Em um passo importante para a gestão de dados no Brasil, a Lei Geral de Proteção de Dados Pessoais (Lei 13.709) foi sancionada em 14 de agosto de 2018 e publicada como medida provisória (nº 869) no último dia 28 de dezembro.
Relacionada à questão da privacidade da informação e à proteção dos dados pessoais, a legislação marca uma nova fase para o país, que se iguala a outras várias nações que já possuem leis definidas sobre o tema e uma conduta de transparência e bom senso no tratamento dos dados.
Mas como esse novo contexto impacta as empresas? O que seu negócio pode fazer para se preparar para as novas regras? Confira a seguir!
Afinal, o que muda com a Lei Geral de Proteção de Dados Pessoais (LGPD)?
A LGPD estabelece regras específicas para o tratamento de dados pessoais (inclusive digitalmente), de pessoa jurídica ou natural, visando proteger os direitos de privacidade e liberdade, além do desenvolvimento livre da personalidade dos indivíduos.
Como fundamentos, a LGPD brasileira traz:
- Respeito à privacidade;
- Autodeterminação informativa;
- Liberdades de expressão, opinião, comunicação e informação;
- Inviolabilidade da honra, da imagem e da intimidade;
- A inovação e o desenvolvimento econômico e tecnológico;
- Livre concorrência, livre iniciativa e a defesa do consumidor;
- Livre desenvolvimento da personalidade, o exercício da cidadania e a dignidade das pessoas naturais.
Em outras palavras, para possibilitar que os cidadãos tenham um maior controle sobre o modo como seus dados pessoais são tratados, a nova lei determina diversas regras que empresas e outros tipos de organizações terão que seguir.
De maneira geral, a lei determina de que forma as informações pessoais podem ser coletadas e tratadas no Brasil (seja nos meios digitais ou físicos).
A norma também determina punições para casos de abuso e excesso, prevendo indenizações e responsabilidades.
Confira algumas das principais mudanças
- Com a Lei, empresas e organizações públicas só poderão coletar informações pessoais se o titular assim consentir. Para tanto, os cidadãos devem ser informados com clareza a respeito dos dados coletados, estando cientes do objetivo e da possibilidade de compartilhamento;
- Se houver vazamento de informações, a situação deve ser comunicada às autoridades. Dessa forma, podem ser tomadas as ações criminais e civis adequadas;
- Caso haja menores envolvidos na coleta/tratamento de dados, esse processo só poderá ser realizado com a autorização dos pais ou responsáveis. O consentimento deverá ser dado novamente se os dados forem repassados a terceiros ou se a finalidade for alterada;
- No que diz respeito às penalidades para descumprimento da lei, a punição vai variar conforme a gravidade da situação. As ações incluem desde advertências até multas que podem corresponder até 2% do faturamento (com o valor limite de 50 milhões de reais).
*VALE DESTACAR: A Lei adota um conceito amplo de “dado pessoal”, que pode ser entendido como qualquer informação que identifique uma pessoa (ou que, se ligada a outro dado, possa identificar uma pessoa). Nome, sobrenome, RG, CPF, etnia, religião e sexualidade são exemplos de dados pessoais.
Leia Mais: Guia de Treinamento em Segurança da Informação: dicas para a sua empresa
A partir de quando as mudanças começam a vigorar?
Boa notícia: a publicação da LPDP no Diário da União, em 28 de dezembro de 2018, assegurou mais tempo para que as empresas se adequem às novas normas.
A Lei de Proteção de Dados Pessoais do Brasil passará a ser obrigatória depois de 24 meses depois da sua publicação, ou seja, após 28/12/18 (o que adicionou mais 6 meses ao prazo inicial).
Modificações Importantes da LPDP
Além da ampliação do prazo de adequação, a LPDP passou por diversas alterações desde quando começou a ser discutida.
É importante destacar, por exemplo, a criação da chamada Autoridade Nacional de Proteção de Dados – ANPD, que é o órgão responsável por determinar padrões de segurança e também aplicar as punições se houver descumprimento da legislação pelas empresas.
Outro órgão de destaque que também foi criado é o Conselho Nacional de Proteção de Dados e de Privacidade, que terá representantes de diferentes setores para pensar e propor ações e estratégias em segurança da informação.
De que forma as empresas serão impactadas?
Uma coisa é certa: a cultura brasileira de gestão e coleta de dados pessoais terá que ser transformada. Nesse sentido, as empresas (assim como os órgãos públicos) terão que assumir uma postura ativa no processo.
A verdade é que os direitos e deveres relativos ao tratamento das informações pessoais dos brasileiros eram pouco ou nada regulados pela legislação, o que abria brechas críticas de segurança em muitos pontos importantes.
Com a aprovação da lei, as pessoas jurídicas precisarão se inteirar das novas regras e adequar seus processos.
Se a ideia parece desanimadora, há muitos motivos para encarar o cenário com otimismo: uma maior regularização significa fechar negócios com muito mais segurança e solidez, eliminando muitas ameaças e riscos jurídicos.
Não perca: 7 mitos sobre segurança da informação que você precisa conhecer
Como os negócios devem se preparar para o novo cenário?
Algumas organizações já contam com comitês dedicados à proteção de dados (unindo, muitas vezes, profissionais de TI e da área de Direito), mas a grande maioria das empresas ainda precisa se adequar às novas regras e reforçar suas ações de segurança da informação.
Com a Lei 13.709 em vigor, todos os negócios ou entidades que lidem com grandes bancos de dados pessoais (e que portanto respondam juridicamente pelos mesmos) deverão contar com a figura de um encarregado pela área em sua equipe.
Esse profissional será o responsável por esclarecer todas as questões relativas ao tratamento das informações pessoais, tais como:
- Dúvidas e reclamações de titulares;
- Tomar as providências necessárias para a resolução de problemas;
- Atuar como intermediário no diálogo com a autoridade nacional;
- Instruir os funcionários acerca das novas regras e procedimentos.
Vale enfatizar que a necessidade da figura do encarregado ou de uma equipe responsável dependerá do porte/tipo da organização e do volume de dados geridos por ela.
Um outro ponto que tem preocupado os negócios é o custo adicional que essas contratações vão significar. É preciso ter em mente, porém, que a adequação às regras tem um grande saldo positivo.
Além de evitar problemas jurídicos, as empresas que fizerem as devidas adaptações poderão transformá-las em uma imagem positiva para o mercado e para os clientes. Afinal, estamos falando de segurança e esforços de proteção à informação pessoal.
Essas despesas, assim, devem ser encaradas como verdadeiros investimentos, trazendo inclusive vantagem competitiva para as organizações.
E você, o que pensa sobre a Lei Geral de Proteção de Dados Pessoais e os avanços que ela representa? Como sua empresa será afetada pelas mudanças? Compartilhe com a gente nos comentários!
Temos um outro convite! Para ajudar você a potencializar a segurança da informação na sua empresa, elaboramos um Guia Definitivo para proteger seu negócio contra o Ransomware, o crime virtual que tem feito cada vez mais vítimas no Brasil e no mundo.
