Glossário

LGPD: Tudo o que você precisa saber sobre a Lei Geral de Proteção de Dados

Você já digitou ou forneceu dados em algum serviço ou aplicativo? Sabe o que é feito com eles? Saiba como a Lei Geral de Proteção de Dados pode te proteger.

Apresentado por:

Oguini Consultoria e Inovação

Você já deve ter ouvido falar na LGPD ou Lei Geral de Proteção de Dados, mas não deu muita bola porque achou que isso não tem nada a ver com você? 

Então é melhor parar uns minutos e ler esse post, porque o tema tem mais relação com sua vida do que você imagina. 

Lembra do escândalo do Facebook envolvendo o Cambridge Analytica que afetou milhões de usuários, inclusive brasileiros? 

Você já forneceu seus dados em locais físicos ou na internet e sabe como ou por quem eles são utilizados?

Nossa dependência tecnológica cada vez mais intensa vem acompanhada do risco de exposição. E a consequência disso são vazamentos de dados, venda e utilização ilícita de informações pessoais. 

A Lei Geral de Proteção de Dados veio para controlar e resguardar o usuário desse tipo de situação.

A LGPD foi sancionada depois de anos de debates e pesquisas entre diversos setores da sociedade e traz regras para empresas e órgãos públicos armazenarem as informações de consumidores e usuários.

Com dez capítulos e 65 artigos, a LGPD é um espelho do GDPR (General Data Protection Regulation), uma regulação similar da Europa (falamos dela mais adiante), e determina como dados pessoais podem ser coletados e tratados no Brasil, no que diz respeito aos meios digitais, mas não exclusivamente.

É o caso da solicitação do número do documento de identidade ou o escaneamento de um documento na entrada do condomínio. Esse tipo de coleta também se enquadrará na nova legislação.

Quando começou a se falar em proteção de dados?

Essa é uma discussão antiga que vinha desde o Marco Civil da internet, mas aí houve a necessidade de criar uma lei específica.

Tudo iniciou em 1981, com uma discussão muito forte na Europa quando surgiu a convenção 108 e depois na sequência, em 1995, foi criada a diretiva 46, também européia, que trata mais diretamente dessa proteção de dados.

E dia 25 de maio de 2018 entrou em vigor o chamada GPDR que é o Regulamento Geral de Proteção de Dados da União Europeia. Lá essa legislação vale para todos os países.

O Brasil, apesar de ter o Marco Civil ou Lei N° 12.965/14, considerado de vanguarda, é específico para internet. A lei segue os princípios gerais de proteção de dados pessoais somente para aplicações de internet, como WhatsApp ou Netflix, e para provedores de acesso à internet. 

Todo universo off-line, por assim dizer, que envolve dados pessoais estava sem parâmetro jurídico. 

Como por exemplo a coleta de CPF em farmácias uma coisa que preocupa muitas pessoas. Afinal, o que será que as farmácias fazem ou podem fazer com o histórico de compras atrelado ao CPF, que é o identificador único.

A LGPD estabelece os parâmetros, como por exemplo:

  • Propósito da coleta de dados
  • Consentimento do usuário
  • Punição em caso de vazamento ou venda de dados

Em 14 de agosto de 2018 foi sancionada a Lei nº 13.709, também conhecida como Lei Geral de Proteção de Dados (LGPD). 

Na época o então presidente Michel Temer vetou alguns pontos da Lei, como a criação da Agência Nacional de Proteção de Dados (ANPD), um órgão independente com orçamento próprio responsável pela fiscalização das regras.

Mas no apagar das luzes do governo Temer foi publicada a Medida Provisória nº 869 (MP 869) em 28 de dezembro de 2018 alterando a Lei e incluindo a criação da ANPD, que a princípio havia ficado de fora da LGPD, criando bastante polêmica. 

A MP 869 também adiciona a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade para propor estratégias sobre o tema, entre outras atribuições.

A Medida Provisória também prorrogou a data de entrada em vigor da Lei (confira no fim do post).

Primeiro, conheça o GDPR

O Regulamento Geral de Proteção de Dados ou GDPR foi aprovado pela União Europeia em 2016, estabelecendo novas regras sobre como as empresas gerenciam e compartilham dados pessoais. 

Teoricamente, o GDPR se aplica exclusivamente aos dados dos cidadãos da UE, mas já resultou em mudanças significativas para usuários dos Estados Unidos.

O GDPR define um nível mais alto de exigência para obter dados pessoais. Por padrão, sempre que uma empresa coletar dados pessoais de um cidadão da UE, será necessário o consentimento explícito e informado dessa pessoa. 

Os usuários também precisam revogar este consentimento e podem solicitar todos os dados que uma empresa tem deles para verificar esse consentimento. 

É muito mais forte do que os requisitos existentes e se estende explicitamente a empresas sediadas fora da UE. 

Para um segmento que está acostumado a coletar e compartilhar dados com pouca ou praticamente nenhuma restrição, isso é uma revolução. 

Confira no vídeo mais informações sobre o GDPR:

LGPD na prática: o que é e como vai funcionar no Brasil?

A Lei Geral de Proteção de Dados regulamenta o uso, a proteção e a transferência de dados como nome, endereço e-mail, idade, estado civil e situação patrimonial.

A intenção é proteger o cidadão do uso abusivo e indiscriminado de seus dados. 

A utilização dessas informações pessoais só será possível se houver consentimento explícito do usuário titular. 

Além de pedir consentimento de maneira clara e atender às demandas do usuário sobre manutenção ou eliminação dos dados, as organizações só poderão solicitar os dados que são realmente necessários ao fim proposto. 

A LGPD determina que a organização deverá solicitar novamente consentimento se houver mudança de finalidade ou repasse de dados a terceiros. 

Quando entrar em vigor o cidadão pode ter acesso aos seus dados e pedir que informações sejam corrigidas ou excluídas. 

Ou seja, o usuário poderá questionar se a exigência de determinado dado faz sentido, além de, sempre que desejar, revogar a sua autorização.

Empresas que descumprirem as regras estão sujeitas à multa diária que pode chegar a R$ 50 milhões.

As principais dúvidas sobre proteção de dados e a LGPD:

O que é considerado dado pessoal?

O conceito clássico do dado pessoal é todo aquela informação que possa identificar uma pessoa, ou seja, qualquer informação relacionada a uma pessoa que isoladamente ou em conjunto com outros detalhes, permite identificá-la.

Entre eles, alguns exemplos: 

  • Nome
  • Apelido
  • Endereço residencial
  • Endereço de e-mail
  • Endereço de IP
  • Fotos próprias
  • Formulários cadastrais
  • Números de documentos
  • Impressão digital
  • Imagem facial
  • Imagem da parte do corpo vinculada a algum dado

O que são dados sensíveis?

A LGPD possui uma categoria classificada como “dados sensíveis”, que dizem respeito a informações como crenças religiosas, posicionamentos políticos, características físicas, condições de saúde, vida sexual e até o tipo de comida que você come. 

A utilização desses dados será mais restritiva. 

Nenhuma organização poderá fazer uso deles para fins discriminatórios. A LGPD também exigirá a garantia que eles serão devidamente protegidos.

Quais são as exceções da LGPD?

As regras da Lei não valem para informações tratadas para fins:

  • Acadêmicos
  • Artísticos
  • Jornalísticos
  • Segurança pública
  • Defesa nacional
  • Proteção da vida
  • Políticas governamentais

Todos esses casos deverão ser tratados por leis específicas.

As regras valem só para empresas brasileiras?

A LGPD vale para operações de tratamento de dados realizados no Brasil ou em outro país, desde que a coleta de dados seja feita em território brasileiro.

Por exemplo: se o Google coletar dados de um usuário no Brasil, mas processá-los nos Estados Unidos, terá que seguir a legislação brasileira.

Neste caso, a empresa poderá transferir os dados para sede ou filial estrangeira, no entanto, terá que garantir que o país de destino também tenha leis de proteção de dados ou mecanismos equivalentes aos exigidos no Brasil.

E caso os dados não sejam mais necessários quando uma conta ou serviço tiver sido finalizado, a organização terá que apagá-los. A única exceção é se houver obrigação legal ou outra razão para preservar tais informações.

O que é vazamento de dados?

É a disponibilização ou aquisição indevida de informações, as quais deveriam obedecer a um critério de confidencialidade previamente preestabelecido. Ou seja, de alguma forma tais informações foram disponibilizadas ou adquiridas sem a observância de critérios de confidencialidade previamente estabelecidos.

O conceito de vazamento de dados também deve contemplar a extensão do vazamento, uma vez que busca identificar o nível de propagação do vazamento. Ou seja, quantas pessoas podem ter tido acesso a tais informações.

Um vazamento de dados pode ser originado por um ataque cibernético, onde os criminosos cibernéticos exploram vulnerabilidades em sistemas, para obter tais informações e de alguma forma comercializá-las.

Mas o conceito de vazamento de dados também diz respeito à informação que de alguma forma é encontrada por pesquisadores de segurança, indicando a possibilidade de que outras pessoas tiveram acesso aos mesmos dados.

Normalmente os dados oriundos de vazamentos causados por ataques cibernéticos, são colocados à venda no submundo da web (ou deep web).

Relembrando casos de vazamentos de dados no Brasil

É comum autoridades ou vítimas só ficarem sabendo de vazamentos semanas ou meses depois do incidente. 

Banco Inter

O banco digital brasileiro fez um acordo correspondente a multa de R$ 1,5 milhão com o Ministério Público por ter perdido dados de clientes em um incidente que só se tornou público em maio de 2018. Cerca de 19 mil correntistas foram afetados.

Netshoes

O Ministério Público do Distrito Federal e Territórios ameaçou abrir uma ação civil pública contra a empresa caso os clientes não fossem avisados sobre o vazamento dos dados de 1.999.704 clientes da Netshoes, incluindo nome completo, e-mail, CPF, data de nascimento e mais.

C&A

Um ciberataque no sistema da rede varejista culminou o vazamento de dados de 2 milhões de clientes, incluindo o CPF, email e valor da compra. 

Uber

Apenas em 2018 a empresa informou que havia sofrido um ataque em 2016 e mais de 156 mil brasileiros foram afetados com o vazamento de dados como nome, telefone e e-mail. 

Termos de Uso: o que muda com a LGPD?

Antes, uma pergunta:

Você lê os Termos de Uso de um aplicativo ou serviço?

(   ) Sim

(   ) Não

Boa parte das pessoas concorda com Termos de Uso apresentados, sem ao menos ler o conteúdo do termo com o qual estão se comprometendo.

Existem em estudos da Ciência da Computação com amostras bem grandes de pessoas que provam que o que a gente faz é passar rapidamente para baixo, fazer o Scroll Down, até chegar no botão Concordar. 

Foram feitas análises onde foi avaliado o tempo que as pessoas dedicam quando apresentadas a um Termo de Uso. Os resultados obtidos comprovam que, a grande maioria das pessoas, despende um tempo totalmente incompatível em relação ao tempo necessário para a leitura do Termo de Uso.

A LGPD é um super avanço nesse sentido porque ela proíbe termos genéricos e muito longos. Os Termos de Uso terão que explicar, de forma criativa, o tipo de dados que você precisa ou disponibiliza e para que ou quem você irá precisar ou disponibilizar, respectivamente.

A Lei não se aplica somente a textos escritos. A LGPD também contemplará consentimentos através de outras formas, como por exemplo oral ou interativa.

Desta forma os negócios brasileiros podem inovar, criando robôs que representem as organizações em interações com pessoas, ou até mesmo, através de vídeos interativos.

Com isso garante-se uma comunicação mais dialogada e humanizada. 

O modelo com textos longos originados nos anos 90 – que é um contrato de adesão, com um botão de OK – já é um modelo fracassado na Europa, Estados Unidos e também na América Latina.

Existe um esforço de âmbito mundial para abandonar esse modelo ultrapassado, migrando para um modelo de consentimento mais interativo, no qual o consentimento se dará através de um diálogo e compreensão mais ampla do termo.

O objetivo da nova lei é trazer transparência e facilitação da compreensão de Termos de Uso, para que os usuários possam verdadeiramente compreender e julgar se o Termo é válido ou não.

Quem vai fiscalizar a Lei Geral de Proteção de Dados?

A Agência Nacional de Proteção de Dados é uma peça chave na Lei. 

De acordo com a Medida Provisória, a ANPD será um órgão vinculado diretamente à Presidência da República, e não mais ao Ministério da Justiça. 

A MP também acrescenta que não haverá qualquer aumento de despesas públicas com a criação da Agência. A nova pasta será montada com a reorganização de cargos já existentes.

A ANPD terá a função de fiscalizar empresas e órgãos públicos ou privados para garantir que todos estão obedecendo à Lei Geral de Proteção de Dados. 

Isto inclui garantir punições para casos de vazamento de dados pessoais na internet e mal uso de informações de usuários brasileiros. 

Também está prevista a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que será formado por 23 representantes do poder público e da sociedade civil. Esse grupo será responsável pela realização de estudos, debates e campanhas referentes ao tema.

Qual a punição para quem descumprir a LGPD?

Tudo vai depender da gravidade da situação, a empresa ou organização pode ser advertida ou multada. 

Se for comprovada a infração e determinada multa, poderá ser equivalente a 2% do seu faturamento, mas limitada ao valor máximo de R$ 50 milhões.

Empresas ou organizações que infringirem a lei também poderão ter as atividades vinculadas ao ato de infração, total ou parcialmente suspensas.

Quando a Lei de Proteção de Dados entra em vigor?

Com a publicação da MP 869, houve a prorrogação de 10 meses para adequação da Lei Geral de Proteção de Dados. 

Portanto, a LGPD entra em vigor em 28 de dezembro de 2020, e não mais em fevereiro.

Existe algo positivo em fornecer dados?

As informações em forma de dados, quando utilizadas e gerenciadas de forma adequada, com propósitos específicos, podem produzir resultados positivos.

Já pensou em receber informações focadas e não mais conteúdos genéricos ou spam?

Hoje ninguém tem tempo para mais nada e poder contar com o respeito das empresas que coletam informações pode mudar totalmente a experiência de consumo na web. 

Os usuários, de maneira geral, estão cada vez conscientes desses fatos e as organizações e empresas que se atentarem a isso, sairão na frente.

Preste atenção no seu hábito, desconfie, não se iniba e pergunte por que a empresa está solicitando seus dados. 

O respeito à proteção de dados é um fenômeno global e vai ganhar impulso com a LGPD. 

Por isso reavalie como está tratando os dados pessoais dos seus usuários e porque considera necessário coletá-los. 

Também é importante, enquanto você tem tempo, implantar controles de segurança para proteger as informações dos seus clientes. 

Já pensou no impacto para o seu negócio se o pior acontecer com estes dados? 

Então se quiser saber mais sobre como a Lei Geral de Proteção de Dados vai influenciar suas atividades ou precisa de ajuda para proteger seus dados, é só entrar em contato com a gente para agendar uma conversa.

Até breve!

mm
Autor

Bacharel em Ciência da Tecnologia da Informação pela Universidade de Phoenix, especialista em Segurança da Informação pela Universidade Texas A&M Engineering e certificado ITIL Foundation e PMP. Possui experiência de mais de 20 anos na área de TI e há 3 anos é CEO da Oguini.

Write A Comment