O que muda nas empresas com a LGPD? - EliteElite

Em vigor desde 18 de setembro de 2020 a Lei Geral de Proteção de Dados (LGPD) ainda gera dúvidas a empresas e pessoas físicas.

A LGPD consiste numa regulamentação que garante a transparência no uso dos dados das pessoas físicas que muitas vezes é feito até mesmo sem o conhecimento do titular.

A norma serve para coibir o tratamento de dados das pessoas físicas em quaisquer meios, proporcionando a proteção desses dados e o direito à liberdade, privacidade e livre desenvolvimento dos cidadãos, contando com a aplicação de multas para motivar o seu cumprimento parte das empresas. Assim, nenhuma instituição pode utilizar os dados de nenhum cidadão sem o seu consentimento explícito. Ou seja, a pessoa deverá ser claramente informada dos termos de uso e extensão da autorização e precisa concedê-la livremente. Além disso, o titular dos dados poderá revogar essa cessão dos dados a qualquer momento. É permitido a ele solicitar informações a respeito da privacidade dos seus dados sempre que desejar e deverá ser respondido obrigatoriamente.

São considerados dados pessoais as informações relacionadas à pessoa natural identificada ou identificável, como dados cadastrais, RG, CPF, data de nascimento, profissão, nacionalidade, gostos, interesses, hábitos de consumo, entre outros. Já os dados pessoais sensíveis são os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico, todos quando vinculados a uma pessoa física. Os dados sensíveis são denominados a parte, por configurarem informações passíveis de discriminação e então, há uma proteção ainda mais rígida a esses dados. Há também o dado anonimizado, que é dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

O impacto real e efetivo da Lei para as empresas é, principalmente, a adequação de todo o sistema à nova legislação que tem a Autoridade Nacional de Proteção de Dados (ANPD) como órgão responsável pela fiscalização da proteção de dados por parte das pessoas jurídicas. A ANPD poderá solicitar a qualquer tempo relatórios de riscos de privacidade às empresas para certificar-se de que as organizações estão tratando o tema internamente e dentro do estabelecido pela LGPD.

Ao que se refere a RH, e-commerce e demais setores, a maior importância é criar dentro da empresa um Comitê de Segurança da Informação, responsável por analisar a atual situação dos procedimentos internos quanto aos dados recebidos. Dentro deste processo, é importante fazer um mapeamento bem detalhado a respeito de como os dados pessoais são tratados e todo o seu ciclo de vida dentro da empresa. Saber para onde vão, onde ficam armazenados, quem tem acesso e se são compartilhados com terceiros. A partir do resultado dessa análise, será possível avaliar o nível de maturidade dos processos dentro da organização e os riscos envolvidos. Detectadas as deficiências, é o momento de iniciar procedimentos para tornar a transação de dados totalmente segura tanto para a empresa quanto para os titulares.

Com a LGPD o tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e informados. Não será mais possível tratá-las com finalidades genéricas ou indeterminadas e as empresas devem explicar para o que usarão cada um dos dados pessoais. Assim, os dados pessoais tratados devem ser compatíveis com a finalidade informada pela empresa, sendo recomendável obter apenas as informações realmente essenciais para o negócio pois quanto mais dados forem tratados, maior será a responsabilidade, inclusive em casos de vazamentos e incidentes de segurança.

Tratamento de dados significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração destes dados

Consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Sobre os direitos do titular dos dados, a LGPD prevê uma série de atos que podem ser realizados por ele, tais como a confirmação com uma empresa se esta trata ou não seus dados, direito que pode ser efetivado de forma simplificada com um mero “sim” ou “não” por parte da empresa, de forma imediata; ou em formato completo, devendo ser respeitado o prazo de até 15 dias para a resposta. É possível ao titular: acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; portabilidade dos dados a outro fornecedor de serviço ou produto; eliminação dos dados pessoais tratados e revogação do consentimento; informação das entidades públicas e privadas com as quais a empresa realizou uso compartilhado de dados; e informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; entre outros.

 A lei é relevante até mesmo para os atuantes em B2Bpois o fato de que as empresas não terão tanta facilidade em obter os dados pessoais dos usuários, será necessário realizar mais pesquisas para conseguir o contato de leads e iniciar uma prospecção.

Por fim, é interessante saber quem são os envolvidos nesse processo de proteção de dados, quais sejam: (i) o titular, pessoa física proprietária dos dados; (ii) o controlador, representado pelo tomador dos dados, ou seja, as pessoas jurídicas; (iii) o operador, que é a empresa responsável pela coleta de dados e sua efetiva segurança através de soluções automatizadas; e (iv) o encarregado, profissional que responde pela proteção dos dados da empresa. É o seu representante, que fará contato com a ANPD quando necessário, e pode até ser responsabilizado junto com a pessoa jurídica no caso de mau uso dos dados ou seu vazamento por qualquer motivo.

 As multas para quem desrespeitar as regras de tratamento de dados pessoais podem chegar até 2% do faturamento e limitadas a 50 milhões de reais.