Segurança

Por Isys Bastos, para o TechTudo


A Lei Geral de Proteção de Dados (LGPD) ou Lei nº 13.709 foi sancionada no Brasil em 14 de agosto de 2018, pelo então presidente Michel Temer. Seu objetivo é regulamentar o uso de dados pessoais pelas empresas, de forma que os cidadãos brasileiros tenham mais segurança e controle sobre as suas informações. A vigência da LGPD estava prevista para agosto de 2020, mas algumas tramitações legais acabaram alterando os prazos iniciais. No último mês de agosto, a lei foi aprovada pelo Senado Federal e agora está aguardando a sansão do presidente para que possa entrar em vigor. De qualquer forma, as punições e multas previstas pelo decreto só serão aplicadas a partir de agosto de 2021.

Essa nova realidade vem causando dúvidas tanto em empresas como em cidadãos comuns. Pensando nisso, o TechTudo preparou uma lista com tudo que você precisa saber sobre a Lei de Proteção de Dados. A seguir, entenda o que é a LGPD, quando entra em vigor e quais são os impactos da nova lei para empresas e pessoas comuns.

LGPD: nova lei de proteção de dados será importante tanto para empresas quanto usuários comuns — Foto: Reprodução/Pond5

Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo

1. O que é a LGPD?

A Lei Geral de Proteção de Dados tem suas bases centradas nos direitos à liberdade e à privacidade, como a livre iniciativa e o desenvolvimento econômico e tecnológico do país, que são considerados fundamentais pela Constituição. Em vista dos diversos escândalos de vazamento de dados pelo mundo, a legislação brasileira viu a necessidade de seguir modelos de regulamentação já adotados em outros países da Europa e das Américas, estabelecendo diretrizes que impactam cidadãos e empresas.

A lei prevê que empresas e órgãos públicos mudem a maneira como coletam, armazenam, usam e compartilham os dados das pessoas. Seu objetivo é garantir mais privacidade, segurança e transparência no trato de informações pessoais, permitindo que os cidadãos tenham mais controle sobre seus próprios dados. As pessoas poderão, inclusive, consultar gratuitamente quais informações suas cada empresa armazena e até pedir a retirada delas do sistema.

2. A LGPD já entrou em vigor?

A LGPD foi sancionada pelo presidente Michel Temer, em 14 de agosto de 2018, e, desde então, as empresas tiveram um período de transição para se adequarem às mudanças. Em julho de 2019, foi aprovada a criação da Autoridade Nacional de Proteção de Dados (ANPD), entidade responsável por fiscalizar o cumprimento da lei. A princípio, a LGPD iria entrar em vigor em agosto deste ano, dois anos após a sanção da lei. Contudo, diversas tramitações no Senado Federal foram alterando os prazos iniciais. Dessa forma, as punições às empresas que descumprirem o decreto só serão aplicadas a partir de agosto de 2021.

Lei Geral de Proteção de Dados Pessoais foi aprovada em agosto de 2018 — Foto: Reprodução/Governo Federal

Já com relação à vigência imediata da LGPD, a medida provisória 959/2020 previa, em seu artigo 4º, o adiamento também para 2021, principalmente por conta das mudanças provocadas pela pandemia de Covid-19. No entanto, a MP foi votada e aprovada pelo Senado, no último dia 26 de agosto sem esse trecho, deixando como válida a determinação da lei original, editada em 2018.

Vale ressaltar, entretanto, que a LGPD ainda não está oficialmente em vigor, pois depende da sanção do Presidente da República, algo que deve acontecer até o dia 17 de setembro. Se ele aprovar, as novas regras passam a valer em 15 dias úteis depois da assinatura, mas se ele não aprovar, elas passam a valer de forma retroativa. Isso significa que, de qualquer forma, as empresas devem estar preparadas para a vigência da LGPD ainda este ano, mesmo que as penalidades só possam ser aplicadas a partir de 2021.

3. Quem vai fiscalizar o cumprimento da LGPD?

A ANPD (Autoridade Nacional de Proteção de Dados) é um órgão federal criado em 2019 com o objetivo de regulamentar e fiscalizar a nova lei, aplicando multas, quando for o caso. A entidade também será responsável por orientar as empresas sobre a aplicação da LGPD. A ideia é que a autoridade funcione como um elo entre o governo e a sociedade, permitindo também que as pessoas enviem dúvidas, sugestões, denúncias ligadas à Lei Geral de Proteçao de Dados para apuração. Nada impede, porém, que órgãos como Ministério Público, Procon e Secom também atuem em questões jurídicas ou aplicação de multas.

Quatro dicas para proteger suas informações online

Quatro dicas para proteger suas informações online

4. O que muda no Marco Civil da Internet com a LGPD?

Na verdade, a LGPD é um complemento ao Marco Civil da Internet, de 2014. Essa primeira lei foi essencial para fornecer uma regulamentação básica às atividades online no Brasil, reconhecendo a categoria de crimes cibernéticos e resguardando as relações na web. A nova lei, por outro lado, atende a necessidades específicas do mundo contemporâneo, assegurando a proteção de dados não apenas online, como também offline. Ao se debruçar sobre as informações que circulam nos cenários público e privado, a LGPD indica as figuras envolvidas, suas responsabilidades e penalidades.

5. O que é tratamento de dados?

Tratamento de dados é um processo abrangente que compreende todas as ações aplicadas a uma informação, seja a coleta, classificação, reprodução, transmissão, distribuição, processamento, arquivamento, modificação, avaliação ou exclusão, por exemplo. A LGPD regulamenta o uso dos dados pessoais e sensíveis de terceiros, ou seja, informações que podem levar à identificação de uma pessoa ou que possam ser usados de forma a prejudicar alguém. Os números de CPF e RG são os principais deles.

6. Quais são os impactos da LGPD para o usuário comum?

O principal impacto da LGPD para o usuário comum é a garantia do direito à privacidade e o controle mais rigoroso sobre suas informações pessoais. Frequentemente, empresas solicitam dados em formulários, mas não deixam claro se eles serão utilizados, de que forma e para qual finalidade. Da mesma forma, essa concessão não podia ser desfeita até então. Com a nova lei, esse processo será obrigatoriamente mais transparente e o cidadão terá direito de solicitar sua exclusão das bases de dados de empresas com as quais não quer mais se relacionar.

Profissionais de TI serão cada vez mais necessários após implementação da LGPD — Foto: Divulgação/Unsplash (by Pakata Goh)

7. O que muda para as empresas?

Com a vigência da Lei Geral de Proteção de Dados, empresas de pequeno, médio e grande porte serão impactadas. A cibersegurança será uma das prioridades da gestão de TI, que deverá atuar implementando sistemas capazes de prevenir, detectar e remediar possíveis violações de dados pessoais. A LGPD tem o objetivo de evitar os principais acidentes no que diz respeito ao tratamento de dados: a utilização inadequada daquela informação ou o vazamento do dado.

Como a adoção de boas práticas será considerada um critério atenuante das penas, que poderão chegar a milhões de reais, a política interna da empresa precisará ser eficaz. Isso inclui ter um comitê de segurança, padronizar fluxos de trabalho e controlar o acesso aos dados, entre outras medidas. Ou seja, as organizações deverão ser mais responsáveis, pensando muito bem antes de solicitar qualquer informação do usuário e sendo transparentes quando essa ação for realmente necessária. Nesse sentido, a recomendação é minimizar a quantidade de dados solicitada, trabalhando apenas com as informações necessárias, e torná-los anônimos sempre que possível.

A LGPD é valida para empresas privadas e públicas, mas obviamente terá um foco maior em organizações que lidam com dados pessoais e sensíveis e monetizam em cima deles, como companhias de telemarketing e e-commerce. A ideia é que elas sejam mais transparentes no uso dessas informações e garantam a proteção de seu titular. Para isso, elas devem pensar a privacidade desde a concepção dos produtos, tornando esse um processo contínuo.

A LGPD permite que pessoas físicas responsabilizem empresas em caso de terem seus dados roubados — Foto: Pixabay

8. Quem é o DPO e como ele vai atuar nas empresas?

DPO (Data Protection Officer) é o profissional que cuida das questões referentes à proteção de dados e regulamentação de privacidade dentro de uma companhia. Ele deve ser capaz de observar e proteger todo o processo de tratamento de dados. Embora as organizações concentrem algumas responsabilidades na figura do DPO, vale ressaltar que todos na empresa devem estar por dentro dessa operação.

9. Quais são as diferenças entre LGPD e GDPR?

A GDPR (Regulamento Geral sobre a Proteção de Dados) é o regulamento do direito à privacidade e proteção de dados pessoais para o cidadão europeu. A LGPD tem muita semelhança com a GDPR, porque foi inspirada nesse modelo, que vigora atualmente na União Europeia. Ambas consideram a mesma base legal para que as empresas possam tratar dados pessoais de usuários: o consentimento explícito do indivíduo.

No entanto, a nova lei brasileira é mais completa e vai além do proposto pelo modelo europeu em alguns pontos. A LGPD reivindica sua amplitude mesmo no exterior e regulamenta o fluxo de dados, inclusive, para outros países. Além disso, ela é mais rígida é quanto ao prazo determinado para que as empresas ofereçam acesso aos dados coletados, caso isso seja solicitado pelo indivíduo. Isto é, se o cidadão decidir revogar o acesso, modificar ou excluir definitivamente alguma informação que concedeu anteriormente, a organização tem um prazo de apenas 15 dias para executar essa ordem, diferente dos 30 dias determinados pela GDPR.

Alguns dados relacionados ao período de transição para a GDPR na Europa podem nos dar alguma noção do que está por vir nos próximos meses no Brasil. De acordo com infomações da Deloitte, empresa de prestação de serviços profissionais, como auditoria, consultoria e assessoria financeira, para a maioria das organizações, o período de transição não foi suficiente para garantir a conformidade com o regulamento.

LGPD é mais completa do que a GDPR da União Europeia — Foto: Pixabay

Por lá, as empresas também tiveram dois anos para se adequarem às mudanças, entre maio de 2016 e maio de 2018. Para se ter uma noção, em novembro de 2017, apenas 15% das organizações acreditava que iria estar de acordo com a GDPR até o prazo final. Além disso, 89% planejavam ter um programa formal de preparação para a regulamentação, mas apenas 45% delas conseguiram de fato.

Em 2018, após a aplicação efetiva da GDPR, somente 34,5% demonstraram conformidade com a lei e 31,6% das organizações esperavam estar com tudo certo nos meses seguintes, até o fim de 2018. Por outro lado, 21,2% não sabiam responder se estavam de acordo com a regulamentação e 12,7% usaram a abordagem "esperar para ver o que aconteceria".

Somente no primeiro ano de aplicação da GDPR, foram aplicadas um total de 359 milhões de euros em multas. Empresas de diversos setores, como aéreo, hospitalar, desportivo e bancário, foram multadas por descumprirem a regulamentação, seja por violação de dados ou por falta de controle de segurança, segundo a Deloitte.

LGPD dará aos usuários mais controle sobre seus próprios dados — Foto: Pixabay

10. Por que é importante entender a LGPD?

Para a população, a nova legislação permite conhecer seus direitos e regular melhor a concessão de suas informações a terceiros, principalmente por meios digitais. Já para as empresas, a LGPD requer uma mudança na política interna, pois tratar os dados com irresponsabilidade poderá acarretar penalidades rigorosas para o negócio. Esse processo de reestruturação exige atenção e pode demorar a ser concluído. Portanto, organizações que não buscarem conhecimento sobre a nova lei o quanto antes estarão ainda mais vulneráveis às sanções administrativas.

11. Existem exceções à LGPD?

Existem algumas situações especiais em que há a possibilidade de empresas utilizarem dados de terceiros sem seu consentimento, desde que isso seja indispensável no contexto desses casos específicos. Algumas dessas exceções são: execução de uma política pública prevista em lei, cumprimento de uma obrigação legal, realização de estudos através de órgãos de pesquisa, defesa de direitos em processo, proteção ao crédito de um cidadão ou preservação da vida e da integridade física de alguém.

Como baixar os dados da minha conta no Instagram? Descubra no Fórum do TechTudo

Mais do TechTudo