LGPD: entenda o que mudou com a nova lei
A maioria dos profissionais estava na expectativa da prorrogação da aprovação desta lei para o ano que vem. Só que isso não aconteceu, como previsto para alguns profissionais que vieram acompanhando essa saga desde o início da jornada, como eu já havia avisado a muitos da adequação.
Agora existe uma urgência para se adequar aos requisitos desta Lei, iniciando pelas adequações pela da área digital ou seja, o site institucional da sua organização.
Do que se trata a Lei Geral de Proteção de Dados Pessoais
Em todo o território nacional, todas as empresas deverão se adequar as ao tratamento do uso dos dados pessoais de clientes e usuários, protegendo seus direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade de qualquer cidadão, independentemente de etnia, cor, classe social, religião, gênero, entre outras características.
Para isso, a lei define que tratamento significa toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Ou seja, é necessário deixar claro a finalidade do uso dos dados operacionalizados pela organização mediante ao seu acesso, como será utilizado, como isso ocorrerá, como será armazenado, por quanto tempo e como será excluído.
Nada mais é deixar um ambiente mais transparente e seguro ao usuário/cliente.
Conceitos importantes da LGPD
A lei começa estabelecendo nomenclaturas e criando algumas figuras no processo de tratamento dos dados. Confira alguns dos conceitos.
- Dado pessoal é qualquer informação relativa a pessoa “identificada ou identificável”
- Dado pessoal sensível é informação relativa a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, saúde, vida sexual ou dado genético ou biométrico
- Dado anonimizado é relativo a um titular que não possa ser identificado
- Banco de dados é o conjunto estruturado de informações pessoais
- Titular é a pessoa a quem se referem os dados
- Controlador é a pessoa responsável por tomar as decisões referentes a tratamento de dados
- Operador é quem executa o tratamento em nome do controlador
- Encarregado é a pessoa responsável pela comunicação entre as três partes: o controlador e o operador (empresa), o titular e a Autoridade Nacional de Proteção de Dados
- Consentimento é a manifestação livre pela qual o titular permite o uso dos dados (o ônus da prova cabe ao controlador)
- Relatório de impacto à proteção de dados pessoais é a documentação do controlador descrevendo o processo de tratamento dos dados que podem gerar risco às liberdades civis.
O que pode e o que não pode com a LGPD
A nova lei proíbe a obrigatoriedade de informar dados pessoais para acessar serviços e produtos. Dados essenciais para o uso do serviço, como e-mail para fazer o login ou endereço para receber o produto, são uma exceção.
O ponto central da LGPD é a necessidade de consentimento expresso do titular para armazenamento dos seus dados.
Fica proibido ceder ou vender informações de contato de potenciais clientes para divulgação de produtos e serviços por telemarketing, por exemplo.
Está proibido até mesmo o uso dos dados por parte da própria organização para uma finalidade diferente daquela que foi combinada com o cliente.
É preciso obter o consentimento específico e ser capaz de provar isso a qualquer momento.
Para os dados considerados sensíveis, o processo é ainda mais rigoroso.
No caso de dados de crianças e adolescentes, é preciso o consentimento de ao menos um dos pais ou responsável legal.
O que está proibido, segundo a lei: “Acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Mas se, por exemplo, o formulário de cadastro de contato obriga o usuário a colocar o CPF, isso deve ser alterado para opcional ou ser retirado, pois não interfere diretamente no negócio.
Da mesma forma, se organização tem um aplicativo gratuito, não será mais possível exigir que o usuário compartilhe a privacidade para acessar as funções do app.
Também é importante ficar atento aos Termos de Uso e à Política de Privacidade da sua empresa. Esses documentos continuarão sendo essenciais, mas, mesmo com todas as informações disponíveis neles, ainda será proibido forçar a aceitação do usuário no que diz respeito aos dados pessoais.
Como adequar a LGPD
Iniciar as adequações de forma imediata já deve ser a sua postura nos próximos dias. Deixe claro a todos os clientes e usuários sobre a forma como sua organização liderá com as questões da Lei de forma mais transparente ao tratamento de dados a partir de agora.
Faça um diagnóstico geral: qual é o caminho que as informações das pessoas percorrem na sua organização? É necessário conhecer toda a vida útil desses dados, desde a coleta até o armazenamento, a finalidade de uso, etc. Dependendo do porte da organização e da complexidade dos serviços realizados, pode ser recomendável a contratação dos serviços de uma consultoria.
Crie uma Política adequada para o Uso dos Cookies. É preciso pedir permissão aos usuários para o uso desta ferramenta, seguidas de uma explicação de como eles funcionam, ficando mais fácil dos usuários confirmarem com uma resposta afirmativa ao seu uso.
Conforme o usuário avance no relacionamento e interação em seu site, maior deve ser a criação de avisos e políticas para o proteção deste dados.
Para não passar batido, fiz algumas dicas para você já iniciar algumas mudanças essa semana em sua organização:
- Crie uma autorização para tratamento de dados pessoais separada das outras cláusulas contratuais. Será mais um documento que precisará ser aceito pelo usuário;
- Incluia na autorização se os dados pessoais serão transmitidos para outras empresas, mesmo que coligadas ou pertencentes aos mesmo grupo econômico;
- Faça um pop-up de consentimento na hora de finalizar o pedido ou o cadastro de um cliente. Informar que os dados serão coletados e processados para questões de faturamento é suficiente;
- Peça a autorização para se comunicar com o usuário por e-mail, SMS e WhatsApp e lembrá-lo, sempre que enviar uma mensagem, que ele já autorizou tal ação. No entanto, é importante disponibilizar uma opção para que usuário deixe de recebê-las quando desejar;
- Implemente uma estrutura para responder aos usuários que passarão a ter o direito de consultar qualquer empresa para saber se ela possui dados referentes a eles, quais são esses dados e como foram obtidos. As informações deverão ser repassadas via internet ou fisicamente, a critério do usuário;
- Além da estrutura para responder, é preciso manter uma equipe para atender aos pedidos de exclusão, pois o usuário poderá requerer à organização que exclua seus dados pessoais após a satisfação das obrigações (pagamento, entrega, entre outros).
Importante ressaltar que você deve nomear e treinar um colaborador ou até mesmo contratar um profissional para ser responsável pela Privacidade e Proteção dos Dados, nomeá-lo como Data Protection Officer, ou DPO, para assegurar que todas as decisões tenham um embasamento legal e uma fiscalização assertiva. É ele quem deve fazer a ponte entre a organização e a Agência Nacional de Proteção de Dados (ANPD), o órgão regulador da lei.
Fiscalização e penalidades da LGPD
A Autoridade Nacional de Proteção de Dados (ANPD) está sendo estruturada de acordo com os requisitos da lei. Entre suas funções está a de zelar pela proteção dos dados, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar as penalidades em caso de tratamento de dados feito de modo ilícito.
A estrutura de penalidades pode desestruturar as organizações, cometendo falhas ao descumprimento da LGPD, confira a lista:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração;
- Multa diária, limitada ao teto de R$ 50 milhões;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por mais 6 meses, até a regularização da atividade de tratamento;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
As punições começam a ser aplicadas a partir de 1º de agosto de 2021. Então, por mais que o prazo para fazer as adequações tenha ficado curto, por enquanto sua organização não receberá uma multa ou qualquer outra pena. As advertências serão no sentido de educar e orientar a forma correta de implementar a LGPD.
Conte com o Inspire Qualidade para adequação da LGPD
Em um primeiro momento, a LGPD pode parecer algo bastante complexo, mas, na verdade, ela é muito mais trabalhosa do que difícil, como vimos ao longo do texto. O que sua organização precisa fazer agora é montar um planejamento rápido e ágil para deixar tudo conforme exige a legislação.
Se você pretende dar os primeiros passos para adequação da LGPD já deve saber que deve começar pelo mapeamento dos processos da Gestão.
Foi por isso que eu criei a Jornada da LGPD indicada para organizações e Cartórios que precisam tomar o primeiro passo para adequar as ações de privacidade e proteção de dados.
Eu mesma irei te ajudar a mapear os itens através dos seguintes passos:
- Identificação dos dados em todos os processos internos
- Identificação da forma de sua armazenagem e acesso aos dados
- Adequações necessárias aos acessos aos dados
- Criação da documentação regulatória interna
- Treinamento da equipe perante a LGPD com foco nos processos
Nesta primeira jornada, serão realizados encontros programados com a equipe executora (Comitê interno) para a construção/adequação do mapeamento geral, orientações e condução para a implantação e adequação prática aos processos internos, com o mínimo de impacto possível.
Auxílio prático junto aos líderes e a equipe no desenvolvimento das novas versões das documentações obrigatórias aos processos, capacitando toda a equipe para a LGPD com foco nos processos, seus impactos e mudanças gerais.
Saiba mais solicitando uma proposta desta jornada para você também!
Antes de contratar qualquer consultoria, verifique se a mesma já possui as adequações do processo da LGPD em cima de seus processos próprios. Congruência é a palavra-chave deste momento!
**********
O Inspire Qualidade é um método de Incentivo, Treinamento e Educação para a Melhoria da Eficiência da Gestão de Cartórios, de forma contínua e sustentada. Foi desenvolvido em 2013 e atende Cartórios e organizações de todos os setores em todo o Brasil, criado e conduzido pela especialista Thais Ribeiro, Fundadora e Consultora da Íntegra Soluções Empresariais.
Thais Ribeiro é Mestra em Consultoria e Gestão das Organizações pela Escola Superior de Justiça (UMSA – Buenos Aires/Argentina), Administradora e Especialista em Normas Técnicas para Sistemas de Gestão e Desenvolvimento Humano. Possui 20 anos de experiência na área de Sistema de Gestão Integrado para a Excelência Organizacional, desenvolvimento da Cultura, comportamento e mentalidade humana, gerenciamento de projetos e equipe, certificações e premiações na área da Gestão. Pós-graduada em Gestão, Inovação e Competitividade. Extensão em Propriedade Intelectual. Auditora Líder das normas ISO9001 (IRCA) e Gestão Integrada (ISO9001, ISO14001, OSHAS18001, ISO26001, ISO31001, ISO37001 entre outras) e Programas Setoriais. Atua como Examinadora em Prêmios da Qualidade em diversos segmentos. Profissional certificada em Segurança da Informação e Proteção de Dados e membro certificada da ANPPD. Empreteca, Coach, Programadora Neurolinguística e Hipnoterapeuta. Contato: thais@inspirequalidade.com.br