Brasil, que devem dar atenção especial à coleta e tratamento de dados de seus clientes. Mas, para uma empresa que está começando ou que ainda não se adaptou à realidade da lei nº 13.709, o que exatamente isso significa? Como as empresas podem se adaptar para estar em concordância com a LGPD? Dinâmica das Novas Regulamentações: questões em aberto e desafios Adequando sua empresa à LGPD O processo de adaptação da sua empresa não precisa ser complicado, mas é necessário estar atento a alguns pontos importantes. Para começar, é importante mapear quais são os dados pessoais tratados em seu negócio, analisando onde eles estão, como são armazenados e quem possui acesso a eles. Uma vez que você conheça bem os dados que coleta, é hora de responder à pergunta: esses dados são realmente necessários para o funcionamento da minha empresa? Dados pessoais sensíveis exigem tratamento diferenciado e, por isso, é muito importante que você investigue se a sua organização coleta dados desse tipo. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Após a organização inicial dos dados, a empresa deve considerar a adoção de ações e posturas que contribuam para a criação de uma cultura de segurança de dados na empresa. A seguir, listamos algumas ações que a sua empresa deve adotar para favorecer a segurança dos dados pessoais coletados por ela: » Informe ao titular quais dados serão coletados, com quais objetivos, onde serão armazenados e quais direitos ele possui; » Divulgue, de forma clara e atualizada, em algum meio acessível, as situações em que sua empresa utilizará dados pessoais e como esse uso acontecerá; » Informe e conscientize os colaboradores associados à sua organização sobre a importância de se ter cuidado no manejo dos dados; » Se for necessário, contrate profissionais e tenha um setor específico para cuidar dessa segurança; » Faça bom uso da tecnologia: adapte procedimentos e formulários impressos e mantenha uma base de dados simplificada. Com isso, você terá uma noção clara da quantidade e qualidade dos seus dados e pode responder às demandas dos clientes com agilidade; » Esteja preparado para eventuais problemas. Crie protocolos para saber o que fazer em caso de vazamento ou tratamento indevido dos dados pessoais. Essas situações devem ser notificas ao titular e à ANPD imediatamente; » Analise os riscos desses acontecimentos e crie medidas que minimizem as suas consequências; » Não transfira dados pessoais à outras entidades privadas sem o consentimento do titular, mesmo que ele já tenha consentido ao seu uso pela sua organização. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Se tiver dúvidas em relação a algum procedimento que envolva o tratamento de dados pessoais, consulte a legislação ou autoridades especializadas no assunto! DICAS E EXEMPLOS: O QUE VOCÊ PODE FAZER Para saber quais medidas tomar para adaptar a sua empresa, você precisa avaliar qual o estado atual dela, ou seja, como ela está em relação aos princípios e às demandas da LGPD. De todos aqueles dez princípios que vimos acima, podemos nos orientar a partir de três para pensar nas adaptações: transparência, segurança e responsabilização. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Transparência Os momentos em que se usam dados em pequenas e médias empresas nem sempre são claros. Basicamente, em qualquer situação em que você precisar de alguma informação dos seus clientes – seja nome, CPF, preferências ou hábitos –, precisa deixar claro o que é e para que está pedindo. O que a sua empresa fará com os dados? Se a sua empresa tem um programa de fidelização que pede nome, idade e CPF para garantir descontos e ofertas, por exemplo, ela precisará explicar todas as formas em que ele poderá ser usado: ter controle da quantidade de clientes e identificar o que cada um está consumindo são alguns possíveis usos. Isso vale também para pesquisas de satisfação, cadastros em promoções, ou qualquer outra atividade em que sua empresa solicite dados pessoais. Para se garantir legalmente, é importante ter todos os esclarecimentos para o cliente, bem como o consentimento dele, por escrito. E é aqui que está talvez a parte mais complicada da transparência: elaborar um documento que seja ao mesmo tempo simples, curto, fácil de entender e completo. Por um lado, é importante que todas as informações necessárias estejam presentes. Por outro, de nada adianta ter um contrato de 20 páginas cheio de termos complicados que nenhum cliente vai ler ou entender. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Transparência Os momentos em que se usam dados em pequenas e médias empresas nem sempresão claros. Basicamente, em qualquer situação em que você precisar de alguma informação dos seus clientes – seja nome, CPF, preferências ou hábitos –, precisa deixar claro o que é e para que está pedindo. O que a sua empresa fará com os dados? A sua responsabilidade com a transparência não termina com o consentimento à coleta de dados. Enquanto sua empresa ainda tiver os dados pessoais de um cliente, ele precisa saber que pode, a qualquer momento, conferir como estão sendo usados e pedir para que sejam retirados do seu banco. Tenha uma pessoa encarregada de fazer esse contato e estabeleça um canal voltado para isso: pode ser uma página na Internet, um telefone para ligações ou mensagens, um espaço físico ou todas essas opções. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Segurança Garantir a segurança dos dados de seus clientes significa mantê-los íntegros, claros e apenas ao alcance de quem tiver sido permitido por eles. Se você tem registros físicos, com contratos e termos em papel, a forma de fazer isso é guardandoos em locais adequados em que as folhas não serão danificadas ou perdidas, num espaço restrito para os colaboradores selecionados da sua empresa. A segurança de dados virtuais segue a mesma ideia. É preciso armazená-los de forma organizada, em computadores que estejam em bom estado e protegidos por senhas conhecidas apenas pelas pessoas responsáveis por eles. Pode ser interessante restringir o acesso dos funcionários apenas às informações que forem necessárias para que eles cumpram suas funções. Como regra, quanto menos pessoas têm acesso a um banco de dados, menor é a chance de ocorrer algum vazamento. Como você pode imaginar, quando se trata de dados virtuais, existem várias propostas da tecnologia da informação (TI) que podem ajudá-lo a manter os dados protegidos. Conexões de Internet seguras e privadas à sua organização, por exemplo, são fundamentais para evitar que qualquer pessoa tenha acesso aos dados que ela guarda. Além disso, também pode ser importante estar equipado com programas de segurança em seus computadores, como antivírus e antispywares. Há muitas empresas que fornecem esses Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações programas por assinatura a baixo custo, e eles são a melhor forma de se proteger contra ataques de hackers e vírus que podem roubar, danificar ou eliminar os seus dados. Existem ainda níveis maiores de proteção que você pode alcançar, como usando dados criptografados ou desenvolvendo sistemas originais para a sua organização, mas que podem não ser necessários dependendo de como for o seu negócio. Se for o caso, consulte profissionais da área de TI para saber o que é mais adequado para você. É importante lembrar que segurança de dados não é só proteção contra possíveis ataques virtuais. Evitar a perda ou o uso indevido das informações também faz parte do trabalho. Assim, é interessante ter uma política de segurança da informação na sua organização, ou seja, um conjunto de normas e procedimentos corretos para ser compartilhado com seus colaboradores. Algumas normas básicas podem ser, por exemplo, não compartilhar as informações com outras pessoas, não usar computadores pessoais para armazenar os dados usados pela empresa e sempre garantir que os computadores estejam propriamente bloqueados após o uso. Além disso, é sempre importante criar o hábito de fazer backups periódicos dos dados atualizados, isto é, fazer uma cópia deles e guardá-los em mais de um local, para que não haja problemas caso o computador pare de funcionar, por exemplo. Você pode armazenar os dados em vários computadores e no sistema de nuvem, on-line, que é tido hoje como a forma mais segura de armazenamento. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Responsabilização No fim das contas, tudo o que você precisa para se adequar à LGPD é ter responsabilidade com os dados pessoais que estiver usando. Isso inclui adotar as medidas que promovem transparência e segurança que acabamos de ver. Também envolve designar responsáveis para lidar com cada função diferente, como a comunicação com o público ou o desenvolvimento de sistemas de segurança. No geral, com organização e planejamento você conseguirá reduzir ao mínimo o risco de acontecer qualquer problema. Mesmo assim, esse risco sempre vai existir. Por isso, é importante estar preparado caso algo aconteça, sendo um vazamento, a perda ou o mau uso de dados por algum funcionário. O que fazer, então, nessas situações? Existem alguns passos que você pode seguir para atenuar o impacto de um problema no tratamento de dados: • Identificação O primeiro passo é sempre identificar que o problema aconteceu e descobrir exatamente qual foi esse problema. Pode parecer óbvio, mas vazamentos de dados não costumam ser fáceis de perceber – podem levar meses até alguém perceber o ocorrido. Isso requer um monitoramento constante das movimentações de dados na Internet e a opção mais segura para ter mais chances de identificar esse problema cedo é contratar uma empresa especializada. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações • Comunicação A primeira ação a se fazer depois que se descobre um vazamento é comunicar a todos os envolvidos. Isso inclui os titulares dos dados, a equipe responsável pelo tratamento e as autoridades cabíveis, como a ANPD. As pessoas precisam saber qual problema aconteceu com seus dados pessoais e o que será feito a respeito. • Contenção Trabalhe junto às autoridades e especialistas para evitar que mais dados sejam perdidos ou saiam da empresa. Faça varreduras na Internet, busque identificar se dados sensíveis estão sendo repassados ou vendidos e derrube eles de todos os sites em que encontrá-los. • Educação Aprenda com as falhas que ocorreram. Entenda quais foram os erros e como evitar que aconteçam novamente. É hora de um novo trabalho de prevenção. Como você já deve ter percebido, adequar a sua empresa à LGPD o mais rápido possível é extremamente importante, e por vários motivos. O mais óbvio deles, talvez, é para evitar problemas com a lei e as multas da ANPD, que podem ser astronômicas. Além disso, a aplicação da lei permite à empresa criar uma cultura de segurança e respeito à privacidade dos dados das pessoas. Mas, será que é só isso? É possível que você não tenha percebido ainda, mas a adequação à LGPD pode ser muito vantajosa para a sua organização. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Ao ficar sabendo da lei, um empreendedor pode encarála de duas formas. A primeira é pensar nela como algo negativo para a empresa, que veio para punir e trazer despesas extras ao seu orçamento. A segunda é entender que a lei defende um sentimento que toda empresa busca passar para o seu público: confiança. Assim, empreendedores que tem essa segunda perspectiva perceberão que a LGPD, na verdade, é uma grande oportunidade para estimular os seus negócios. Com vários incidentes de quebra de privacidade, como o caso Facebook, acontecendo recentemente, as pessoas têm começado a se conscientizar mais sobre os perigos do mal tratamento dos dados. Essa conscientização é ainda mais forte quando consideramos a divulgação da LGPD, que coloca os titulares dos dados no foco principal. Em resumo, os clientes estão se tornando cada vez mais exigentes e não se contentam mais em serem deixados no escuro em relação ao que estão fazendo com seus dados pessoais. Para as empresas, isso quer dizer que é cada vez mais difícil encontrar clientes dispostos a oferecer o seu consentimentoa termos e condições enormes que não conseguem ler. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Tendo em vista esse cenário, é seguro afirmar que as empresas que se atentarem para as normas dispostas na LGPD – por exemplo, dando aos clientes informações claras e objetivas sobre como seus dados serão utilizados – ganharão um destaque bastante positivo no mercado. Ao se mostrar comprometida com a privacidade e proteção de dados de seus clientes, a sua organização conquistará a confiança do público e terá uma importante vantagem competitiva. Uma boa reputação é a melhor propaganda para a sua empresa. Nos Estados Unidos, a Apple não perdeu tempo e já posicionou-se como uma empresa líder na preocupação com a segurança dos dados dos clientes, exigindo publicamente a criação de uma legislação de proteção específica. Outra empresa que soube aproveitar o momento e ganhou notoriedade foi a Nubank. Essa instituição bancária brasileira criou todo um novo modelo de banco simplificado, on-line e com termos de uso objetivos e fáceis de entender, voltada para os consumidores. Proteção de Dados: Você está preparado? E-book 2 – Conhecendo a Lei n.º 13.709 - LGPD e a Dinâmica das Novas Regulamentações Tendo em vista esse cenário, é seguro afirmar que as empresas que se atentarem para as normas dispostas na LGPD – por exemplo, dando aos clientes informações claras e objetivas sobre como seus dados serão utilizados – ganharão um destaque bastante positivo no mercado. Ao se mostrar comprometida com a privacidade e proteção de dados de seus clientes, a sua organização conquistará a confiança do público e terá uma importante vantagem competitiva. Uma boa reputação é a melhor propaganda para a sua empresa. Pois é, considerando tudo o que vimos ao longo deste capítulo, podemos tirar uma conclusão: estar de acordo com a lei pode trazer benefícios muito importantes para a sua empresa. Na dúvida, opte pela consciência limpa. Afinal, a sua organização não quer acabar pagando uma multa por pura desatenção aos dados, não é mesmo?