Lei geral de proteção de dados pessoais LGPD

Bom, já faz um tempo que tenho lido, pesquisado e anotado coisas referentes à LGPD, ou a Lei Geral de Proteção de Dados Pessoais. Na verdade, comecei essa busca incessante por mais informações logo que os europeus estabeleceram a sua lei a alguns anos com o RGPD (GDPR).

E o que ocorreu é que fiquei cada vez mais preocupado com a coisa toda.

É correto afirmar que sim temos que nos preocupar não só com os vazamentos dos dados dos outros dentro, das empresas, como também o ciclo de vida das informações sensíveis de terceiros dentro delas, e é aí que mora o perigo.

Princípios regulamentados pela LGPD

  • Boa-fé: boas intenções na realização de negócios jurídicos;
  • Finalidade: dados devem ser tratados para determinados propósitos;
  • Adequação: dados devem ser adequados e usados de modo compatível;
  • Necessidade: o tratamento deve ser o mínimo necessário para a realização do objetivo inicial;
  • Livre acesso: os titulares devem ter consulta facilitada e gratuita à integralidade dos seus dados enquanto durarem;
  • Qualidade dos dados: deve ser garantida exatidão, relevância e atualização dos dados coletados e eventualmente transformados;
  • Transparência: deve ser prestado acesso facilmente as informações pelos titulares, como por exemplo solicitação de que sejam excluídos;
  • Segurança: deverão ser garantidas medidas de segurança técnica e administrativa para proteger os dados de acessos não autorizados;
  • Prevenção: deverão ser adotadas medidas que previnam e impeçam ocorrência de dados no tratamento de dados pessoais;
  • Não discriminação: os dados não poderão ser utilizados para fins discriminatórios;
  • Responsabilidade e prestação de contas: as empresas deverão criar controladores, operadores e encarregados de dados, e esses serão responsáveis junto a Autoridade Nacional de Proteção de Dados.

Ocorre que a lei visa proteger cidadãos e consumidores de abusos que sejam cometidos por empresas, organizações e grupos específicos. Porém o que estou vendo é que isso vai impactar o Facebook (Meta) e a minha empresa da mesma forma.

Isso não quer dizer que eu não tenha que me preocupar com os dados de clientes, leads e outros da mesma maneira que o Facebook, mas dadas as proporções do tamanho de cada um, as multas em caso de eventuais problemas são astronômicas.

As coisas estão andando de um lado, o congresso até aprovou MP que cria a Autoridade Nacional de Proteção de Dados, mas vejo que muitas empresas estão ignorando o fato de a lei entrar em vigor ali em 2020 (e atrasou).

Acho que será, como sempre, um horror, salve-se quem puder. Se você acha que estou exagerando, como “construtor de sites” para terceiros, e se você também o for, pergunto o que está fazendo para ficar adequado à nova legislação?

Você tem certeza que estará dentro da legislação que está quase em vigor? E os seus clientes sabem disso?

Além de ter os termos de Política de Privacidade e Termos de Serviço muito mais claramente definidos e exibidos em local apropriado, você deverá garantir o ciclo de vida destas informações (isso implica em garantir segurança de serviços de terceiros que você pode não ter o controle) e ficar ao mínimo conforme com a nova legislação.

Ainda, isso não impactará apenas web sites, todas as ferramentas do ecossistema, como email marketing serão impactadas. Não que isso seja de todo ruim, uma limpeza da base pode ser benéfica!

Voltando ao modelo do GDPR europeu, muita gente deixou até o último minuto para se adequar em moldes mínimos. Isso causou uma grande confusão inicial. Na verdade, é estimada em 40% a conformidade inicial das empresas lá.

Embora analisando o histórico do modelo europeu, onde a catástrofe não se instaurou, acho que é prudente termos preocupação com toda essa nova realidade que vai se instalar em seguida.

Como organizar o processo de adequação à LGPD

  • O consentimento deve ser dado livremente e diretamente, deve ser informado, não deve ser ambíguo;
  • Os pedidos de consentimento de acesso aos dados e armazenamento devem ser diretos, não misturados à outras questões;
  • Os titulares dos dados podem retirar a permissão a qualquer tempo, sempre que desejarem, e você deve fazer isso imediatamente;
  • Você tem que manter as provas documentais de consentimento;
  • Caixas de seleção de consentimento explícito devem ser usadas;
  • Links de políticas de privacidade à disposição e não tão escondidos;
  • Solicitações de assinantes devem ser tratadas;
  • Seja o mais transparente possível;
  • Lembrando que isso impactará formulários, opt-in, cookies, scripts de rastreamento, pixels de rastreamento e tudo o que for informação que será armazenada;

Se eu estou preocupado? Ainda estou, e muito! Existe alguns locais onde você pode se informar mais a respeito, como o Portal LGPD, e também outros sites de empresas e advogados respeitáveis.

Se você quiser ir mais a fundo na LGPD

Ainda em junho de 2019 tivemos uma das palestras do WordCamp Porto Alegre 2019 que tratava justamente sobre Lei Geral de Proteção de Dados Pessoais (LGPD), desafios e oportunidades, pela Rita Silvana Assumpção que introduziu o assunto de maneira muito adequada para a plateia.

Ainda, em 30 de julho de 2019 tivemos um Meetup focado em Privacy by design: planejando a coleta de dados até sua destruição de acordo com a LGPD pelo Marcelo Pasetti.

O tema é amplo e complexo, recomendo fortemente que você não perca tempo e vá se informar mais. Se tiver algum advogado (especializado) para consultar o faça.

E lembrando, se você utiliza o WordPress, boa parte do que foi desenvolvido para o GDPR poderá ser utilizado para se adequar a LGPD com alguns ajustes!

Como adequar a minha empresa à LGPD?

Acho que o tema é importante, se você não está se perguntando como adequar a minha empresa à LGPD é porque já está adequado, ou talvez esteja totalmente alheio ao impacto disso!

A Lei Geral de Proteção de Dados (Lei Federal n. 13.709/2018) impactou diretamente todos os tipos de empresas, inclusive as agências digitais, e essas tem ainda um dever de comunicar isso aos seus clientes.

A questão maior é a interpretação de que o direito à privacidade dos dados pessoais do cidadão passa a ser um direito fundamental.

E hoje sabemos que milhares de dados pessoais são coletados e divulgados indevidamente.

O ponto então é o cidadão saber o impacto disso, quais dados serão coletados, como serão armazenados e por quanto tempo. E ainda, o mesmo pode ter opção, a qualquer tempo, de receber esses dados ou solicitar a sua exclusão por completo. E aí? E aí que vai dar trabalho, muito trabalho!

Existem diversas leis que deveriam nos proteger como cidadãos, mas agora a coisa vai passar a ter um impacto diferente, e as empresas precisam estar em conformidade, sistemas que não foram pensados desta forma, precisarão ser atualizados, ou até substituídos.

Imagine o seu pequeno site, ferramentas de CRM, formulários de contato, opt-in de email marketing, cookies, analytics, e por aí vai. Então comece a pensar no assunto, que é longo e complexo em vários níveis.

Importante é que temos que auxiliar nossos clientes nessa evolução, e dar o suporte para deixar em conformidade aquilo que entregamos, desenvolvemos ou mesmo recomendamos. Será que todas as ferramentas que meus clientes utilizam estão em conformidade com a nova legislação? E aquelas ferramentas que são baseadas em outros países, como fazer?

E a fiscalização ainda dependerá de uma agência que deve ser criada e estruturada, mas também sofrerá influência de entendimentos do próprio ministério público e órgãos de defesa do consumidor.

Importante você ter em mente que precisa de alguma forma começar a fazer um mapeamento, de dados, o que é coletado, principalmente saber onde existe dados identificados, identificáveis, sensíveis e daqueles que são anônimos, isso é importante.

O que é coletado, como é armazenado e como é protegido, e ainda como pode ser removido / destruído se assim for solicitado.

Dados pessoais sensíveis definidos na LGPD

Segundo os artigos 11 a 13 da LGPD. A lei os define no art. 5º, inciso II (1). É o dado pessoal sensível:

  • Origem racial ou étnica;
  • Convicção religiosa;
  • Opinião política;
  • Filiação a sindicato ou a organização de caráter religioso filosófico ou político;
  • Dado referente à saúde ou à vida sexual;
  • Dado genético ou biométrico, quando vinculado a uma pessoa natural.

Meu data center é no exterior, estou tranquilo

Lamento informar que não é assim não. A LGPD regula qualquer operação de tratamento, independente do meio de coleta, de onde (qual país) está sua sede ou armazene os dados desde que:

  1. A operação de tratamento de dados seja realizada no Brasil;
  2. O tratamento objetive oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil;
  3. Os dados pessoais objeto tenham sido coletados no território nacional, isto é, quando o titular dos dados aqui se encontre no momento da coleta.

A lei brasileira segue a GDPR europeia, independente da aplicabilidade territorial, então mexa-se.

O problema da LGPD é só do jurídico?

Não, totalmente errada essa afirmação! Todos departamentos, jurídico, TI, marketing, RH, todos os níveis de gestão, o impacto será geral. E o DPO, Data Protection Officer, interno ou externo vai ter um papel importante nisso tudo, vai ser o maestro.

Ainda que pasme, tive clientes (de web sites) que do nada me ligaram perguntando na época que a lei iria ao ar: O que você vai fazer a respeito disso para o nosso site ficar adequado?

Como se isso, fora ser algo fora do escopo na época que o site foi feito, fosse única e exclusiva obrigação do fornecedor. Respeitando-se os contratos e o fio do bigode, alguns clientes deste tipo foram demitidos, outros tiveram orçamentos aprovados e algumas coisas foram ajustadas, de acordo com o que a empresa e seu departamento jurídico determinaram, nós desenvolvedores não somos responsáveis pelo processo de nenhuma empresa no que diz respeito a LGPD.

Então assuma a sua responsabilidade até onde ela pertencer a você e a sua empresa. Não assuma, gratuitamente, a responsabilidade de ninguém sobre o tema controverso.

Ficando mais atento a LGPD

Alguns cursos online, webinars e até um seminário do CGI.br foi feito, mas existem muitos locais confiáveis disseminando informações importantes, não apenas sobre LGPD mas como privacidade em geral. O pessoal da Mercury escreveu muitos posts sobre o tema.

Pensando no problema da LGPD

Utilizando os dados que li numa postagem da Sispro, acho importante reproduzir aqui para dar uma ideia a você de alguns princípios importantes:

  • Finalidade: propósitos legítimos, específicos, explícitos e informados;
  • Adequação: tem que ser compatível com a finalidade;
  • Necessidade: utilização apenas de dados estritamente necessários;
  • Livre acesso: ao tratamento e integridade dos dados;
  • Qualidade dos dados: exatos, claros, relevantes e atualizados;
  • Transparência: informações claras e precisas aos titulares;
  • Segurança: medidas técnicas e administrativas aptas a proteger os dados pessoais;
  • Prevenção: adoção de medidas para evitar danos aos titulares;
  • Não discriminação: não utilização dos dados para fins discriminatórios, ilícitos ou abusivos;
  • Responsabilização e prestação de contas: demonstração da adoção de medidas eficazes ao cumprimento das normas;

Claro que isso não é tudo, mas já dá um direcionamento. Comece mapeando todos os processos de coleta e armazenamento de dados, mapeie tudo e como está funcionando hoje.

O mantra no fim é “anonimização” dos dados. Lembre-se que mesmo que haja facilidades para os MPE, e legislação será aplicada a todos!

Matriz de prioridades LGPD

Atualizações recentes da LGPD

Governo sancionou a lei em 9 de julho de 2019, que cria a Autoridade Nacional de Proteção de Dados, confira.

Em janeiro de 2022 foram publicadas novas regras para a LGPD nas pequenas empresas e nos pequenos provedores de Internet, que impactam – para melhor – todas as pequenas empresas do país, afinal, estamos caminhando para mais uma lei bonita de aplicação duvidosa e fiscalização inexistente…

Os pequenos negócios terão tratamento diferenciado na Lei Geral de Proteção de Dados Pessoais (LGPD), com a publicação da Resolução CD/ANPD Nº 02 no Diário Oficial da União (DOU), pela Autoridade Nacional de Proteção de Dados (ANPD), em 28 de janeiro de 2022.

Só para colocar mais gasolina no fogo, já pensou se a escola do seu filho está realmente adequada à LGPD?

Espero estar errado, e que tudo funcione perfeitamente nesse país de poucas leis.

Em tempo, agora em abril de 2022, a ANPD lançou uma versão atualizada (Versão 2.0) do Guia Orientativo para a Definição dos Agentes de Tratamento e do Encarregado, confira.

Confira também alguns links sobre LGPD

Confira o vídeo

Fiapo
Fiapo

Eu sou Gustavo Tagliassuchi, minha formação é em tecnologia em informática, me especializei em desenvolvimento de software para a web, mas minha experiência profissional desde a década de 90 inclui editoração eletrônica, gráficas, desenvolvimento de aplicativos multimídia multi-plataforma, produzi muito CD-ROM, quiosques multimídia, fui o primeiro desenvolvedor da Apple no RS.

Trabalhei em provedores de acesso à Internet, em algumas agências e também criei algumas delas (4 no total).

Ajudei a fundar a AGADi que posteriormente virou ABRADi e se multiplicou Brasil afora

Mais recentemente ainda fui sócio de uma empresa de e-mail marketing e monitoramento de mídias sociais, onde desempenhei diferentes atividades, como responsável pelo desenvolvimento de ferramentas oferecidas em padrão SAAS, fui responsável pelo suporte e atendimento de uma rede de mais de 18.000 marcas entre clientes diretos, canais e parceiros, além de dar apoio ao marketing digital da empresa.

Mas isso tudo não importa, o que importa é que eu nunca deixei de fazer web sites, atender clientes de todos os tipos e portes, e ajudar amigos e parceiros a utilizar melhor a Internet e a melhorar a qualidade dos serviços que prestavam, e até a criar produtos e escalar os mesmos.

Então, até influenciado por alguns deles, resolvi criar alguns cursos e transformar este conhecimento que adquiri em algo interessante para você.

Não vou vender nenhuma fórmula mágica, não garanto que ninguém vá ficar milionário da noite para o dia, mas eu acredito que consigo acrescentar alguma coisa da experiência que adquiri nesses últimos 27 anos para ajudar você a melhorar e a solucionar alguns problemas dos seus clientes, vou lhe ajudar a fazer a diferença na vida dos seus clientes.

Artigos: 320