Na era digital, os dados s\u00e3o protagonistas nas empresas. Eles permitem tomar decis\u00f5es mais precisas, otimizar estrat\u00e9gias, responder ao mercado com mais agilidade e avan\u00e7ar nas tecnologias de intelig\u00eancia artificial. Por isso, a lei de dados agita empresas este ano.<\/p>\n
Mas, para trabalhar com dados, \u00e9 preciso ter pol\u00edticas e estrat\u00e9gias transparentes. Afinal, eles carregam informa\u00e7\u00f5es pessoais, muitas vezes sens\u00edveis, que precisam ser protegidas contra fraudes, roubos, vazamentos e usos indevidos. \u00c9 a\u00ed que entra a Lei Geral de Prote\u00e7\u00e3o de Dados<\/a> e a import\u00e2ncia de adequar sua empresa \u00e0 legisla\u00e7\u00e3o.<\/p>\n A LGPD \u00e9 a principal legisla\u00e7\u00e3o sobre prote\u00e7\u00e3o e privacidade de dados pessoais no Brasil, que afeta diretamente as empresas, especialmente nas \u00e1reas de marketing e relacionamento com cliente. Nos processos de transforma\u00e7\u00e3o digital<\/a>, em que os dados est\u00e3o no centro das decis\u00f5es e estrat\u00e9gias<\/strong>, a LGPD ganha ainda mais relev\u00e2ncia.<\/p>\n Por isso, trouxemos aqui as principais disposi\u00e7\u00f5es da Lei Geral de Prote\u00e7\u00e3o de Dados e o que a sua empresa deve fazer para se adequar \u00e0 legisla\u00e7\u00e3o, a fim de n\u00e3o correr mais riscos e aumentar a seguran\u00e7a dos dados<\/a>. Acompanhe para saber tudo isso!<\/p>\n[post-table-index]\n A Lei Geral de Prote\u00e7\u00e3o de Dados (LGPD) \u00e9 o principal marco regulat\u00f3rio sobre prote\u00e7\u00e3o e privacidade de dados pessoais no Brasil<\/strong>.<\/p>\n A LGPD est\u00e1 disposta na Lei n\u00ba 13.709, de 14 de agosto de 2018<\/a>. Por\u00e9m, as discuss\u00f5es sobre prote\u00e7\u00e3o de dados no Brasil s\u00e3o anteriores. Em 2014, o Marco Civil da Internet (Lei n\u00ba 12.965\/2014) j\u00e1 trazia normas sobre isso, por\u00e9m restritas aos canais digitais. Um dos avan\u00e7os da LGPD foi tratar de prote\u00e7\u00e3o de dados pessoais independentemente do meio.<\/p>\n A lei foi aprovada em 2018, mas entrou em vigor apenas em agosto de 2020. Antes disso, a Lei n\u00ba 13.853, de 8 de julho de 2019, atribuiu o nome de Lei Geral de Prote\u00e7\u00e3o de Dados, al\u00e9m de criar a Autoridade Nacional de Prote\u00e7\u00e3o de Dados (ANPD) e promover outras altera\u00e7\u00f5es.<\/p>\n A fun\u00e7\u00e3o da ANPD, que garante a aplicabilidade da lei, \u00e9 elaborar as diretrizes para uma pol\u00edtica nacional de prote\u00e7\u00e3o de dados e aplicar as san\u00e7\u00f5es administrativas. As san\u00e7\u00f5es, por sua vez, j\u00e1 est\u00e3o dispostas na LGPD, mas s\u00f3 podem ser aplicadas a partir de 1\u00ba de agosto de 2021.<\/p>\n A LGPD segue as disposi\u00e7\u00f5es da lei europeia General Data Protection Regulation (GDPR)<\/strong>, que foi publicada inicialmente em 2016. No in\u00edcio 2018, o caso Cambridge Analytica, que envolveu o vazamento de dados pelo Facebook<\/a>, acelerou a implementa\u00e7\u00e3o da GDPR pelo Parlamento Europeu.<\/p>\n Outros diversos pa\u00edses criaram tamb\u00e9m suas leis e regulamenta\u00e7\u00f5es voltadas para a prote\u00e7\u00e3o de dados pessoais. O caso Cambridge Analytica catalisou esse movimento global, mas a tend\u00eancia j\u00e1 vinha de antes. Afinal, desde que a internet e o marketing digital se popularizaram, os dados j\u00e1 est\u00e3o no centro das estrat\u00e9gias das empresas<\/strong>.<\/p>\n No marketing, especialmente, coletar e tratar dados de usu\u00e1rios e clientes \u00e9 o caminho para criar e otimizar estrat\u00e9gias. Esse poder de monitoramento e mensura\u00e7\u00e3o, ali\u00e1s, \u00e9 um dos grandes diferenciais do marketing digital, que sempre ressaltamos aqui no Blog da Rock.<\/p>\n Nos sites e redes sociais, todos os passos dos usu\u00e1rios s\u00e3o monitorados para se transformar em informa\u00e7\u00f5es estrat\u00e9gicas no Google Analytics e outras ferramentas. Em tecnologias de automa\u00e7\u00e3o<\/a>, os dados nutrem os rob\u00f4s e algoritmos para criar estrat\u00e9gias mais eficientes e personalizadas. Nas plataformas de publicidade<\/a>, os dados dos usu\u00e1rios servem aos anunciantes, para segmentar campanhas e an\u00fancios com mais precis\u00e3o.<\/p>\n Os dados se tornaram um grande ativo na era digital<\/strong>. Por\u00e9m, \u00e9 preciso ter responsabilidade para lidar com os dados de usu\u00e1rios e clientes, que t\u00eam direito \u00e0 privacidade e devem saber o que est\u00e3o fazendo com suas informa\u00e7\u00f5es, especialmente quando se trata de uso comercial.<\/p>\n Ent\u00e3o, as leis de prote\u00e7\u00e3o de dados procuram regular a coleta e o uso desses dados pessoais e definir os direitos e deveres relacionados a esse tema.<\/p>\n A LGDP disp\u00f5e as normas sobre o tratamento de dados pessoais<\/strong> por empresas privadas, poder p\u00fablico ou por outras pessoas, em qualquer meio (f\u00edsico ou digital), com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.<\/p>\n A legisla\u00e7\u00e3o define que \u201cdado pessoal\u201d \u00e9 toda informa\u00e7\u00e3o relacionada \u00e0 pessoa natural identificada ou identific\u00e1vel. Um \u201cdado pessoal sens\u00edvel\u201d, por sua vez, est\u00e1 relacionado \u00e0 ra\u00e7a ou etnia, religi\u00e3o, pol\u00edtica, sa\u00fade etc. e tem normas espec\u00edficas na lei.<\/p>\n J\u00e1 o \u201ctratamento\u201d \u00e9 toda opera\u00e7\u00e3o realizada com dados pessoais, como coleta, classifica\u00e7\u00e3o, utiliza\u00e7\u00e3o, reprodu\u00e7\u00e3o, transmiss\u00e3o, armazenamento e outras. A LGPD procura regular todas essas atividades.<\/p>\n A lei traz cap\u00edtulos sobre os requisitos para o tratamento de dados pessoais, os direitos dos titulares, o tratamento pelo poder p\u00fablico, a transfer\u00eancia internacional de dados, o papel dos agentes de tratamento de dados, as boas pr\u00e1ticas de governan\u00e7a, a fiscaliza\u00e7\u00e3o e a ANPD. Logo mais, vamos entender quais s\u00e3o as principais mudan\u00e7as que voc\u00ea precisa saber.<\/p>\n Nas disposi\u00e7\u00f5es preliminares, a lei informa os 10 princ\u00edpios que devem reger as atividades de tratamento de dados<\/strong>. \u00c9 com base nesses princ\u00edpios que foram criadas todas as normas para a prote\u00e7\u00e3o de dados. S\u00e3o eles:<\/p>\n A LGPD define tamb\u00e9m as san\u00e7\u00f5es \u00e0s quais o infrator pode se submeter, que devem ser aplicadas pela Autoridade Nacional de Prote\u00e7\u00e3o de Dados:<\/p>\n Para se adequar \u00e0 Lei Geral de Prote\u00e7\u00e3o de Dados, \u00e9 importante fazer uma leitura atenta e minuciosa da legisla\u00e7\u00e3o, inclusive com uma consultoria especializada, se poss\u00edvel.<\/p>\n Mas procuramos destacar aqui os pontos mais importantes da LGPD, aos quais a sua empresa precisa come\u00e7ar a se adaptar. Confira:<\/p>\n De acordo com a legisla\u00e7\u00e3o, consentimento \u00e9 a \u201cmanifesta\u00e7\u00e3o livre, informada e inequ\u00edvoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada\u201d.<\/p>\n Voc\u00ea s\u00f3 pode coletar dados de pessoas se tiver o consentimento delas. Esse consentimento deve ser expl\u00edcito<\/strong> \u2014 ou seja, um opt-in pr\u00e9-marcado n\u00e3o vale, ok? Deixe que o usu\u00e1rio decida se quer ou n\u00e3o entregar os dados \u00e0 sua empresa, sem for\u00e7ar a barra. No caso de dados de crian\u00e7as e adolescentes, o consentimento deve ser dado por pelo menos um dos pais ou pelo respons\u00e1vel legal.<\/p>\n O consentimento s\u00f3 \u00e9 dispens\u00e1vel quando os dados s\u00e3o tornados manifestamente p\u00fablicos pelo titular, resguardados os seus direitos e os princ\u00edpios da lei.<\/p>\n A legisla\u00e7\u00e3o define que finalidade \u00e9 a \u201crealiza\u00e7\u00e3o do tratamento para prop\u00f3sitos leg\u00edtimos, espec\u00edficos, expl\u00edcitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompat\u00edvel com essas finalidades\u201d.<\/p>\n Isso quer dizer que o usu\u00e1rio d\u00e1 consentimento para uma finalidade espec\u00edfica de tratamento de dados. Portanto, essa finalidade deve estar clara e transparente<\/strong> na hora do opt-in. Se ela mudar depois, o usu\u00e1rio precisa saber e consentir novamente. E voc\u00ea s\u00f3 pode coletar os dados estritamente necess\u00e1rios para a finalidade do tratamento.<\/p>\n Al\u00e9m disso, a LGPD n\u00e3o permite que as empresas utilizem autoriza\u00e7\u00f5es gen\u00e9ricas. Portanto, nada de escrever termos imprecisos, ok? Se voc\u00ea vai usar os dados para personalizar vitrines no e-commerce ou diferenciar pre\u00e7os de venda, por exemplo, deixe isso claro para o consumidor.<\/p>\n A Lei Geral de Prote\u00e7\u00e3o de Dados traz um cap\u00edtulo espec\u00edfico para tratar dos direitos do titular dos dados, com uma s\u00e9rie de disposi\u00e7\u00f5es que trazem algumas mudan\u00e7as para as empresas.<\/p>\n Um dos principais cuidados que voc\u00ea deve ter \u00e9 disponibilizar um meio de acesso f\u00e1cil e imediato das pessoas aos seus dados<\/strong>. A lei diz que o titular tem o direito de acessar, a qualquer momento, os dados pessoais que est\u00e3o armazenados com a empresa.<\/p>\n As informa\u00e7\u00f5es podem ser disponibilizadas de forma eletr\u00f4nica ou impressa, mas sempre de forma clara, simples e acess\u00edvel, com uso de recursos audiovisuais se necess\u00e1rio, considerando as caracter\u00edsticas f\u00edsico-motoras, perceptivas, sensoriais, intelectuais e mentais do usu\u00e1rio.<\/p>\n O titular tamb\u00e9m deve poder corrigir, editar, anonimizar e excluir seus dados quando quiser, saber se eles foram compartilhados (e com quais entidades) e transferi-los para outro respons\u00e1vel.<\/p>\n A portabilidade de dados pessoais<\/strong> deve funcionar como o n\u00famero de celular, que voc\u00ea pode levar de uma operadora para outra. No caso dos dados pessoais, voc\u00ea pode lev\u00e1-los da Netflix para o Globoplay, por exemplo. Mas as empresas ainda est\u00e3o adaptando seus sistemas para permitir esse tipo de opera\u00e7\u00e3o. <\/p>\n A LGPD tamb\u00e9m traz as defini\u00e7\u00f5es e responsabilidades dos agentes de tratamento de dados, que devem garantir a aplica\u00e7\u00e3o da lei nas empresas e a prote\u00e7\u00e3o dos dados dos usu\u00e1rios.<\/p>\n O controlador \u00e9 a pessoa natural ou jur\u00eddica que toma as decis\u00f5es sobre o tratamento de dados pessoais. J\u00e1 o operador \u00e9 quem realiza o tratamento, de acordo com as decis\u00f5es e orienta\u00e7\u00f5es do controlador. A empresa que tem contato direto com o cliente seria um controlador, enquanto uma empresa de call center, por exemplo, seria um operador.<\/p>\n As empresas devem tamb\u00e9m nomear um encarregado, que deve fazer a comunica\u00e7\u00e3o entre o controlador, os titulares dos dados e a Autoridade Nacional de Prote\u00e7\u00e3o de Dados (ANPD). \u00c9 a pessoa respons\u00e1vel pelo tratamento dos dados na empresa<\/strong>. Suas atividades consistem em:<\/p>\n Dependendo da natureza e do porte da empresa e do seu volume de opera\u00e7\u00f5es de tratamento de dados, a indica\u00e7\u00e3o do encarregado pode ser dispensada<\/strong>. Mas isso depende ainda de normas complementares da autoridade nacional.<\/p>\n No Cap\u00edtulo VII da LGPD, o texto diz que as empresas devem adotar medidas de seguran\u00e7a para proteger os dados pessoais de acessos n\u00e3o autorizados e situa\u00e7\u00f5es acidentais ou il\u00edcitas<\/strong> de destrui\u00e7\u00e3o, perda, altera\u00e7\u00e3o e outas formas de tratamento inadequado.<\/p>\n Caso aconte\u00e7a algum incidente, o controlador deve comunicar \u00e0 autoridade nacional e aos titulares quais dados foram afetados, quais riscos est\u00e3o relacionados e quais medidas vai adotar para reverter e mitigar os preju\u00edzos. Se a autoridade nacional julgar necess\u00e1rio, o incidente tamb\u00e9m deve ser comunicado publicamente com ampla divulga\u00e7\u00e3o.<\/p>\n Para evitar que essas situa\u00e7\u00f5es ocorram, as empresas devem adotar boas pr\u00e1ticas de seguran\u00e7a. Os agentes, individualmente ou em associa\u00e7\u00f5es, podem formular regras de governan\u00e7a que estabele\u00e7am normas, padr\u00f5es t\u00e9cnicos, obriga\u00e7\u00f5es, a\u00e7\u00f5es educativas mecanismos de supervis\u00e3o e outros aspectos relacionados ao tratamento de dados pessoais.<\/p>\n Com a ado\u00e7\u00e3o de um programa de governan\u00e7a em privacidade<\/a>, as empresas podem demonstrar que adotaram todos os cuidados para evitar risco aos dados pessoais.<\/p>\n Uma das principais mudan\u00e7as da LGPD \u00e9 a obrigatoriedade de prestar contas sobre as medidas de prote\u00e7\u00e3o de dados pessoais.<\/p>\n A autoridade nacional pode solicitar aos controladores um relat\u00f3rio de impacto \u00e0 prote\u00e7\u00e3o de dados pessoais<\/strong>. Esse documento deve conter a descri\u00e7\u00e3o dos processos de tratamento de dados pessoais que podem gerar riscos \u00e0s liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitiga\u00e7\u00e3o de risco.<\/p>\n Agora que voc\u00ea j\u00e1 conheceu as principais disposi\u00e7\u00f5es e mudan\u00e7as da lei, vamos ver como pode adequar sua empresa \u00e0 LGPD. Siga as nossas dicas para adotar uma nova postura em rela\u00e7\u00e3o aos dados na sua empresa:<\/p>\n Primeiramente, realize um mapeamento da rela\u00e7\u00e3o da sua empresa com o tratamento de dados. \u00c9 importante saber quais s\u00e3o os dados que voc\u00ea precisa coletar, quais j\u00e1 est\u00e3o sob controle da empresa e como eles est\u00e3o sendo tratados atualmente.<\/p>\n Identifique tamb\u00e9m as pol\u00edticas, procedimentos e ferramentas<\/strong> que a sua equipe utiliza atualmente e quais posturas precisam ser revistas.<\/p>\n A partir desse mapeamento, voc\u00ea consegue identificar quais riscos est\u00e3o envolvidos no tratamento de dados da sua empresa para fazer um planejamento alinhado \u00e0 LGPD.<\/p>\n Na hora do mapeamento, identifique contratos e documentos relacionados ao tratamento de dados que a sua empresa utiliza. Contratos com clientes e fornecedores ou documentos como a pol\u00edtica de privacidade<\/a> do site devem agora se alinhar \u00e0s disposi\u00e7\u00f5es da LGPD e esclarecer as formas de tratamento dos dados pela sua empresa.<\/p>\n Certifique-se de que esses contratos e documentos explicitam claramente a finalidade do tratamento dos dados pessoais, sempre de forma simples, clara e transparente<\/strong>. Se eles foram compartilhados com terceiros, essa informa\u00e7\u00e3o tamb\u00e9m precisa constar.<\/p>\n Nos contratos com operadores de tratamento de dados, \u00e9 importante delimitar as responsabilidades e definir as boas pr\u00e1ticas de cada parte, a fim de minimizar os riscos das opera\u00e7\u00f5es.<\/p>\n A LGPD define que as empresas devem ter um programa de governan\u00e7a em privacidade<\/strong> que demonstre o seu comprometimento em adotar processos e pol\u00edticas internas a favor da prote\u00e7\u00e3o de dados pessoais.<\/p>\n As pol\u00edticas internas devem abranger os princ\u00edpios, procedimentos e ferramentas de seguran\u00e7a de dados, bem como as formas de avalia\u00e7\u00e3o peri\u00f3dica da sua efic\u00e1cia. Esse documento deve definir tamb\u00e9m um plano de resposta a incidentes, ou seja, como a empresa vai agir caso aconte\u00e7a algum vazamento, fraude, roubo ou perda dos dados.<\/p>\n O programa de governan\u00e7a da empresa deve seguir o conceito de privacy by design, que pode ser traduzido como \u201cprivacidade desde a concep\u00e7\u00e3o\u201d. A cada novo projeto, a prote\u00e7\u00e3o aos dados deve ser prevista desde a idealiza\u00e7\u00e3o<\/strong>, a fim de prevenir problemas, em vez de remediar.<\/p>\n Esse conceito n\u00e3o est\u00e1 disposto na LGPD, mas est\u00e1 na GDPR e sua aplica\u00e7\u00e3o favorece a prote\u00e7\u00e3o aos dados.<\/p>\n Para se adequar \u00e0 LGPD, \u00e9 essencial adotar medidas de seguran\u00e7a da informa\u00e7\u00e3o<\/a> para evitar incidentes e a exposi\u00e7\u00e3o de dados pessoais a usos indevidos. Para isso, voc\u00ea pode adotar alguns protocolos e ferramentas de prote\u00e7\u00e3o aos dados, tanto no meio online quanto offline. Veja algumas sugest\u00f5es:<\/p>\nO que \u00e9 a LGPD?<\/h2>\n
O contexto das leis de prote\u00e7\u00e3o de dados<\/h3>\n
O que prev\u00ea a LGPD?<\/h2>\n
\n
\n
Quais as principais mudan\u00e7as previstas pela LGPD?<\/h2>\n
Consentimento do titular<\/h3>\n
Finalidade do tratamento dos dados<\/h3>\n
Novos direitos do titular<\/h3>\n
Obriga\u00e7\u00f5es dos agentes de tratamento de dados<\/h3>\n
\n
Medidas de seguran\u00e7a e governan\u00e7a<\/h3>\n
Accountability (presta\u00e7\u00e3o de contas)<\/h3>\n
7 passos para adequar sua empresa \u00e0 LGPD<\/h2>\n
1. Realize o mapeamento dos dados<\/h3>\n
2. Reformule contratos e documentos<\/h3>\n
3. Defina pol\u00edticas internas<\/h3>\n
4. Adote medidas de seguran\u00e7a da informa\u00e7\u00e3o<\/h3>\n