Conheça um pouco a nossa empresa
A Lei Geral de Proteção de Dados, conhecida como a “GDPR Brasileira” é uma lei sancionada durante o governo Temer em Agosto de 2018. Ela estabelece os parâmetros para coleta, armazenamento, tratamento e compartilhamento de dados pessoais.
A Lei Geral de Proteção de Dados (LGPD) é uma legislação brasileira que regula a forma como dados pessoais são usados. A lei serve tanto para dados físicos quanto para dados digitais, obtidos pela internet.
Com o crescimento dos gigantes de tecnologia, como Google, Facebook e Amazon, Apple, etc. Os dados pessoais de seus usuários e clientes tonaram-se cada vez mais valiosos, pois, seriam a chave de contato e conhecimento sobre o comportamento e os padrões de consumo destas pessoas.
Você já parou pra pensar que a base de usuários de um Facebook é maior que a população de muitos países no mundo? Que dentro desse universo privado, e 100% controlado, não há uma legislação vigente, internacional e todos são “tratados igualmente”, para além dos tratados internacionais, ou qualquer ordem diplomática.
Junte isso tudo aos mais de 50 milhões de perfis no Facebook manipulados por uma empresa, dando origem ao escândalo da Cambridge Analytica, amplificou-se o debate público sobre privacidade e uso de dados. A forma como empresas obtêm dados e compartilham com terceiros, se apoiando em autorizações mascaradas, passou a ser questionada.
Todos deixam seus rastros pela internet: dados de login, senhas, idade, localização, preferências, gostos pessoais, opiniões políticas e religiosas, cartões de crédito e até nossos rostos. A todo momento as pessoas compartilham essas informações – mas, às vezes, não estão cientes disso.
Nesse cenário de debates e inseguranças a respeito de privacidade, o Brasil seguiu uma tendência mundial e criou a Lei Geral de Proteção de Dados. Essa medida fará com que todas as empresas sejam obrigadas a se ajustar – e, caso não o façam, as penalidades são gravíssimas.
Logicamente que o que chamamos de legislação interna, seriam exatamente os Termos de Uso da plataforma e sua política de privacidade. Contudo, será que esses termos de fato fazem jus aos direitos dos cidadãos em seus países? Como que um país, infinitamente menor que o Facebook (em população e até mesmo orçamento) poderia proteger os dados dos seus?
Não seria esse um risco de proporções diplomáticas, e internacionais? O Facebook tem mais poder que o presidente do seu país?
Pensando agora na Amazon. Qual o impacto dela no comércio e empreendedores locais, caso ela opte por adentrar um novo mercado? A megalomania do maior e-commerce do mundo não para de adentrar novos mercados e países, com um preço extremamente controlado e competitivo, e os padrões de entrega e atendimento ao cliente que para muitos negócios locais é um sonho operacionalmente falando.
Aqui temos mais um risco, o econômico. Se os dados gerados na internet me deixar saber que você esqueceu um tênis no carrinho de um e-commerce, ou que tem interesse em culinária, qual o poder que eu tenho nas minhas mãos seu eu vendo tênis, ou itens de cozinha globalmente?
Isso pra exemplificar apenas 2 quesitos. Poderíamos adentrar o jogo das comunicações, tendo todos os dispositivos (Apple a Android), os servidores que rodam todas essas tecnologias digitais (AWS, Oracle, Microsoft). E até mesmo a saúde, é só ler o exemplo do tênis acima, com um remédio emergencial, ou de uso contínuo. Será que uma farmacêutica tem interesse nesses dados?
Enfim, não à toa que em 2017 a Revista The Economist declarou que os dados seriam o novo petróleo. E assim como todo recurso escasso e valioso, temos uma corrida por ele. As legislações entram em vigor, e a regra internacional tende a ser “meu pirão primeiro”, enquanto for tudo “terra de ninguém”
Justamente neste contexto de empresas crescendo em uma velocidade impressionante, junto com a tecnologia por elas criadas, e a ineficácia de uma legislação forte, que protegesse os cidadãos de um pais para além dos termos de uso das Big Techs, como são conhecidas, nasce então, em 25 de Maio de 2018 para os cidadãos na união européia, a GDPR (General Data Protection Regulation).
É comum que empresas tenham formulários em seus sites coletando e-mails e informações para enviar ofertas e conteúdo personalizado aos clientes e prospects. E-commerces exigem suas informações básicas para que as compras sejam feitas: nome, sobrenome, e-mail, endereço e todos os dígitos do seu cartão de crédito.
Qual é o problema disso? Nenhum, se você trabalha de forma ética. É, inclusive, o que um negócio precisa para levar suas ofertas e satisfazer seus clientes. Mas, após escândalos, como o da Cambridge Analytica, as pessoas passaram a se preocupar mais com a própria privacidade e como seus dados são usados de formas questionáveis (e perigosas) por algumas empresas.
A LGPD, que entrou em vigor em 2020, tornará essa relação entre pessoas físicas e empresas mais justa e aplicará multas que vão de 2% do faturamento até 50 milhões de reais. As pessoas saberão quais dados estão sendo coletados e por quê. As empresas, interessadas nesses dados, darão essas informações, tornando o trabalho ético e transparente.
Mas, para entender melhor a legislação brasileira e suas implicações para CPFs e CNPJs, é necessário olhar para uma lei anterior: a GDPR, lei europeia criada em 2016.
A General Data Protection Regulation (GDPR), em português Regulamento Geral de Proteção de Dados, é um regulamento de direito europeu. Esse regulamento foi feito em 2016 e implementado em 2018.
É importante destacar que, desde que o uso de dados passou a ser relevante na Europa, por volta da década de 80, esse assunto começou a ser discutido. Antes da GDPR surgir, a União Européia já contava, desde 1995, com a Data Protecion Directive que visava a proteção dos dados pessoais.
A GDPR entrou em vigor em um período turbulento, repleto de escândalos e casos de mau uso de dados pelas empresas. Dessa forma, aumentou a pressão para que outros países aderissem e criassem legislações com a mesma finalidade.
Pela primeira vez na história um cidadão europeu poderia entrar em QUALQUER empresa, para perguntar se ela tinha dados dele, ou sobre ele e pedir que os mesmos fossem a ele entregues de maneira formal, ou até mesmo exigir que fossem deletados, sem prejuízo de outras legislações. Sob risco de uma multa pesada contra a empresa que esse pedido não fosse atendido e cumprido.
Usando uma palavra da moda, o cidadão foi empoderado como nunca antes.
A GDPR então revolucionou os mercados como um todo, pois, independente do local onde você atuasse ela protegeria seus cidadãos para além das fronteiras. Como assim? Se um cidadão europeu acessar um site brasileiro, este site está obrigado a tratar os dados do cidadão nos moldes da GDPR, ou em uma lei equivalente local.
Aqui começou o reboliço, pois, nenhum país tinha – há época, tal legislação. Logo, a própria GDPR já anteviu isso e falou que nesse caso, se não houvesse, ou se a legislação fosse menos rígida nos termos de direitos de privacidade, a GDPR iria sobrepor a legislação local, naqueles termos.
Com a LGPD, o Brasil entra para uma lista de cerca de 100 países que contam com normas adequadas de proteção de dados. Esse passo é importante também para relações comerciais internacionais, tendo em vista que países que seguem a lei só fazem parcerias com quem segue as mesmas diretrizes de segurança e privacidade.
Você consegue visualizar então, a pressão que isso fez em todos os países que negociavam, vendiam ou acessavam os dados dos cidadãos europeus?
Logo então começaram a surgir legislações locais que eram quase que um CTRL-C, CTRL V da GDPR para também proteger seus cidadãos e tentar equilibrar o mercado. Cada país também teve sua interpretação não apenas na parte teórica, mas, poderia também observar o que estava acontecendo no mercado interno da Europa com as empresas de lá, que já enfrentavam as mudanças no dia-a-dia delas.
Multas e mais multas contra Google, e Facebook, etc foram aplicadas e bilhões de euros foram repassados até que tecnologias e processos fossem devidamente adequados. E até hoje trabalhasse muito para que o mercado “acostume” com essa situação e saiba navegar esse mar, agora, completamente demarcado.
Enfim, esse é contexto que forçou diversos países a terem a sua própria lei de privacidade. (Até a Coréia do Norte tem uma lei de privacidade, acredite) Logo, o Brasil rapidamente tomou a iniciativa de criar a Lei Geral de Proteção de dados – LGPD, para que já pudesse argumentar a favor dos seus. Desde a sua criação em 2018, até hoje ela teve um tempo de adaptação do mercado para que as empresas de adequassem, período esse que encerrou em Agosto de 2020, deixando apenas as multas para que entrem em vigor em Agosto de 2021.
Segundo os artigos primeiro e terceiro da lei, a LGPD se aplica a qualquer pessoa física ou jurídica de direito público ou privado, desde que:
Ou seja, estrangeiros que entrem em contato com empresas brasileiras e forneçam seus dados também devem ter a privacidade respeitada de acordo com a lei.
E a quem a lei não se aplica?
Segundo o quarto artigo, a lei não se aplica a pessoas naturais que usem dados para fins pessoais e não-econômicos. Também não se aplica a dados utilizados com finalidades exclusivamente jornalísticas, artísticas, acadêmicas e assuntos de segurança pública e defesa nacional, bem como investigações e ações penais.
Mas, para entender melhor em quais casos a lei se aplica e em quais não se aplica, precisamos entender os princípios por trás do regulamento, que é baseado na GDPR.
O sexto artigo da Lei Geral de Proteção de Dados específica dez princípios nos quais se baseia a norma. Esses são os mesmos princípios da GDPR. É importante entendê-los porque é neles que a lei se apoia e, os conhecendo, você saberá como agir e como não agir.
São eles:
Mas, sabendo quais são os princípios por trás da lei e como você deve agir de acordo com eles, surge uma pergunta: em quais circunstâncias os dados podem ser utilizados?
O ato direto ou indireto, online ou off-line de ser ter acesso aos dados pessoais dos cidadãos brasileiros.
Toda “informação relacionada a pessoal identificada ou identificável”. Ou seja, o dado é considerado pessoal quando ele permite a identificação, direta ou indireta, da pessoa natural por trás do dado, por exemplo: nome, sobrenome, data de nascimento, seus documentos pessoais (como CPF, RG, CNH, Carteira de Trabalho, Passaporte e título de eleitor, Carteira de Reservista), endereçs, telefones, e-mails pessoais, cookies e endereço IP.
A LGPD também nos define os dados pessoais sensíveis, aqueles que se referem à: “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Por seu potencial ainda maior de identificação e até mesmo qualificações lesivas e discriminatórias, o tratamento desses têm regras ainda mais rígidas.
É importante destacar que quando temos um dados seu, mas, que não permite a identificação direta ou indireta, temos o chamado Dado Anonimizado. Várias empresas utilizam então de criptografia para ter os seus dados todos anonimizados, evitando assim riscos ainda maiores em caso de vazamentos, por exemplo.
Isso serve para toda interação de coleta de dados, online ou off-line, direta ou indireta.
Qualquer pessoa física, sim. É importante destacar, porém, que as Pessoas Jurídicas tem uma legislação específica que regula os seus dados e os tipos de informações sensíveis, ou que devem ser públicas.
Logo, você enquanto contratado de uma determinada empresa, quando age em nome desta, por exemplo envia um e-mail pela empresa. Tais dados e informações, são consideradas parte da Pessoa Jurídica.
Justamente por isso, seus e-mails da empresa, número de telefone, cadastro do colaborador, etc não são dados pessoais seus, e possuem uma legislação própria, paralela à LGPD.
Contudo, o seu CPF, RG, Carteira de Trabalho, etc – que a empresa usa e processa para te contratar, ou para te vender um produto ou serviço, esses são seus, e estão cobertos pela Lei Geral de Proteção de Dados – LGPD.
Inúmeros são os exemplos: ao responder pesquisas de satisfação em troca de brindes, ao dar seu CPF na farmácia pelo desconto, acesso ao seu cadastro dando a data de nascimento na sua loja preferida, identificar-se e tirar uma foto para entrar em um edifício comercial… Todas estas ocasiões configuram uma coleta de dados pessoais, algumas sensíveis (pesquisas de institutos com menção de raça, opção sexual e religião) e estão sob a alçada de controle da LGPD. Com isso, as empresas devem acelerar a revisão de todos os seus processos internos, pois, qualquer empresa com 1 cliente, ou 1 funcionário cadastrados, por exemplo, já poderiam ser questionados pelos cidadãos livremente.
Justamente por isso, em tempos onde o Big Data com seus inúmeros bancos de dados espalhados pelo mundo e pelas nuvens, são uma moeda valiosíssima, as empresas estão estudando inúmeras maneiras de não apenas poderem manter as suas operações rondando livremente, mas, também e conformidade diminuindo os riscos.
A Lei Geral de Proteção de Dados garante alguns direitos aos titulares dos dados. É importante saber disso porque 1) sua empresa precisa saber como proceder e quais direitos respeitar; 2) seus próprios dados também são compartilhados com empresas.
Mas agora vamos a um dos pontos de maior atenção: quais são as penalidades às empresas que não se adequarem a esse conjunto de leis?
A LGPD prevê seis sanções administrativas, ou penalidades. Caso empresas e organizações não obedeçam por completo o que diz a lei, estarão sujeitas às multas e medidas, que são de acordo com a gravidade da infração.
Veremos quais são essas seis multas:
Mas, muita calma nesta hora!
A ANPD – Autoridade Nacional de Proteção de Dados ainda vai informar muita coisa à respeito disso, e não temos uma jurisprudência ampla sobre o tema ainda. Todo cuidado é pouco, mas, ainda estamos no início desse capítulo.
Aqui mais um artigo sobre as multas pra te ajudar
A ANPD é o órgão do governo federal responsável pela aplicação e execução da LGPD no Brasil. Sua função não se limita apenas em desenvolver regulamentos voltados ao fomento da cultura de proteção de dados pessoais, promovendo adaptações e ajustes para o mercado, mas também auditar empresas e, inclusive, aplicar multas e outras sanções administrativas em casos de desconformidades em relação à LGPD.
Este órgão se insere na esfera federal dos poderes, estando vinculado ao gabinete da Presidência da República, não sendo, por enquanto, completamente independente.
Independente do porte da sua empresa atenha-se a dois pontos de vista que podem te nortear para todo o restante. O olhar Operacional e o viés de uma Cultura de Privacidade. Eles não são necessariamente a sua tábua de salvação, mas, novamente, um excelente começo! Tais óticas, serão o cerne das demais etapas necessárias e deles então, consegue-se “deduzir”e mensurar as coisas, de acordo com tamanho da sua empresa e setor.
Lembre-se, o seu primeiro desafio pode sim ser a adequação, mas, o próximo será a manutenção desta adequação. Por isso, não basta ter a melhor planilha de controle, se a cultura da empresa não favorece a manutenção desta. Abaixo elencamos algumas tarefas que vão te ajudar a entender mais à fundo os passos que você deverá cumprir, seja de maneira independente ou com uma consultoria terceira contratada.
– Desenvolver Processos que te ajudem no mapeamento e gestão de todos os dados que você controle ou opere. Transparência e Consciência de que os dados são agora guardados pela lei, e que “da Portaria ao Presidente” todos têm responsabilidades.
– Revisar os Processos da Empresa, trazendo a corresponsabilidades para as áreas de modo a elencar a passagem de bastão e os contratos, responsabilidades internas e externas que cada área responde.
– Data Mapping / Inventário de Dados sempre atualizado que facilite a consulta sempre que necessário.
– Análise de riscos e segurança para eventuais vazamentos. Tanto nos ambientes online quanto off-line, quais são os riscos de vazamento. Isso deve ser mapeado e elencado no seu controle.
– Listagem de ferramentas e pontos de contato entre pessoas e dados. Qual a sua responsabilidade e como ela reflete nos seus fornecedores e tecnologias que você trás, ou participa da operação destes como fornecedor?
– Análise dos principais contratos internos e externos e as necessidades de adequação. Direito de imagem, contratos trabalhistas, garantias, pós-venda. Toda relação contratual (base legal da LGPD) precisa ser repensada como risco e/ou oportunidade de acessar e processar esses dados.
– Alinhamento das expertises necessárias para que a LGPD seja implementada de maneira ampla e que transborde a importância deste olhar, focado nos dados pessoais e seus riscos, ao longo do dia. Você já deve ter percebido que a LGPD tem um caráter multi-disciplinar. Quem são as melhores pessoas ao seu redor, ou no seu time para te ajudar nestas novas rotinas?
– Legislações paralelas e complementares que são reforçadas ou sobrescritas pela LGPD. Consulte advogados, conselhos regionais e entenda como o seu setor está respondendo às diretrizes da LGPD.
– Inserir no dia-a-dia da empresa uma preferência por planejamentos e processos adequados, que priorizem a privacidade dos titulares independente da área e/ou departamento.
– Delegue aos gestores de áreas a corresponsabilidade e a guarda dos dados pessoais que transitem nos seus departamentos. Eduque, reforce, abra canais de dúvidas para que todos – TODOS da empresa tenham essa consciência.
– Assim como o as leis fiscais da obrigação e direito a Nota Fiscal, e depois a possibilidade de CPFs nas NFs. exigiram muitas mudanças em departamentos específicos, refletindo segurança a toda a empresa, assim também outros departamentos antes isentos, carregam essa responsabilidade em seus processos. Transmita ao marketing, por exemplo, que as suas ações tem um peso diferente agora e que todos contam com a responsabilidade deles.
– Então pense sempre no longo prazo, em como criar rotinas e corrigir erros de modo a estanca-los e não empurrar pra frente!
– Entendendo os princípios do Privacy By Design – Insira isso nos valores e fortaleça uma cultura de privacidade.
– Entendendo o modelo de negócios e as bases legais para a sua empresa, e dos seus clientes. Toda a cadeia está amarrada e é corresponsável quando esse dado é transmitido. Guarde seus processos, e traga austeridade para os demais envolvidos.
Enfim, essa é uma listagem bastante ampla que esperamos ajudar a te nortear no tamanho do desafio de uma adequação. Sim é grande, e sim dá trabalho, mas, é necessário não apenas na ótica empresarial mas, principalmente quando nos colocamos no lugar dos titulares que também somos.
Agora que você entende os princípios por trás da LGPD, já deve ter pensado em várias maneiras de se adequar à norma. Todas as empresas estão fazendo ajustes para se adaptar às melhores práticas de acordo com o regulamento.
Para te ajudar, listamos aqui 12 medidas práticas para sua empresa coletar dados de acordo com o regulamento:
Com essas informações em mãos, você está preparado para se adequar à Lei Geral de Proteção de Dados. Para te ajudar ainda mais, criamos uma ferramenta que te dirá se seu site está adequado. Você pode acessar a ferramenta clicando.
No tópico acima eu listei diversas tarefas que vão te ajudar na adequação.
Mas, de nada vale se a transparência não falar alto e for amarrada em todas estas etapas. Logicamente o seu porte e o seu mercado impactam diretamente o nível de transparência que já lhe são previamente exigidos.
Por exemplo: À primeira vista não pressupomos transparências contábeis de um restaurante. Assim com não buscamos o quadro de limpeza da cozinha, de um escritório de Advocacia. Contudo, no quesito Dados Pessoais e, acima de tudo Dados Pessoais Sensíveis, ambas têm uma responsabilidade – ainda equivalente, diante da LGPD. Pois, a maneira como coletam, tratam e operam esses dados podem oferecer riscos segundo a lei. E, quando falamos de uma multa proporcional ao tamanho da nossa empresa (2% do faturamento bruto) todo cuidado é pouco.
Ou seja, antes mesmo de querer se esquivar da sua responsabilidade ou justificar o seu porte, mercado. Sempre no coloquemos na ótica do titular, que também somos quando saímos de trás do balcão, e tenhamos o respeito para com os dados que nos são confiados.
Quando fazemos uma análise histórica é fácil compreendido que a GDPR foi a pioneira neste campo e influenciou todas as demais, quando criada em 2016. Os textos todos são públicos e estão abertos para a consulta na internet por todos nós.
Elencamos então, aqui, os principais pontos de semelhanças e diferenças:
Diferenças:
Semelhanças:
Hoje a lei já está em vigor desde a Agosto de 2020, tendo apenas o início das multas e penalidades determinado para Agosto de 2021. Ou seja, se você ainda não começou você á está atrasado, pois, em média uma empresa leva 18 meses para se adequar.
Quer algumas dicas?
– Neste artigo mesmo vá para a seção: Por onde começar a adequação à LGPD na minha empresa? Nela temos vários questionamentos que poderia começar a tentar responder, seja pela adequação independente ou via consultorias, por exemplo.
Muito há que se fazer ao decidir para que tenhamos uma jurisprudência madura de fato. A cada decisão amparada pela LGPD, dada pelos juízes e desembargadores… ou, a cada recurso que cita a LGPD em sua defesa, cria-se uma nova oportunidade para a nossa compreensão.
Contudo, Ainda não temos muitas definições sobre isso (Fev.2021), pois, a ANPD ainda está estabelecendo seus processos e diretrizes operacionais. Tão logo tenhamos a ação e multa(s) direta(s) da ANPD teremos esses registros para eventuais consultas.
Vale a pena acompanhar essas decisões no https://lgpdnews.com/ pois sempre nos dão um acompanhamento atualizado das novidades da LGPD.
Ainda não temos muitas definições sobre isso (Fev.2021), pois, a ANPD ainda está estabelecendo seus processos e diretrizes operacionais. Tão logo tenhamos a ação direta da ANPD teremos esses registros para eventuais consultas.
Isso depende muito do seu tamanho como empresa, do mercado que atua, e da sua compreensão de lei. Sem falar na a maturidade dos processos da sua empresa para os novos processos e rotinas que a LGPD trás consigo.
– Neste artigo mesmo vá para a seção: Por onde começar a adequação à LGPD na minha empresa? Nela temos vários questionamentos que poderia começar a tentar responder, seja pela adequação independente ou via consultorias, por exemplo.
Sem “advogues” ou tentando te dar uma resposta perfeitamente técnica. As Bases Legais da Lei Geral de Proteção de Dados – LGPD, são os motivos e razões, amparadas pela LGPD, pelas quais as empresas não só podem, como devem ter acesso aos eventuais dados dos titulares para bem executarem as suas funções.
É essencial que você as entenda no detalhe, e principalmente encontre a base legal que permita a manutenção direta, ou ajustada das atuais operações da sua empresa.
Abaixo então as 10 Bases Legais da Lei Geral de Proteção de Dados – LGPD.
Inúmeras são as discussões e aprofundamentos para cada uma delas.
Certamente as Bases Legais mais populares da LGPD são: Consentimento e o Legítimo Interesse pela facilidade com que se pode tentar justificar o acesso ou uma eventual necessidade pelo Dado Pessoal, manifesta na relação comercial entre empresa e titular do dado (eu e você).
Mas, temos que tomar muito cuidado pela subjetividade pela qual podemos considera-las no embasamento de nossa coleta, tratamento, etc. Se acordo com o Artigo 8 da LGPD o Consentimento não pode ser genérico, subjetivo ou viciado. Então certifique-se de que os consentimentos coletados sejam detalhados e 100% válidos em conformidade com a Lei.
Neste artigo, temos um detalhamento muito bom Desmistificando a Base Legal do Legitimo Interesse.
Há quem defenda essa tese, mas, ele não é tudo!
Um Consentimento viciado, pode inválidar tudo…
Já existem estudos comparando o consentimento com os chamados “Contratos de Adesão”, os famosos “Li e Aceito”dos contratos que nunca lemos, e que facilmente são quebrados pelos advogados da outra parte, principalmente por não haver: Clareza, Opções de tomar uma decisão customizada para aquela pessoa/ocasião, entre outras.
Se esse for o seu caso, e você só enxergue no consentimento a Base Legal para uso dos dados pessoais, consulte um Advogado especialista na LGPD, para que te ajude nas etapas de comunicação, coleta, armazenamento e gestão destes consentimentos.
Ligue agora e faça parte de nossos clientes.