A Lei Geral de Proteção de Dados Pessoais (LGPD) foi aprovada em 2018 com o objetivo de estabelecer regras sobre coleta, armazenamento e tratamento de dados pessoais, considerados dados sensíveis. A lei foi criada para oferecer maior proteção às pessoas que fornecem seus dados pela internet, pois cria formas de punir as empresas que não obedecem às regras impostas.
Com a implantação da LGPD, o Brasil entra na lista dos 120 países que adotam leis específicas para a proteção de dados pessoais. A lei entra em vigor para preencher lacunas já que, até então, as únicas normas que tratavam sobre o compartilhamento indevido de dados eram as do Marco Civil da Internet, do Código de Defesa do Consumidor.
No entanto, como ficou aparente com o tempo, tais normas deixam muito a desejar e não garantem a privacidade e segurança dos dados. Por isso, neste post, vamos explicar quais foram as motivações para a criação dessa lei, sua base legal e o que ela diz sobre a proteção de dados. Confira!
O que levou o Brasil a criar uma lei específica para a proteção de dados pessoais?
Em 2018, uma brecha nos termos de privacidade do Facebook causou o vazamento de dados de mais de 50 milhões de usuários da rede. Isso ocorreu devido a um teste feito por um aplicativo que recolhia dados de usuários e de seus amigos na rede social, como nome, e-mail, local onde morava, gostos e hábitos na internet.
A empresa responsável pela pesquisa vendeu os dados desses usuários para uma empresa que fazia análise de dados e estava contribuindo para a campanha presidencial de Donald Trump. Essa empresa usou as informações compradas dos usuários para criar campanhas específicas baseadas no perfil de cada eleitor.
Como essa mesma organização seria responsável por campanhas políticas no Brasil, o escândalo impulsionou a aprovação da LGPD.
Além disso, dados da Pesquisa Global de Segurança da Informação 2016 da PwC apontaram que, em 2015, o crescimento dos ataques cibernéticos no Brasil foi de 274%, enquanto no restante do mundo foi de 38%. Esse fator é preocupante, pois, além dos prejuízos financeiros para as empresas atacadas, há o risco de exposição dos dados pessoais de seus consumidores.
No mais, a criação da LGPD teve uma grande influência do GDPR (General Data Protection Regulation), que entrou em vigor em 2017 na União Europeia, também com o objetivo de proteger os dados de seus cidadãos.
O que diz a LGPD sobre a proteção de dados?
Seguindo a linha da GDPR, que é a lei de proteção de dados europeia, a LGPD veio para estabelecer regras claras sobre como as empresas devem tratar os dados pessoais de seus clientes. A lei visa impor um padrão mais elevado de proteção e aplicar penalidades mais severas para as empresas que não cumprirem as regras impostas pela LGPD.
O que a lei visa, na realidade, é eliminar possíveis brechas que permitem que as empresas manipulem dados pessoais de clientes e usuários, como ocorreu no caso citado pela companhia que utilizou um aplicativo para colher informações de usuários do Facebook.
A empresa agiu de má fé, pois se aproveitou de uma brecha nos termos de privacidade da rede social para obter lucros financeiros com a venda de informações pessoais.
Com a LGPD em vigor, a empresa deve deixar bem claro para as pessoas o que fará com os dados pessoais fornecidos no momento de uma compra ou do cadastro em determinado site.
Além disso, a empresa responsável pela coleta de dados não poderá passar essas informações nas entrelinhas, nem em condições indetermináveis, como foi no caso da empresa que vendeu dados de usuários do Facebook.
Por fim, a empresa deve deixar claro para o cliente que ele está deixando seus dados pessoais serem tratados por terceiros e com qual finalidade.
Quais são os princípios da LGPD?
Princípios constituem regras para a aplicação de um determinado diploma legal (leis, decretos, portarias). É como se constituíssem um conjunto de boas práticas que necessariamente precisam ser adotadas.
A LGPD nomeou os seus princípios, dentre os quais se destacam os seguintes:
Finalidade e adequação
Esses dois princípios andam juntos pois pretendem um fim comum. Assim, sua determinação é de que as empresas não podem fazer o uso que quiserem dos dados obtidos.
Na verdade, é preciso que exista uma finalidade específica para a própria obtenção das informações. Além disso, essa finalidade precisa ser informada ao titular dos dados.
Necessidade
Outro princípio da LGPD que complementa os anteriores é o da necessidade. Assim, tanto a obtenção quanto a utilização dos dados devem ficar restritos ao mínimo necessário.
Isso significa que não podem ser levantados dados e informações pessoais de alguém sem que haja real necessidade. Em outras palavras, os dados obtidos devem se limitar ao indispensável para as finalidades pretendidas quando lícitas.
Transparência
O princípio da transparência aplicado de modo geral em inúmeras circunstâncias visa deixar claro quem está agindo e o que está sendo feito. No caso da LGPD, isso se aplica principalmente na determinação do que poderá ser feito com os dados levantados.
Dessa forma, a transparência garante aos titulares dos dados clareza, precisão e facilidade de acesso ao tratamento aplicado sobre os dados pessoais obtidos. Além disso, indica os agentes do tratamento utilizado, naturalmente resguardando os segredos industriais e comerciais.
Não discriminação
O princípio da não discriminação tem sua origem no tripé essencial das liberdades fundamentais previstas em nossa Constituição. Desse modo, é inspirado nos princípios da igualdade, da dignidade da pessoa e da liberdade.
Esse princípio adotado pela LGPD determina que a utilização dos dados obtidos não poderá se dar com fins discriminatórios, ilícitos ou abusivos. É, portanto, uma evolução daqueles orientadores constitucionais.
Quando entrou em vigor e quem são os principais envolvidos?
A LGPD foi publicada em 14 de agosto de 2018. Para alguns de seus artigos, a entrada em vigor já se deu no próprio mês de agosto daquele ano.
Por sua vez, 3 artigos específicos (52, 53 e 54) só entrarão em vigor na data de 1º de agosto de 2021. Quanto ao restante, a própria lei prevê sua vigência 24 meses após sua publicação, o que significa que já está vigente desde agosto de 2020.
O texto da lei determina que ela é de interesse nacional e que deve ser observada pela União, Estados, Distrito Federal e Municípios. Segundo seu artigo 3º, sua aplicação se dá
“(…) a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados (…)”.
É interessante observar que a própria LGPD abre algumas exceções, às quais ela não se aplica. Assim, o tratamento de dados está fora de seu alcance quando realizado:
- por pessoa natural para fins exclusivamente particulares e não econômicos;
- exclusivamente para fins jornalísticos, artísticos ou acadêmicos;
- para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
- com origem fora do território nacional nas condições que explicita.
Quais são as penalidades para empresas que descumprirem a lei?
As empresas que não se adequarem à LGPD sofrerão penalidades como proibição total ou parcial do tratamento de dados. Além disso, o descumprimento das regras pode gerar sérios prejuízos financeiros para a organização.
Isso porque haverá cobrança de multas que podem chegar até mesmo a 2% do faturamento da empresa. No entanto, esse valor é limitado ao teto máximo de R$ 50 milhões por infração cometida. A severidade da lei tem justamente o objetivo de obrigar as empresas a se adequarem às normas estabelecidas.
Um ponto importante que deve ser citado é que alguns trechos da lei são ambíguos, o que pode acarretar ainda mais prejuízos para a empresa. Por isso, seu negócio deve ter muita atenção e procurar se adequar à LGPD o quanto antes para evitar punições e multas.
Quais são os impactos da LGPD em sua empresa?
Todas as empresas que atuam no tratamento de dados devem se adequar a essa nova realidade. Uma situação bem comum é aquela ocorrente nos processos de recrutamento e seleção de pessoal e, por isso, é preciso entender as normas e se adequar à lei o quanto antes.
De acordo com a legislação, sempre que uma empresa solicitar dados pessoais de alguém, ela deve informar ao usuário a finalidade do recolhimento daqueles dados e solicitar o consentimento para o devido fim.
Esse consentimento deve ser claro, explicando para o usuário qual o propósito dos dados coletados, o período de utilização deles e como retirar o consentimento de uso de informações e alterações no cadastro.
Além disso, as empresas devem investir em sistemas de segurança de dados, pois, dessa forma, ela consegue minimizar os danos ao seu negócio em casos de ataques cibernéticos, que são inevitáveis. Dessa forma, além de evitar penalidades, a companhia ainda ganha a confiança do consumidor.
A LGPD certamente vai mudas a maneira com que as empresas manipulam dados de seus clientes. Apesar de parecerem ruins a princípio, já que preveem punições severas para quem descumpri-las, as novas regras oferecem maior segurança em relação ao compartilhamento de dados sensíveis. Esse fator pode ser muito positivo na hora de criar campanhas de marketing específicas para o público-alvo de seu negócio.
Se você gostou deste post, acompanhe os nossos posts nas redes sociais! Estamos no Facebook, Twitter, LinkedIn e Instagram.
