Prime Time

seg - sex

Apresentação

Ao vivo

A seguir

    Lei LGPD: o que é a Lei Geral de Proteção de Dados Pessoais e como funciona?

    Você já sabe como funciona a Lei LGPD? Entenda as regras e conceitos por trás da lei de proteção de dados, e como elas impactam o dia a dia das empresas.

    Imagem ilustrativa para Lei Geral de Proteção de Dados Pessoais
    Imagem ilustrativa para Lei Geral de Proteção de Dados Pessoais O que diz a lei LGPD? Entenda como funciona a Lei Geral de Proteção de Dados Pessoais

    Leonardo Guimarães,

    do CNN Brasil Business, em São Paulo

    Compras online, atendimento em hospitais e diversos tipos de serviços são impactados pela Lei Geral de Proteção de Dados, a lei LGPD.

    Elaborado em 2018, o projeto brasileiro vem na esteira de discussões sobre proteção de dados na Europa, amplamente divulgado com o avanço dos dispositivos digitais.

    A lei da União Europeia que protege dados pessoais, a GDPR (General Data Protection Regulation) entrou em vigor há mais de dois anos e aqueceu os debates no mundo todo.

    No Brasil, a GDPR serviu como modelo e foi uma das principais influências para a criação da LGPD.

    Por aqui, o conjunto de regras para a proteção de dados pessoais está em vigor desde 2020. Desde então, a lei vem transformando a forma como as organizações gerenciam seus dados e aplicam as medidas de segurança da informação.

    Apesar de as discussões sobre o tema já serem antigas, muitas dúvidas podem surgir entre as empresas e consumidores. Principalmente porque a lei vale para empresas de todos os setores e, por isso, altera muita coisa nas relações de consumo.

    Por isso, o CNN Brasil Business tira as principais dúvidas sobre o tema. Confira a seguir.

    Lei LGPD: o que é?

    A Lei Geral de Proteção de Dados é a lei nº 13.709, aprovada em agosto de 2018. Conhecida como lei LGPD, ela cria normas para a coleta e tratamento de dados pessoais pelas empresas.

    O objetivo da legislação é assegurar a privacidade e a proteção de dados pessoais, assim como promover a transparência na relação entre pessoas físicas e jurídicas.

    O projeto garante que a coleta, o tratamento e a comercialização de dados pessoais serão feitos somente com a autorização dos titulares.

    Segundo o texto, o tratamento de dados pessoais pode ser realizado “mediante fornecimento de consentimento pelo titular por escrito ou por outro meio que demonstre a manifestação de vontade do titular”.

    A lei também esclarece que todos os dados tratados estão sujeitos a regulação, tanto no ambiente digital quanto no físico.

    Quem fiscaliza a aplicação da LGPD?

    Quem fiscaliza a aplicação da Lei Geral de Proteção de Dados?
    / Quem fiscaliza a aplicação da Lei Geral de Proteção de Dados?

    A fiscalização e a regulação da lei LGPD estão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD).

    Este é o órgão responsável por definir e aplicar as punições em caso de descumprimento da lei. A autoridade é ligada à Casa Civil e o ministro da pasta indica seu conselho diretor.

    A ANPD também tem uma função educativa, para orientar a sociedade sobre as normas de proteção de dados, além de mediar conflitos entre empresas e clientes.

    Para reforçar a fiscalização, a lei de proteção de dados estabelece a existência dos agentes de tratamento de dados nas organizações. De acordo com a legislação, são três cargos:

    • controlador: responsável por tomar decisões sobre o tratamento de dados;
    • operador: responsável por realizar o tratamento de dados em nome do controlador;
    • encarregado: responsável pela interação com os titulares dos dados e com a ANPD.

    Principais conceitos da LGPD

    Para compreender a lei LGPD em sua totalidade, é importante conhecer alguns conceitos básicos que se relacionam com a aplicação das normas e seus impactos no dia a dia.

    Dentre eles, o conceito de dados pessoais abrangido pela lei é um dos principais pontos. O texto determina que um dado pessoal é qualquer um que “possa vir a identificar uma pessoa” de forma direta ou indireta.

    Essa definição amplia o conceito para além do RG, nome ou e-mail, por exemplo. Com isso, dados como os cookies podem ser considerados pessoais.

    Isso porque, apesar de não identificar o usuário de forma direta, eles permitem que as marcas o impactem com publicidade online.

    Seguindo esse contexto, existem outras definições importantes da LGPD, como:

    • princípios: são recomendações de algumas práticas que devem ser seguidas pelas empresas em relação ao tratamento de dados;
    • bases legais: são hipóteses que autorizam o tratamento de dados; sem essa base adequada, o processo é considerado ilegal;
    • tratamento de dados: engloba toda a operação relacionada aos dados pessoais durante seu ciclo de vida, desde a coleta até o processamento, uso e descarte dessas informações.

    A importância da LGPD

    A lei LGPD foi desenvolvida com o objetivo de dar aos cidadãos controle sobre seus próprios dados e impedir que as organizações os coletem ou os utilizem sem consentimento.

    Isso reflete diretamente na segurança da informação em ambientes digitais, ponto importante diante dos índices de ataques cibernéticos no Brasil.

    Segundo levantamento da Fortinet, o país registrou 31,5 bilhões de tentativas de ataques cibernéticos a empresas no primeiro semestre de 2022.

    Comparado ao mesmo período do ano anterior, os números apresentaram um aumento de 94%, o que reforça a importância da cibersegurança para organizações de todos os segmentos.

    Neste contexto, a LGPD é uma importante peça de legislação destinada a proteger os direitos dos cidadãos e garantir que as empresas utilizem os dados de forma responsável.

    Além disso, a lei também garante maior transparência aos processos de tratamento de dados, uma vez que determina a obrigatoriedade de comunicar a coleta e o uso dessas informações ao titular.

    Outro ponto importante é o controle do titular sobre os dados, que pode escolher não compartilhar as suas informações com uma organização ou revogar o consentimento a qualquer momento.

    A LGPD em 2022

    A LGPD em 2022
    / A LGPD em 2022

    Em 2022, a lei LGPD completou um ano de vigência plena. A legislação foi promulgada em 2020, mas as multas e sanções passaram a valer em 2021.

    O prazo entre a aprovação e a vigência plena da lei foi uma determinação do Congresso Nacional, com o objetivo de dar tempo para as organizações se adaptarem às novas regras.

    Durante esse período, as empresas tiveram tempo de entender a legislação e começar as adaptações nos processos de coleta e tratamento de dados.

    Em 2021, quando as penalidades para o descumprimento das normas passaram a vigorar, muitas organizações mostraram dificuldades para se adaptar às normas da Lei Geral de Proteção de Dados Pessoais.

    Um levantamento comprovou que grande parte tinha conhecimento sobre o assunto, mas poucas empresas conseguiam se adaptar à LGPD.

    Segundo os dados, de 93% das quase mil empresas entrevistadas que tinham algum conhecimento sobre a legislação, apenas 15% já estavam prontas ou na reta final de preparação em relação à adequação do tratamento de dados.

    Diante dessa dificuldade, a Autoridade Nacional de Proteção de Dados publicou a Resolução nº 2, apresentando obrigações flexibilizadas na LGPD para pequenas empresas.

    A resolução foi divulgada no início de 2022, com o objetivo de flexibilizar e simplificar o cumprimento das regras de acordo com a realidade dos negócios de porte menor.

    Os principais pontos das mudanças para esse tipo de organização são os seguintes:

    • não há mais obrigatoriedade de nomear um encarregado de proteção de dados nas empresas de pequeno porte;
    • agentes de pequeno porte agora tem um prazo de 30 dias para atender solicitações de titulares sobre o tratamento de seus dados;
    • as pequenas empresas podem criar uma Política de Segurança da Informação simplificada e a ANPD deve regulamentar procedimentos simplificados também para a comunicação sobre incidentes de segurança.

    Essas mudanças são válidas para microempresas e empresas de pequeno porte, incluindo MEI (Microempreendedor Individual), assim como para as startups.

    Apesar da flexibilização, vale destacar que todas as empresas que realizam o tratamento de dados devem seguir as normas estabelecidas pela lei LGPD, independente do porte.

    Direitos dos donos dos dados

    Um dos objetivos do projeto aprovado pelo Senado é fazer com que os consumidores se sintam “donos” de seus dados – ou seja: aumentar o empoderamento do consumidor em relação aos seus próprios dados e o que as empresas farão com eles.

    Com essa medida, o consumidor passa a ganhar alguns direitos, como perguntar às empresas quais dados elas armazenam, acessar esses dados ou até exigir que informações sejam apagadas se obtidas em desconformidade com a lei LGPD.

    Os donos dos dados ainda podem pedir a portabilidade de suas informações para outro fornecedor.

    Este movimento é similar ao que pode ser feito entre empresas de telefonia e permite ao titular não só requisitar uma cópia de todos os seus dados, mas também que eles sejam fornecidos em um formato interoperável, que facilite a transferência para outros serviços, mesmo que para concorrentes.

    Quais tipos de dados são protegidos pela LGPD?

    Quais tipos de dados são protegidos pela LGPD?
    / Quais tipos de dados são protegidos pela LGPD?

    A lei LGPD se aplica a dados que podem identificar uma pessoa. Ou seja: números de telefone, características pessoais, documentos etc.

    Existem ainda os dados sensíveis: aqueles que podem ser usados de forma discriminatória, como convicção religiosa, origem racial ou étnica, opinião política, filiação a sindicato e dados referentes à saúde ou vida sexual.

    Há ainda outro tipo de dado, o pessoal anonimizado. São informações referentes a alguém que não possa ser identificado.

    Esses dados estão fora do escopo de aplicação da lei, desde que o processo de anonimização não possa ser revertido e que não sejam usados na formação de perfis comportamentais.

    Os dados anônimos são importantes para as empresas que desenvolvem tecnologias como inteligência artificial e machine learning.

    Um exemplo que ficou muito conhecido em 2019, foi relacionado a varejista de vestuário Hering, famosa por suas peças de roupas básicas.

    A empresa precisou explicar ao Idec o que fazia com os dados de reconhecimento facial que coleta em sua loja no Morumbi, em São Paulo.

    Segundo a varejista, os dados passam pelo processo de anonimização e, portanto, não é possível saber quem são as pessoas que aparecem nas imagens.

    A ideia da companhia com a medida era captar a reação dos consumidores ao ver os produtos.

    Quais dados não são protegidos pela LGPD?

    A lei LGPD é destinada à proteção de dados considerados pessoais, portanto não engloba dados titularizados por pessoas jurídicas.

    Ou seja, informações de empresas não são alcançadas pela lei de proteção de dados.

    A legislação também esclarece outras situações em que as regras de proteção não são aplicadas.

    É o que acontece, por exemplo, nos seguintes casos de tratamento de dados realizados:

    • para fins de investigação e repressão de infrações penais;
    • para fins de segurança pública, defesa nacional ou segurança do Estado;
    • por pessoa natural para fins exclusivamente particulares, jornalísticos, artísticos ou acadêmicos e não econômicos.

    A lei também prevê que os “dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência” não estão protegidos.

    Quando se aplica a Lei LGPD?

    A lei LGPD é aplicável a qualquer operação de tratamento de dados pessoais, sejam elas realizadas em meio digital ou físico.

    Ou seja, qualquer empresa que faz a captura e o uso de dados de pessoas físicas deve se adaptar às regulamentações determinadas pela lei de proteção de dados. Essa regra independe de tamanho e área de atuação da organização.

    Caso a empresa descumpra alguma norma prevista na legislação, a ANPD pode julgar a penalidade mais adequada de acordo com a infração cometida.

    Quais são as implicações da Lei LGPD para as empresas?

    Quais são as implicações da Lei LGPD para as empresas?
    / Quais são as implicações da Lei LGPD para as empresas?

    Esse poder dado ao consumidor exige uma série de adaptações para as empresas, que vem transformando seu sistema de segurança da informação desde que a lei LGPD entrou em vigor.

    Isso porque as organizações precisam atender as demandas desses consumidores, bem como garantir conformidade legal em relação às normas da lei de proteção de dados.

    Com isso, as empresas devem adaptar seus sites, criando áreas dedicadas ao cumprimento de solicitações dos titulares dos dados.

    Além disso, é necessário mudar os processos internos de coleta e tratamento, assim como reforçar a segurança contra ataques cibernéticos que podem resultar no vazamento de informações.

    Hoje, muitas empresas utilizam do big data – a análise e interpretação de grande volumes de dados – para moldar seus produtos e serviços. É o que fazem os varejistas que atuam na internet, por exemplo.

    Eles coletam dados sobre o consumo dos clientes e navegação dos clientes nos e-commerces para determinar o que colocar em destaque e quais itens devem ter descontos, por exemplo.

    E os algoritmos são os responsáveis por essas interpretações.

    Sobre isso, o texto da legislação diz que “o titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito, ou aspectos de sua personalidade”.

    Quem trata os dados só não é obrigado a fornecer critérios e procedimentos se isso revelar segredos comerciais.
    Vale destacar que as regras da lei LGPD são válidas para todas as empresas que captam e processam informações pessoais de alguma maneira, seja online ou offline.

    Alguns exemplos comuns incluem e-commerces e comércios em geral, instituições bancárias e empresas de TI.
    Além disso, a legislação é extraterritorial, ou seja, é aplicável a organizações que têm estabelecimentos no país, que oferecem serviços ou produtos ao Brasil ou coletam e processam dados de pessoas que estejam em território nacional.

    Quais são as sanções da LGPD para as empresas que a desobedecem?

    Além de estabelecer regras sobre como os dados de um indivíduo podem ser coletados, usados e armazenados, a lei LGPD também delineia punições para empresas que violam estas regulamentações.

    Essas sanções variam de advertências a multas que atingem até 2% do faturamento anual de uma empresa, com limite de R$50 milhões por infração.

    A lei determina também a multa diária, que segue o valor máximo de R$50 milhões. O valor da penalidade varia de acordo com a gravidade da infração e dos danos causados ao titular dos dados.

    Existem outras sanções determinadas pela lei de proteção de dados:

    • publicização da infração: torna pública a infração cometida pela empresa;
    • bloqueio de dados pessoais: bloqueia os dados presentes nos sistemas da organização até que ela regularize sua situação;
    • eliminação de dados pessoais: caso a empresa não se adeque às normas de proteção de dados, as informações armazenadas no sistema são eliminadas.

    As consequências são definidas pela Autoridade Nacional de Proteção de Dados Pessoais conforme a infração cometida pela empresa.

    Acompanhe as últimas notícias sobre negócios na CNN.

    Resumo

    A Lei Geral de Proteção de Dados Pessoais, conhecida como lei LGPD, tem como principal função proteger os dados de pessoas físicas compartilhados com as empresas.

    Em vigor desde 2020, a legislação estabelece regras para a coleta, o tratamento e o uso de dados considerados pessoais.

    Segundo o texto, as organizações devem informar a coleta de informações, justificar a finalidade de uso e só podem utilizar os dados apenas com o consentimento do titular.

    Os titulares dos dados têm o direito de escolher compartilhar ou não as suas informações com as empresas e podem retirar o consentimento a qualquer momento.

    Além disso, vale lembrar que o descumprimento das normas pode gerar multas às empresas, com valores que chegam a R$50 milhões.