A Importância da Lei Geral de Proteção de Dados e o Dever das Empresas de Estarem Adequadas

Por equipe Leonardo Gutierrez Alves Advogados

Na última década, a era digital transformou drasticamente a maneira como vivemos, trabalhamos e nos relacionamos. O fluxo de informações pessoais que compartilhamos online fez com que houvesse a necessidade de regulamentações mais rigorosas para proteger os dados pessoais. Nesse contexto, a Lei Geral de Proteção de Dados (LGPD) surgiu como um marco fundamental no Brasil, estabelecendo regras objetivas e direitos das pessoas físicas em relação à privacidade e segurança de suas informações.

O Que É a LGPD?

A Lei Geral de Proteção de Dados, promulgada em 2018, mas que entrou em vigor em setembro de 2020, é uma conquista legislativa brasileira diante às crescentes preocupações com a privacidade e a segurança de dados pessoais. Ela estabelece regras claras para a coleta, armazenamento e tratamento de informações pessoais, se aplicando a todas as empresas que operam no território brasileiro, independentemente do porte ou setor. Seu principal objetivo é garantir que as informações dos cidadãos sejam tratadas com transparência, consentimento e segurança.

Por Que a LGPD é Importante?

A LGPD não é apenas mais uma regulamentação burocrática. Ela desempenha um papel fundamental na proteção dos direitos individuais e na construção da confiança do público nas instituições.

Abaixo estão algumas razões pelas quais a LGPD é de extrema importância:

1. Privacidade do Cidadão: A LGPD garante que cada cidadão tenha controle sobre suas informações pessoais. Isso significa que as empresas não podem coletar ou usar dados pessoais sem o consentimento explícito do titular. 2. Prevenção de Abusos: A regulamentação evita que empresas usem dados pessoais para fins prejudiciais, como o vazamento de informações sensíveis ou o direcionamento de publicidade invasiva. 3. Reputação Empresarial: Empresas que se adequam à LGPD demonstram seu compromisso com a segurança e a privacidade dos dados. Isso constrói uma reputação positiva e a confiança dos clientes. 4. Sanções por Não Conformidade: A LGPD estabelece multas substanciais para empresas que não cumprem as regras. Isso cria um incentivo adicional para a conformidade.

Etapas da adequação

Para garantir a conformidade com a LGPD, as empresas têm uma série de tarefas a cumprir:

1. Nomear um Encarregado de Dados (DPO): Designar uma pessoa ou equipe responsável por garantir que a empresa esteja em conformidade com a LGPD. 2. Mapear Dados: Identificar quais dados pessoais a empresa coleta, armazena e processa, bem como os fins para os quais esses dados são utilizados. 3. Obter Consentimento: Certificar-se de que os titulares dos dados tenham dado consentimento claro para o uso de suas informações pessoais, caso não tenha outra base legal para o tratamento. 4. Segurança de Dados: Implementar medidas de segurança para proteger os dados pessoais, como criptografia, firewalls e políticas de acesso restrito. 5. Responder a Solicitações dos Titulares dos Dados: Garantir que a empresa possa responder a solicitações de acesso, correção e exclusão de dados pessoais. 6. Educação e Treinamento: Treinar funcionários para entender e cumprir as disposições da LGPD. 7. Avaliação de Impacto sobre a Proteção de Dados (AIPD): Realizar análises de risco quando o tratamento de dados representar riscos específicos para os direitos e liberdades dos titulares dos dados.

Assim, a Lei Geral de Proteção de Dados não é apenas uma obrigação legal, mas também uma oportunidade para as empresas demonstrarem comprometimento com a privacidade e segurança dos dados. Em um mundo digital cada vez mais conectado, a confiança do público é um ativo valioso. Estar em conformidade com a LGPD não apenas cumpre com a lei, mas também fortalece a reputação das empresas e estabelece bases sólidas para relacionamentos duradouros com seus clientes. Portanto, o dever de estar adequado à LGPD é, na verdade, um investimento no futuro e na confiança de todos.

Perguntas e respostas frequentes (FAQ)

1. O que é essa tal de LGPD que todo mundo fala? 

A Lei Geral de Proteção de Dados (Lei 13.709/2018) é uma legislação que estabelece regras claras sobre a coleta, armazenamento e tratamento de informações pessoais no Brasil. O seu objetivo principal é proteger os direitos fundamentais de liberdade e de privacidade, garantindo que as informações dos cidadãos sejam tratadas com transparência e segurança.

2. Minha empresa é pequena, a LGPD se aplica ao meu negócio? 

Sim, a LGPD se aplica a todas as empresas que operam no território brasileiro e que realizam tratamento de dados, independentemente do porte ou do setor em que atuam. Pequenas empresas e startups também precisam se adequar, embora a regulamentação possa considerar a estrutura e o volume de suas operações para exigir programas de conformidade proporcionais aos riscos.

3. O que a lei considera como "dado pessoal"? 

Dado pessoal é qualquer informação relacionada a uma pessoa física (pessoa natural) que a identifique ou a torne identificável. Isso inclui informações óbvias, como nome, RG, CPF, telefone e endereço, até dados digitais como endereço de IP, localização via GPS e hábitos de consumo.

4. E o que são "dados sensíveis"? Tenho que ter mais cuidado com eles? 

Sim, os dados sensíveis exigem uma proteção muito mais rigorosa. São informações sobre origem racial ou étnica, religião, opinião política, filiação sindical, saúde, vida sexual, e dados genéticos ou biométricos. O processamento dessas informações tem regras muito mais restritas para evitar qualquer tipo de discriminação.

5. O que significa "tratar dados" na prática da minha empresa? 

Tratamento é qualquer ação que a sua empresa faz com um dado pessoal. Isso envolve a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, processamento, arquivamento, armazenamento, eliminação ou transferência da informação.

6. Por que estar adequado à LGPD é importante para o meu negócio? 

Além de ser uma obrigação legal, a adequação à LGPD é um investimento na confiança do cliente. Empresas adequadas demonstram compromisso com a segurança e a ética, o que constrói uma reputação positiva e evita escândalos e danos à imagem da marca.

7. O que acontece se a minha empresa não cumprir a LGPD? Quais são as multas? 

As sanções para quem descumpre a lei são severas e variam desde advertências até multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Além disso, a empresa pode sofrer multas diárias, ter a infração tornada pública, ou ter o seu banco de dados bloqueado e as atividades suspensas.

8. Quem fiscaliza isso? Quem vai me multar? 

A fiscalização, implementação e aplicação de sanções são responsabilidade da Autoridade Nacional de Proteção de Dados (ANPD). Além da ANPD, órgãos de defesa do consumidor, Ministério Público do Trabalho e os próprios titulares dos dados podem fiscalizar e acionar a justiça.

9. Preciso de autorização (consentimento) do cliente para tudo agora? 

Não para tudo. O consentimento é apenas uma das "bases legais" previstas pela lei. Você pode tratar dados sem consentimento caso seja para o cumprimento de uma obrigação legal, execução de um contrato, proteção do crédito, ou para atender ao "legítimo interesse" da sua empresa, desde que respeite os direitos do titular.

10. O que é o "consentimento" válido para a LGPD? 

O consentimento válido deve ser uma manifestação livre, informada e inequívoca pela qual o cliente concorda com o uso dos seus dados para uma finalidade específica. Autorizações genéricas ou obscuras são consideradas nulas pela lei.

11. O cliente pode mudar de ideia e retirar o consentimento? 

Sim. O titular dos dados tem o direito de revogar o consentimento a qualquer momento, e o procedimento para essa revogação deve ser gratuito e facilitado pela sua empresa.

12. O que é esse "Encarregado de Dados" ou DPO que me mandaram contratar? 

O Encarregado, também conhecido como DPO (Data Protection Officer), é a pessoa ou equipe indicada pela sua empresa para atuar como canal de comunicação entre a empresa, os clientes (titulares dos dados) e a ANPD.

13. Qual é a diferença entre Controlador e Operador de dados? 

A LGPD divide os agentes de tratamento em dois: o Controlador é quem toma as decisões sobre o que fazer com os dados (geralmente a sua empresa), e o Operador é quem realiza o tratamento em nome do controlador (por exemplo, uma agência de marketing ou um escritório de contabilidade terceirizado).

14. Como a LGPD afeta o RH (Recursos Humanos) da minha empresa? 

O RH é uma área de alto impacto, pois lida desde a coleta de currículos em processos seletivos até a folha de pagamento e planos de saúde. A empresa deve ser transparente com os empregados sobre quais dados coleta, com quem compartilha e por quanto tempo vai guardá-los.

15. Posso manter currículos de candidatos não contratados guardados na minha gaveta ou sistema? 

É preciso cautela. Ao receber um currículo, o candidato deve ser informado sobre as regras do processo seletivo e por quanto tempo os dados serão armazenados. Dados sem justificativa de retenção devem ser eliminados com segurança (como picotar papéis ou deletar arquivos digitais) após o período informado.

16. A LGPD proíbe o envio de e-mail marketing e as minhas newsletters? 

Não proíbe, mas exige regras claras. O marketing deve basear-se na permissão do consumidor (opt-in explícito) e deve sempre oferecer a opção fácil para cancelar o recebimento daquele conteúdo (opt-out).

17. Minha empresa usa um sistema de gestão de clientes (CRM). Isso é um problema? 

Os sistemas de CRM armazenam um vasto conjunto de informações e histórico de interações com clientes, sendo fundamentais, mas exigem adequação rigorosa. Você deve garantir que possui permissão e finalidade clara para manter essas informações e assegurar que o sistema proteja esses dados contra vazamentos.

18. Quais são os direitos do meu cliente sobre os dados dele agora? 

O cliente possui diversos direitos, incluindo: saber se a empresa tem os dados dele, ter acesso a essas informações, corrigir dados errados, excluir dados desnecessários, pedir a portabilidade para outra empresa e saber com quais parceiros a empresa compartilhou suas informações.

19. Por onde eu começo a adequar a minha empresa à LGPD? 

O primeiro grande passo é fazer o "mapeamento de dados" (data mapping). Você precisa identificar exatamente quais dados entram na empresa, onde ficam armazenados, para que são utilizados, com quem são compartilhados e quando são descartados.

20. Preciso mudar os contratos da minha empresa? 

Sim. É necessário revisar e atualizar termos de uso, políticas de privacidade, contratos de trabalho e acordos com fornecedores para incluir cláusulas claras e transparentes que obedeçam às exigências da LGPD.

21. O que é o "Legítimo Interesse" que o pessoal do jurídico recomenda usar? 

O legítimo interesse é uma base legal que permite o uso de dados sem consentimento para finalidades como o apoio e promoção das atividades da empresa ou para prevenir fraudes. Contudo, a empresa só pode usar os dados estritamente necessários para aquela finalidade e deve garantir total transparência sobre o processo.

22. O que eu faço com o "legado", ou seja, o banco de dados de clientes antigos que já tenho? 

Os dados coletados antes da lei também precisam ser adequados. Você deve avaliar sua base atual: o que não tiver uma justificativa legal para ser mantido deve ser eliminado, ou você deverá pedir um novo consentimento aos clientes para continuar usando essas informações.

23. A LGPD vale para dados anotados no papel (cadernos, agendas) ou só no computador? 

A lei vale para ambos os meios. A LGPD se aplica a qualquer operação de tratamento de dados pessoais, tanto nos meios digitais quanto nos físicos, o que significa que arquivos em papel, currículos impressos e fichas de cadastro físicas também devem ser protegidos e descartados com segurança.

24. Se os dados dos meus clientes vazarem por um ataque de hacker, o que devo fazer? 

Isso é considerado um incidente de segurança. A empresa (controlador) tem a obrigação de comunicar imediatamente à Autoridade Nacional (ANPD) e aos titulares dos dados afetados se o vazamento puder causar algum risco ou dano relevante.

25. Se eu terceirizar um serviço e essa empresa parceira vazar os dados dos meus clientes, minha empresa também é culpada? 

Sim, existe a responsabilidade solidária. O Controlador (sua empresa) e o Operador (terceirizada) podem responder de forma solidária pelos danos causados em caso de violação à lei. Por isso, é vital exigir contratualmente que seus parceiros também cumpram a LGPD.

26. Como eu protejo os dados da minha empresa na prática contra vazamentos? 

A lei exige a adoção de medidas técnicas e administrativas de segurança. Na prática, isso envolve o uso de antivírus, firewalls, senhas fortes, criptografia, restrição de acesso apenas aos funcionários necessários e a criação de políticas internas rigorosas.

27. A LGPD vai impedir minha empresa de consultar o SPC/Serasa para vender parcelado? 

Não. A própria LGPD estabelece a "proteção do crédito" como uma das bases legais que permitem o tratamento de dados pessoais, dispensando a necessidade de consentimento expresso para essa finalidade específica.

28. Posso usar robôs ou algoritmos para avaliar o perfil de crédito de um cliente de forma automatizada? 

Sim, você pode, mas deve seguir regras de transparência.

A LGPD garante ao cliente o "direito à explicação" e permite que ele solicite a revisão (por uma pessoa humana) de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses.

29. Meus funcionários precisam de treinamento sobre a LGPD? 

É fundamental e obrigatório. A educação dos usuários é o pilar de uma política de segurança, e a empresa deve promover treinamentos e campanhas de conscientização contínuas para todos os colaboradores, do faxineiro ao presidente, pois a falha humana é uma das maiores causas de incidentes.

30. Adequar a empresa é só fazer um documento jurídico uma vez e o problema está resolvido? 

Não. A conformidade com a proteção de dados é um projeto contínuo, não pontual. A empresa precisa estar em constante revisão das suas rotinas, aprimorando tecnologias, atualizando documentos a cada dois anos, treinando a equipe e incorporando a cultura de privacidade no DNA do negócio.