LGPD obriga empresas e órgãos públicos a investirem em segurança da informação dos clientes sob pena de responderem judicialmente
Aprovada em 2019 e sancionada em 2020, a Lei Geral de Proteção de Dados do Brasil, construída à imagem e semelhança da lei europeia (a GDPR), atinge em cheio o mundo corporativo em suas esferas pública e privada.
E por quê a LGPD é tão importante? Porque ela aumenta a proteção dos direitos dos titulares de dados pessoais (ou seja, todo cidadão brasileiro) e estabelece as obrigações das empresas e órgãos públicos que detêm esses dados no sentido de salvaguardarem esses direitos.
E a necessidade de proteção de dados dos cidadãos nunca foi tão grande. Isso porque quase todas as organizações do mundo contemporâneo estão baseadas em dados de clientes e de funcionários. E os dados na era digital são usados para capturar nosso perfil de consumo: ele se baseia em nossos históricos de pesquisa na Internet, nas transações e compras que fazemos, em nossas preferências e interesses revelados em redes sociais.
As organizações, claro, também garimpam dados para auto-proteção – por exemplo, para detectar comportamento que seja indicativo de fraude ou outra tendência criminosa. Mas o uso irresponsável e negligente de dados pessoais por parte de empresas (como o vazamento de dados, por exemplo) tem estado na mira da sociedade, e há uma vigilância crescente do público para a forma como os dados pessoais são manipulados (muitas vezes com má-fé ou usura).
TODAS as empresas e organizações, de micro a gigantes, que lidam com dados relativos a cidadãos no Brasil devem cumprir a Lei Geral de Proteção de Dados. Ela traz implicações graves em caso de não-cumprimento: as consequências podem ser multas pesadas – uma indenização pode chegar a R$ 50 milhões, determina o artigo 52 da lei – e danos à reputação.
Não, o mundo corporativo nunca mais será o mesmo.
Mas a LGPD também pode ser vista como um catalisador para mudanças positivas dentro das organizações, pois a implementação de novas estruturas de gerenciamento de dados e a revisão de fluxos de trabalho pode aumentar a eficiência e resultar em espaço para inovações baseadas em dados – ou um novo jeito de lidar com eles, inclusive apontando para novas oportunidades de negócios.
Assim, organizações com um olho no futuro, no processo de se adequarem à lei de proteção de dados acabarão formulando projetos de transformação digital mais amplos em websites e aplicativos de modo a reinventar a empresa, sua marca, as formas de fazer negócios e transações.
Mas, afinal, para efeito da lei, o que significa “dados pessoais”?
Quando as pessoas pensam em dados pessoais, muitas vezes imaginam o tipo de informação que crackers e estelionatários estariam buscando: senhas, contas bancárias, números de cartões de crédito, CPF. Sim, está correto, todos esses são dados pessoais – mas a lista é muito maior.
Na realidade, os dados pessoais, especialmente de acordo com a Lei Geral da Proteção de Dados (art. 5°, I), são uma categoria muito mais ampla, dividida em dois tipos: informação relacionada a pessoa natural identificada ou identificável.
Dados sobre a pessoa natural identificada são o tipo de informação que mencionamos anteriormente: aqueles que identificam você como pessoa física, como o número da sua carteira de habilitação, suas informações biométricas ou número do CPF. É o tipo de informação que pode, por si só ou em combinação com outras informações (como o nome completo de sua mãe), ser usado para provar ou roubar sua identidade.
O segundo tipo de dados pessoais, que é aquele da pessoa natural identificável, inclui quase todas as informações sobre você, desde seu endereço de e-mail, idade e ocupação até o tamanho da camisa e cor favorita – tudo isso é seu dado pessoal, mesmo que não seja possível usar essas informações, de forma isolada, para identificar você individualmente. Essa categoria também inclui qualquer informação que revele sua atividade ou localização, incluindo informações eletrônicas como seu endereço IP, cookies de rastreamento em seu navegador, sinal de GPS e dados de telefone celular.
Mas o que é que as empresas, na prática, precisam fazer para se adequarem à Lei Geral de Proteção de Dados?
- Due Diligence sobre dados pessoais
É o primeiro passo. Due diligence, uma expressão muito usada no mundo corporativo privado, pode ser entendida como um sinônimo de auditoria. É um processo, normalmente feito por uma consultoria especializada, que envolve o estudo, a análise e a avaliação detalhada de informações de uma determinada sociedade empresarial, e sempre ocorre antes da venda, fusão ou incorporação do negócio porque ele permite que se tenha um raio-X da situação da empresa.
Para fins de adequação à Lei Geral de Proteção de Dados, o processo de due diligence inclui identificar os dados (pessoal, sensível, de criança, público, anonimizado) que as empresas detêm, os departamentos que acessam e tratam esses dados, os meios (físico ou digital) em que eles estão disponíveis, quais são seus operadores internos e externos – de modo a mensurar a exposição da empresa à LGPD.
Em outras palavras, a due diligence resultará em um diagnóstico para que as empresas entendam o que estão fazendo de errado e o que precisam corrigir para se adequarem à LGPD. Por exemplo, revisar a forma como os dados são processados, estabelecer procedimentos para proteger os dados, melhorar a capacidade de relatar violações de dados.
As empresas que não adotarem uma abordagem completa para estar em conformidade e implementar procedimentos eficazes para lidar com violações de segurança cibernética poderão estar arcando com riscos significativos em suas transações, o que também pode levar à imposição de multas substanciais, como vimos anteriormente
2. Aderência à lei
Com o diagnóstico em mãos, a empresa terá que garantir que todas as operações que ela realiza envolvendo dados pessoais dos clientes vão ocorrer estritamente de acordo com os princípios da lei, que estão elencados no artigo 6 º.
E quais são essas operações – também chamadas pela lei de “atividades de tratamento de dados”?
São vinte tipos, e estão listados no art. 5º, X: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
E quais são os princípios aos quais todas essas atividades precisam se adequar?
São estes: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
Na prática, o próximo passo então é arregaçar as mangas: revisar e introduzir documentos (contratos, termos, políticas) em conformidade com a lei, criar bancos de dados, adotar medidas de segurança da informação capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, implantar regras de boas práticas e de governança do tratamento dos dados.
As empresas ou órgãos que lidam com processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais estão ainda obrigadas pela lei (art. 5º, XVII) a produzir um relatório de impacto à proteção de dados que pode ser requerido pelas autoridades nacionais do setor a qualquer tempo, assim como devem providenciar medidas, salvaguardas e mecanismos que reforcem a mitigação do risco.
3. Não tem segredo, mantenha-se firme aos princípios da lei
Em resumo, é o seguinte.
Processe os dados dos cidadãos de forma legal, justa e transparente em relação ao titular dos mesmos. Especifique claramente as finalidades, legítimas, para coleta e processamento dos dados, e colete apenas os dados que são relevantes e necessários para os fins para os quais estão sendo processados.
Mantenha os dados precisos e atualizados. Armazene os dados pessoais por tempo não superior ao necessário. Proteja os dados pessoais que sua empresa detém contra acessos não-autorizados ou ilegais, perda ou destruição acidental.
Se você conseguir atender a tudo isso, provavelmente não vai ter problemas com a Lei Geral de Proteção de Dados.
4. Seja transparente
Você deve ser proativo quando se trata de manter os titulares dos dados informados sobre seus direitos e as formas de protegê-los.
Assim, crie um documento de política de privacidade descrevendo todos os direitos dos clientes em detalhes. Dedique uma página separada à sua política de privacidade e torne-a facilmente acessível; mantenha a linguagem clara e simples. Traduza essas informações para todos os idiomas nos quais você faz negócios, se for o caso. Mantenha os titulares dos dados informados sobre as suas políticas de cookies.
5. Consentimento é uma regra de ouro
O consentimento é uma das bases legais que você vai ter que usar para o processamento de dados pessoais – e, ao usá-lo, certifique-se de enviar um pedido de consentimento no momento da coleta de dados, exigir uma ação positiva do titular dos dados para consentimento (aceitação explícita), torne bem fácil aos titulares dos dados a retirada do consentimento a qualquer tempo, e peça consentimento bastante explícito ao coletar categorias especiais de dados pessoais.
6. Sempre responda às solicitações dos titulares dos dados
Informar os titulares dos dados sobre os seus direitos não é suficiente. Você deve dar o seu melhor para cumprir os direitos dos titulares dos dados e responder sem atrasos indevidos todos os seus pedidos.
Que pedidos podem ser esses? Vou listar alguns exemplos.
Seu cliente pode querer saber se você processa dados relativos a ele, e pedir para acessar tais dados. Ele ou ela pode também exigir uma restrição no processamento de seus dados pessoais (por exemplo, se estiver contestando a legalidade de tal processamento).
É possível ainda haver pedidos para retificação de dados pessoais imprecisos, para receber seus próprios dados em um formato de leitura que lhe seja mais familiar, para mover os dados para outro controlador, para interromper o processamento de seus dados pelo setor de Marketing (recebimento de email-marketing ou newsletters, por exemplo).
Alguns clientes podem ainda ter objeções a renovações automáticas, ou pedir que todos os dados relativos a eles sejam apagados. Além disso, cuide de comunicar qualquer retificação, remoção de dados pessoais ou restrição de processamento a todos os destinatários aos quais esses dados pessoais foram previamente divulgados.
7. Proteção de dados e medidas de segurança
Para proteger os direitos e liberdades dos titulares dos dados no que diz respeito ao tratamento de dados pessoais, a Lei Geral de Proteção de Dados postula a utilização de medidas técnicas e organizacionais adequadas.
Isso significa que você precisa implementar medidas de proteção de dados (como criptografia e pseudonimização), criar controles rígidos de acesso a dados, excluir sistematicamente dados pessoais que não sejam mais necessários ou relevantes e aderir aos sete princípios da metodologia privacy by design.
8. Demonstre compliance (conformidade)
A responsabilização é um princípio crucial da LGPD, e ela se traduz em sua capacidade de demonstrar e provar às autoridades do setor que você faz negócios de acordo com as disposições da lei de proteção de dados.
Para ser considerado “responsável” você deve, por exemplo, manter registros detalhados de suas atividades de processamento, cooperar com as autoridades de supervisão, nomear um encarregado de proteção de dados (EPD), realizar avaliações de impacto da proteção de dados (a depender do caso, como vimos anteriormente).
Um dos elementos mais importantes para demonstrar a conformidade é manter registros detalhados das atividades de processamento. A documentação deve conter as razões para a coleta e processamento de dados, descrever as informações que estão sendo mantidas e listar o período de retenção, juntamente com as medidas de segurança de dados tomadas para proteger os dados.
- Encarregado de Proteção de Dados, quem é esse?
Pode ser pessoa física ou jurídica – e, a depender do porte da empresa ou órgão público, vai exercer um papel central no cumprimento das disposições da LGPD.
Assim, é a pessoa física nomeada ou empresa contratada que, além de facilitar a conformidade da corporação à lei através da implementação de instrumentos de responsabilização (por exemplo, elaborando avaliações de impacto sobre a proteção de dados, efetuando ou viabilizando auditorias), os EPD’s servem de intermediários entre as partes interessadas (autoridades de controle, titulares de dados, unidades empresariais dentro de uma organização).
O artigo 41 da Lei Geral de Proteção de Dados estabelece explicitamente que o controlador de dados (empresa ou órgão público) deve indicar alguém que ficará encarregado pelo tratamento de dados pessoais, e estabelece que a identidade e as informações de contato desse encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
As atividades a serem exercidas pelo encarregado estão listadas no artigo: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Dados pessoais sensíveis e anonimizados
São categorias adicionais de dados pessoais que também estão abarcadas pela LGPD. Em outros artigos neste blog iremos abordá-las com maior profundidade, mas por enquanto vou somente dar uma ideia sobre esses tipos de dados.
A Lei Geral de Proteção de Dados (art 5 º, II) define o dado pessoal sensível como sendo aquele dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
E dado anonimizado (art 5 º, III) o dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Os dados pessoais sensíveis devem, idealmente, ser mantidos em separado de outros dados pessoais, de preferência em uma gaveta trancada ou arquivo. Eles só devem ser mantidos em laptops ou dispositivos portáteis se o arquivo tiver sido criptografado e/ou “anonimizado”.
A anonimização mascara os dados, substituindo as informações de identificação por identificadores artificiais. Assim, o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
A criptografia também obscurece as informações, substituindo os identificadores por outra coisa.
Mas, enquanto a anonimização permite que qualquer pessoa com acesso aos dados visualize parte do conjunto de dados, a criptografia permite que apenas usuários aprovados acessem o conjunto de dados completo. A anonimização e a criptografia podem ser usadas simultaneamente ou separadamente.
O tratamento de dados pessoais sensíveis deve obedecer a exigências extras que estão previstas no artigo 11 da LGPD.
Uma das hipóteses é quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas.
Sem fornecimento de consentimento do titular, apenas se o tratamento desses dados for essencial para o cumprimento de obrigação legal ou regulatória pelo controlador dos dados, ou quando for o caso de tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos.
Outra hipótese é a realização de estudos por órgão de pesquisa – garantida, sempre que possível, a anonimização dos dados pessoais sensíveis. Ou para o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral.
Ou ainda quando estiverem em jogo a proteção da vida ou da incolumidade física do titular ou de terceiro; a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos – exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
O que as pessoas ganham com tudo isso?
Todos os cidadãos desfrutarão de novos direitos que lhes darão mais controle sobre como seus dados são usados. Quem não quiser mais ter seus dados retidos, tem o direito de exigir que eles sejam excluídos. É o chamado “direito de ser esquecido”.
Todos vão ter também muito mais facilidade para acessar seus próprios dados. E as empresas passam a ter obrigação de notificar os clientes casos seus dados tenham sido hackeados – embora as chances de isso acontecer fiquem bastante reduzidas pelos métodos de proteção de dados mais rígidos que a LGPD exige (a chamada privacy by design que mencionamos anteriormente).
Se quiser entender um pouco mais sobre os conceitos introduzidos pela LGPD, clique aqui.
Este video do Sebrae também ajuda a entender a LGPD.
