English

Futuro

Lei Geral de Proteção de Dados: o que é, como funciona e como se adequar?

por: Luís Felipe e Marcelo Carneiro

"Aviso: uso de cookies!". Nos últimos meses você deve ter notado essa mensagem aparecendo em janelas toda vez que visita um site novo. Esse aviso frequente é mais uma das diversas mudanças que vamos presenciar com a chegada da Lei Geral de Proteção de Dados no Brasil, também conhecida como LGPD. Estamos entrando, de fato, na era da informação enquanto bem de consumo.

Esse momento é parte da chamada revolução 4.0. Considerada a Quarta Revolução Industrial, essa indústria representa muito bem o momento em que vivemos, onde dados são decisivos para qualquer negócio. A nova lei de proteção de dados veio para alterar o funcionamento de todas as empresas, no Brasil e no mundo, mas ainda parece nebulosa para muitos. Uma pesquisa levantada pelo Reclame Aqui no ano de 2019, por exemplo, mostrou que 41,6% das empresas brasileiras não sabem o que é a LGPD. 

Mas antes de entender a lei, é importante entender o contexto dela e o por quê de ser tão importante investir em proteção de dados daqui pra frente.

Como surgiu a LGPD?

A origem de tudo isso se dá na informação, visto que ela é o bem mais valioso para a geração de negócios. Um dos primeiros a entender o valor dos dados foi o professor de psicologia Aleksander Kogan, que coletou dados de mais de 270 mil usuários através de um teste no Facebook. Ele reuniu informações como nome, sobrenome, localização e páginas curtidas na rede social e vendeu para uma empresa chamada Cambridge Analytica.

Em 2015 este fato se tornou do conhecimento do criador da rede Mark Zuckerberg, que acusou o professor de violação de dados, visto que o Facebook proíbe o repasse de informações para terceiros. O teste foi suspenso e os dados excluídos - ou pelo menos foi o que se pensou. A partir daí emergiu com ainda mais força a discussão de proteção de dados.

Este caso impulsionou a criação das General Data Protection Rules (GDPR), um conjunto de leis da União Europeia que visa regulamentar a privacidade de dados. E foi a partir da GDPR que surgiu a discussão da LGPD no Brasil, visto que o país também precisa se adequar à lei para fazer parte do bloco econômico.

O que é a LGPD?

Mas afinal o que significa LGPD na prática? Do momento em que ligamos o computador ou acendemos a tela do celular estamos fornecendo dados. No entanto, é preciso entender que dados não são somente os que existem no ambiente digital, como explica Welington Strutz, gerente de pré-vendas da Qriar Tecnologia.

"Um prédio que coleta dados das pessoas que entram e saem é um exemplo bem claro de quem deve se adequar à LGPD, mesmo que o meio utilizado seja papel e caneta", afirma. "Se eu sou dono deste prédio, é importante deixar bem claro para o visitante a razão ou o propósito de coleta dessas informações, e não simplesmente dizer que é 'para fins de cadastro'. O propósito da lei é permitir que as pessoas sejam titulares de seus dados, entendam os motivos pelos quais são coletados e possam decidir se querem ou não que empresas tenham acesso a eles", conta.

Como o exemplo citado no início do artigo, todos os usuários estão bombardeados pelo aviso de cookies ao visitar um portal de notícias. Por mais que nenhuma transação financeira esteja sendo realizada ali, há uma troca de dados onde os portais redirecionam notícias. Esses dados estavam, até então, sendo coletados e utilizados, muitas vezes, sem o consentimento do usuário.

"É preciso descobrir os dados pessoais que a empresa coleta, sejam de clientes, colaboradores e parceiros de negócio, revisar as razões para as quais esses dados estão sendo coletadas, e encontrar oportunidades para simplificar a administração, diminuir o número de cadastros por meio de consolidação onde é possível, e melhorar a experiência dos titulares no acesso e gestão de suas informações nos canais digitais", explica Welington. "Nosso trabalho na Qriar é viabilizar negócios digitais equilibrando conveniência e proteção no acesso, por meio de soluções centradas em identidades e APIs que conectam pessoas, seus dispositivos e informações forma prática e segura".

Quem deve se adequar à nova lei de proteção de dados?

Em outras palavras, toda empresa que coletar informações de clientes vai precisar se adequar à nova lei de proteção de dados, não importa o tamanho ou uso desses dados coletados. "É sobre dar o poder aos titulares da informação de decidirem por manter, apagar ou gerenciar quais dados serão utilizados e como", explica Welington. "E isso vai desde uma portaria de prédio até o setor de Recursos Humanos de uma empresa que guarda currículos; empresas que possuem apenas uma dúzia de cadastros ou empresas com um banco de dados gigantesco".

De acordo com um levantamento realizado pela Capterra, apenas 40% dos pequenos e médios empresários estão preparados para a chegada da LGPD no Brasil. A lei vai exigir que as empresas façam um investimento contínuo para proteger os dados de clientes. A LGPD não será aplicada somente em casos de uso jornalístico, uso acadêmico, uso de segurança pública e em caso de dados que foram originados em outro país e estejam apenas transitando no Brasil.

Vigor e penalidades para o descumprimento da LGPD

A Lei Geral de Proteção de Dados estava prevista para entrar em vigor em agosto de 2020, mas recentemente o Senado votou pelo seu adiamento devido à crise da COVID-19. Isso estende um pouco mais o prazo para as empresas brasileiras se adequarem à nova lei.

Essa votação do Senado determina a data que a lei entrará em vigor, mas seu órgão fiscalizador, chamado de Autoridade Nacional de Proteção de Dados (ANPD), é quem definirá à partir de quando poderá começar a serem aplicadas as sanções. Ainda é necessária a aprovação da Câmara dos Deputados, que deve propor ajustes no futuro.

A vigoração da nova lei implica que qualquer indivíduo, enquanto titular de dados, poderá solicitar acesso aos dados tratados, exclusão ou até mesmo a revogação de consentimento que havia sido concedido previamente.

De acordo com Leandro Avanço, pesquisador da Seção de Automação, Governança e Mobilidade Digital (CIAM) do Instituto de Pesquisas Tecnológicas (IPT), a relação entre a empresa e o órgão fiscalizador da LGPD deve ser feita por um único profissional de dados, o Data Protection Officer. O DPO será o responsável por supervisionar as mudanças dentro da empresa a fim de que ela esteja totalmente de acordo com a nova lei de proteção de dados.

Para quem descumpre a LGPD, as penalidades serão as seguintes: 

  • Uma advertência;
  • Multa de até 2% do faturamento da pessoa jurídica no seu último ano de exercício (com uma limitação de 50 milhões de reais por infração);
  • Multa diária observando a limitação citada acima;
  • Bloqueio dos dados pessoais;
  • Eliminação desses dados pessoais da base de dados da instituição;
  • Suspensão ou proibição da atividade de tratamento desses estados;
  • Publicização da infração.

10 perguntas para medir quão preparada sua empresa está para a LGPD

Para ajudar a sua empresa a verificar quão preparada ela está para a aplicação da nova Lei Geral de Proteção de Dados, selecionamos um checklist.

  1. Você consegue encontrar seus dados?
  2. Você consegue classificar e proteger seus dados?
  3. Você consegue gerir o acesso de empregados aos dados?
  4. Você consegue gerir os seus dados de teste?
  5. Você consegue gerir as aplicações que processam seus dados?
  6. Você consegue evitar abusos de contas de usuário privilegiadas?
  7. Você consegue equilibrar a facilidade de acesso a dados com segurança?
  8. Você consegue gerir dados em diretórios?
  9. Você consegue limpar contas de usuários não-utilizadas?
  10. Você consegue identificar vazamentos de dados em tempo real?

Para mais informações acerca da LGPD e como fazer sua empresa fugir das penalidades, a Qriar Tecnologia possui um time de especialistas em cibersegurança para ajudar seu negócio. Entre em contato aqui!

Compartilhe

Luís Felipe e Marcelo Carneiro

2Future is a holding company formed by companies focused on supporting the future generations.