O que as empresas ganham com a LGPD?

Já sabemos que a LGPD é uma lei bem-vinda e que toda e qualquer pessoa está mais protegida com ela.

Mas, e as empresas, ganham algo implementando um bom Programa LGPD? A resposta é: sim, os benefícios que as empresas podem ganhar são visíveis e relevantes, conheça alguns deles logo a seguir.

  • Quem preza os direitos de seus clientes, funcionários, parceiros etc. cria um ambiente de relações de confiança e respeito mútuo com eles. Neste ambiente pelo menos duas coisas boas acontecem:
  • a cultura da empresa se aperfeiçoa: melhora o clima organizacional, o comprometimento dos funcionários aumenta, as fraudes diminuem… e
  • a imagem e a reputação da empresa se fortalecem o que, evidentemente, aumenta a fidelização de clientes.
  • Existem ganhos diretamente ligados aos negócios. Uma pesquisa realizada em janeiro/2020 pela Cisco – uma grande empresa de tecnologia – revelou que cerca de 70% das empresas que adotaram um programa de privacidade e proteção de dados:
  • Receberam benefícios comerciais significativos.
  • Aumentaram a atratividade para investidores.
  • Aceleram os processos de inovação.
  • Otimizaram a eficiência operacional.
  • Diminuíram perdas por violação de dados.
  • Reduziram atrasos nas vendas.

A pesquisa mostrou, ainda, que 82% das empresas já considera as certificações de privacidade como um importante fator na hora da escolha de fornecedores.

  • Há também o ganho da consciência limpa. Ao cumprirem as leis, as empresas afastam das costas de seus proprietários, dirigentes e funcionários as “assombrações das coisas malfeitas”. E, com certeza, evitam malefícios ou penalidades como estes:
  • Bloqueio dos dados pessoais a que se refere a inflação até sua regularização.
  • Suspensão parcial ou total do funcionamento do banco de dados a que se refere a inflação.
  • Suspensão do exercício da atividade de tratamento da dados.
  • Proibição parcial ou total do exercício das atividades relacionadas a tratamento de dados.
  • Multa de até 2% do faturamento da empresa; grupo ou conglomerado até o limite de R$ 50 milhões de reais por infração.
  • Multa diária.
  • Publicização da infração.

Como Mapear os Dados Pessoais?

Antes de iniciar o processo de mapeamento dos dados pessoais tenha em mente que:

  1. Além de servir de insumo paras as próximas etapas da implementação do Programa LGPD, ele não será feito uma única vez, isto é, deve ser atualizado rotineiramente para refletir as mudanças que ocorrem na empresa.
  2. Essa é uma fantástica oportunidade para reorganizar a governança de dados e descobrir formas de qualificar as informações usadas nas operações e nos processos decisórios da empresa. Não desperdice uma chance tão boa de colocar a casa em ordem.

Aqui também vale a máxima: é melhor fazer bem feito logo na primeira vez e, para que isso aconteça, antes de sair fazendo, planeje o trabalho e defina criteriosamente o processo, a planilha e os resultados pretendidos do mapeamento.

Como fazer? Para cada processo responda, no mínimo, as seguintes perguntas:

  • Quais são os dados pessoais que identificam uma pessoa diretamente: nome, nº de documentos… (dados pessoais diretos)?
  • Quais são os dados pessoais que tornam uma pessoa identificável: interesses, hábitos de consumo, profissão, idade, gênero, endereço… (dados pessoais indiretos)?
  • Existem dados sensíveis?
  • Existem dados de crianças e adolescentes?
  • Existem dados sigilosos?
  • Quem são os Titulares?
  • Qual a finalidade dos usos dos dados nesse processo? Aproveitamos para ressaltar que
    • As finalidades deverão ser informadas, de forma clara, correta e tempestiva, aos Titulares – veja abaixo a lista dos direitos e garantias especificados pela LGPD.
    • As finalidades deverão ser justificadas pelas bases legais (vide o Artigo 4).

Por isso, seja preciso e transparente ao responder essa pergunta.

  • O tratamento dos dados é compatível com as finalidades informadas aos Titulares?
  • Quem é o responsável pelo processo e, portanto, pelos dados pessoais?
  • Quem são:
    • As pessoas da empresa que usam ou têm acesso aos dados do processo?
    • As empresas e pessoas externas (fornecedores, prestadores de serviços, parceiros de negócios etc.) que usam ou têm acesso aos dados do processo?
    • Estas pessoas (internas e externas) e empresas realmente precisam usar ou acessar os dados?
  • Como os dados são tratados? As etapas de tratamento listas pela LGPD são: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, edição, eliminação, avalição ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
    • Sugestão: use um fluxograma para retratar o tratamento dos dados.
  • Quais são riscos de perda, vazamento, mau uso etc. dos dados pessoais usados no processo?
  • O que pode ser feito para atenuar os riscos os riscos identificados e avaliado?

Notas:

  • Não esqueça: uma vez que “a mão está na massa”, não tenha pressa e aproveite para avaliar cada processo visando diminuir desperdícios de tempo, recursos etc.
  • Direitos de garantidas do Titular de dados pessoais.

Cabe à empresa ou profissional assegurar que sejam passíveis de serem acessados e exercidos desde o início do processo de tratamento de dados e ao longo do clico de vida do processamento, os seguintes direitos e garantias:

  • Confirmação da existência de tratamento.
  • Acesso aos seus dados pessoais.
  • Correção dos dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação (apagamento) dos dados desnecessários, excessivos ou tratados em desconformidade.
  • Portabilidade a outro fornecedor mediante requisição expressa.
  • Informação das organizações e pessoas com as quais houve compartilhamento dos dados pessoais.
  • Informação sobre consequências de não fornecer o Consentimento.
  • Revogação do Consentimento.
  • Eliminação dos dados tratados com o Consentimento (pedido apagamento).
  • Não discriminação no uso dos dados.

Revisão de decisões automatizadas.

Chegamos ao grande momento: o que a empresa precisa fazer?

A intenção desse artigo é mostrar uma visão geral do esforço necessário para desenvolver e implementar um Programa de Adequação à LGPD.

A lista de atividades apresentadas logo abaixo não é um passo-a-passo detalhado, mas apenas uma indicação (um roteiro simplificado) das principais providências que a empresa precisa tomar em relação à LGPD – elas não são, necessariamente, sequenciais e algumas podem ser realizadas simultaneamente.

  • Selecione o Controlador e o Encarregado de Dados. Avalie a possibilidade de as duas funções serem realizadas por um/a mesmo/a profissional.
  • Realize uma capacitação adequada do Controlador e do Encarregado tendo em vista que caberá a eles a responsabilidade pela implementação e gestão do Programa, bem como o atendimento aos Titulares e à ANPD, orientar os funcionários etc.
  • Crie um Comitê de Proteção e Privacidade de Dados formado por diretores, pelo Controlador e pelo Encarregado. Se a empresa tiver um Comitê de Compliance, avalie a possibilidade de incluir a LGPD entre as atribuições desse comitê.
  • Mapeie os dados pessoais usados nas atividades e negócios da empresa (vide o Artigo 6).
  • Defina as bases legais que autorizam a empresa a tratar dados pessoais (vide Artigo 4).
  • Crie políticas e procedimentos de atendimento aos Titulares.
  • Inclua nos contratos com funcionários, clientes, fornecedores etc. cláusulas relativas à proteção e privacidade de dados pessoais.
  • Defina um Termo de Consentimento de tratamento de dados pessoais e estabeleça rotinas para obter a assinatura física ou eletrônica para usar seus dados pessoais – por exemplo, nos acessos aos sites das empresa.
  • Elabore e divulgue amplamente uma Política de Privacidade contendo a explicação de como a empresa usa e protege dados pessoais.
  • Elabora, divulgue entre os funcionários e Terceiros uma Política de Segurança da Informação e Proteção de Dados Pessoais. Treine anualmente todos os funcionários para que conheçam e apliquem as diretrizes dessa política.
  • Defina um plano de comunicação continuada para os funcionários e parceiros de negócios sobre as políticas e procedimentos da empresa relativos à LGPD.
  • Defina um programa de treinamento continuado para os funcionários e parceiros de negócios sobre as políticas e procedimentos da empresa relativos à LGPD.
  • Desenvolva política e procedimentos de Controles Internos e Auditoria para monitorar e avaliar o cumprimento do Programa LGPD.
  • Elabore política e procedimentos de Gestão de Incidentes (vazamentos, mau uso etc.) com dados pessoais.
  • Elabore um relatório anual para documentar e atestar o cumprimento da LGPD.

Por fim, um alerta:

  • A privacidade e proteção de dados é um tema complexo e muito novo na vida das empresas brasileiras; todos ainda estão aprendendo a lidar com ele. Então, não pense apenas no custo, mas no custo-benefício e não corra o risco de criar um Programa LGPD baseado em “pesquisas” na Internet. Há modos mais seguros e eficientes de se fazer isto.

O que uma empresa pode fazer com os dados pessoais que trata?

Existem 10 bases legais (condições) para uma empresa tratar dados pessoais, em nenhum outro caso o uso de dados pessoais pode ser feito.

O melhor momento para enquadrar o tratamento de dados pessoais é logo após o mapeamento dos dados usados nas atividades e negócios da empresa. Obviamente esta tarefa é fundamental e requer que o Controlador e o Encarregado atuem em estreita parceria com os dirigentes da empresa.

A tabela abaixo sintetiza as bases legais:

I Mediante o fornecimento do consentimento pelo Titular. O consentimento é a autorização expressa do Titular para que seus dados pessoais possam ser tratados. O que está sendo consentido e o prazo do tratamento precisam estar definidos no termo de consentimento.
II Para cumprimento de obrigação legal ou regulatória pelo Controlador. A obrigação legal pode ser uma lei, decreto, resolução etc. municipal, estadual ou federal
III Pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de política públicas. Esta hipótese se refere apenas a órgãos do poder público. Note que os dados pessoais podem ser compartilhados com o setor privado.
IV Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. Qualquer organização pública ou privada legalmente constituída para realizar pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico pode usar dados pessoas em suas atividades.
V Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular, a pedido do Titular dos dados. Sempre que o Titular adquirir produtos ou serviços de uma empresa, os dados pessoais poderão ser tratados para a finalidade específica firmada em contrato entre as partes.
VI Para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Uma empresa ou pessoa pode usar dados pessoais de outras pessoas para defender ou discutir direitos em processos em geral.
VII Para a proteção da vida ou da incolumidade física do Titular ou de Terceiro. Esta base legal está relacionada apenas a questões graves e que ponham em risco a vida ou a integridade física do Titular.
VIII Para a tutela da saúde, em procedimento realizado por profissionais da área de saúde ou por entidades sanitárias. Empresas e profissionais da área de saúde podem tratar dados pessoais com o objetivo específico e único de tutela (proteção) da saúde do Titular.
IX Quando necessário para atender aos interesses legítimos do Controlador ou do Terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção dos dados pessoais. Nem sempre é fácil justificar um tratamento de dados como sendo, de fato, em legitimo interesse – essa expressão é bastante subjetiva e pode gerar muitas controvérsias. Por isso, o uso dessa base legal deve ser feito com cautela, sobretudo quando se tratar de Terceiro.
X Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. Trata-se de informações sobre inadimplência ou adimplência de um Titular com a finalidade de decidir sobre a concessão ou não de crédito.

 

Felizmente, basta que a empresa atenda apenas uma das dez bases legais para que o tratamento seja considerado legítimo ou lícito, mas se existir mais de uma é aconselhável usá-la.

 

 

Quem é quem na LGPD?

O artigo anterior explicou os conceitos de Dados Pessoais, Dados Pessoais Sensíveis e Titular dos dados.

O presente artigo, explica as responsabilidades de três personagens que ocupam o papel central em um Programa LGPD, são eles: Controlador, Operador e Encarregado.

O Controlador é o responsável pelas decisões relativas ao tratamento de dados que acontecem em uma empresa. Cabe a ele garantir que os dados estão sendo usados de acordo com a LGPD.

Ele é o gestor do programa de adequação da empresa à LGPD e, entre suas atribuições, está a definição das finalidades de uso e tratamento dos dados pessoais na empresa.

Sua empresa pode designar um funcionário qualificado e com alçada para ser o Controlador, ou contratar serviços de Terceiros (profissional ou empresa), mas lembre-se, em qualquer opção, a empresa continua sendo a responsável ou corresponsável legal pela proteção e privacidade dos dados.

Por sua vez, o Operador é a pessoa ou empresa que executa serviços de tratamento de dados pessoais em nome do Controlador.

Além de cumprir os requisitos da LGPD, o Operador deve seguir as ordens do Controlador e tratar os dados pessoais de acordo com as políticas de privacidade e proteção de dados da empresa que contrata.

O Controlador responde solidariamente pelos danos causados pelo Operador, se estiver diretamente envolvido no tratamento que resultar em danos.

O Encarregado é a pessoa ou empresa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador (a empresa), os Titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD). Nesse sentido, ele deve atender e solucionar pedidos, reclamações etc. dos Titulares bem como prestar esclarecimentos e adotar providências solicitadas pela ANPD.

O Encarregado também deve orientar o Controlador sobre a melhor forma de tratar os dados pessoais que circulam na empresa, por isso, ele deve:

  1. Ter independência para tomar as decisões necessárias ao exercício de sua função.
  2. Participar de reuniões onde sejam discutidas ou analisadas questões que, de algum modo, podem impactar o tratamento de dados pessoais na empresa.
  3. participar regularmente de atividades de treinamento e atualização de conhecimentos especializados.

Até o momento, o Encarregado não responde por incidentes ocorridos com dados pessoais; essa responsabilidade é do Controlador e/ou do Operador.

Não há espaço para detalharmos aqui as complexas atribuições e responsabilidades do Controlador, do Operador e do Encarregado de dados, mas deixamos aqui uma recomendação:

  • A decisão de quem realizará estas funções é vital: um boa escolha evitará problemas no relacionamento com Titulares e com a ANPD e, claro, no dia a dia da gestão do Programa de Adequação à LGPD.

Por isso, não tenha pressa, faça a escolha com cuidado e com base em critérios técnicos. Isto, certamente, valerá à pena.

O que são e a quem eles pertencem os dados pessoais?

No Artigo 1 lemos que a LGPD serve para proteger direitos fundamentais de qualquer pessoa e que, nesse sentido, ela foi estabelece normas e procedimentos para impedir que empresas ou profissionais, por desconhecimento ou má-fé, usem indevidamente o que não lhes pertence: os nossos dados pessoais. Por esse e por outros motivos, ela é uma lei bem-vinda.

Vimos também que, na prática, essa proteção acontece na medida em que as empresas adotam medidas administrativas e técnicas para evitar que os dados pessoais tratados em suas atividades e negócios sejam negligenciados ou usados indevidamente.

Neste e no próximo artigo, definiremos cinco conceitos: Dado Pessoal, Titular, Controlador, Operador e Encarregado de Dados.

Conhecê-los vale a pena porque sua empresa poderá ter sérias dificuldades para implementar e gerenciar um bom programa de adequação à LGPD se não compreender de forma correta o que cada conceito significa.

Apesar de parecem simples, os conceitos podem dar pano pra manga na hora que de sua empresa precisar definir com precisão quem é quem (Controlador, Operador ou Encarregado) ou resolver impasses com Titulares e seus representantes sobre os usos que faz ou pretende fazer dos Dados Pessoais.

Nesse artigo definiremos os conceitos de dados pessoais, dados pessoais sensíveis, e Titulares. Os conceitos de Controlador, Operador e Encarregado de Dados serão explicados no Artigo 3.

Um Dado Pessoal é qualquer informação – ou conjunto de informações – capaz de identificar direta ou indiretamente uma pessoa.

Esta definição da LGPD nos informa que devemos considerar como sendo pessoais:

  1. Tanto os dados que identificam alguém de modo direto e imediato, usando uma única informação, por exemplo, o CPF ou o nome completo,
  2. Como os dados que, associados a outros, podem ser usados para identificar uma pessoa de forma indireta ou não imediata, por exemplo, juntando dados apelido e endereço residencial.
  • Exemplos: nome, nome dos pais, cônjuges, filhos, nº de documentos (RG, CPF, CNH, passaporte, carteira de trabalho…), gênero, etnia, opções pessoais (religião, sexual…), data e local de nascimento, nº de telefone, endereço residencial, localização via GPS, fotografia, imagens em vídeos, gravações de voz, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP (Protocolo da Internet), cookies…

Além destes, existe uma outra categoria de dados, que por ser especial, é chamada de Dados Pessoais Sensíveis.

  • Exemplos: origem racial, etnia, filiação a sindicato, convicções, opiniões ou filiações a instituição religiosa, filosófica ou política, dado referente à saúde, informações sobre a vida sexual, dado genético ou biométrico…

Se você olhar a lista com um pouco mais de atenção, logo perceberá que os dados pessoais sensíveis revelam informações que, se usadas indevidamente podem prejudicar bastante uma pessoa. É por isso que as regras da LGPD para eles são mais rigorosas.

Chegou a vez de definirmos o conceito de Titular.

A LGPD chama de Titular a pessoa identificada (diretamente) ou identificável (indiretamente) pelos dados pessoais que a sua empresa trata – é importante ressaltar que sua empresa continua sendo responsável pelos dados tratados por um fornecedor ou prestador de serviços de TI.

Algumas complicações com os Titulares podem surgir quando sua empresa precisar ou desejar usar dados de alguém que não quer dar o seu consentimento. O Artigo 4 mostrará o que pode ser feito neste caso.

Você sabia que a LGPD já está valendo?

Você sabia que a LGPD já está valendo?

Comemore, pois isto é muito bom!

Começamos aqui uma série de 8 artigos sobre a LGPD, a famosa, mas ainda desconhecida, Lei Geral de Proteção de Dados Pessoais – muita gente sabe que ela existe, mas poucos ainda sabem o que ela realmente significa e como preparar uma empresa para se adequar a ela.

Os artigos têm um único propósito: entregar-lhe informações essenciais sobre o que sua a empresa deve fazer para ficar em dia com esta Lei e, veja só: colher benefícios decorrentes disto!

A primeira coisa que você deve saber é que a LGPD está valendo desde o dia 18/09/2020 e que todas as empresas que atuam no país devem se apressar para implementar políticas e procedimentos a fim de cumprir as exigências desta tão esperada Lei.

Ok, sabemos que o Brasil tem muitas leis e que isso costuma dificultar a vida das empresas aumentando os custos das operações, criando burocracias cansativas etc.

Porém, basta um pouco de informação sobre os objetivos da LGPD para perceber que ela é uma lei bem-vinda, que merece o nosso interesse e adesão. Logo nas primeira ela anuncia que seu propósito é proteger um conjunto de bens supervaliosos para toda e qualquer pessoa.

Estamos falando dos direitos fundamentais de liberdade e privacidade e de livre desenvolvimento da personalidade. Poucos bens são tão importantes quanto estes.

Trocando em miúdos, a LGPD serve para garantir que todas as pessoas tenham os seus direitos fundamentais salvaguardados. Para que isto aconteça, as empresas e os profissionais devem adotar medidas administrativas e técnicas para proteger os dados pessoais que usam em suas atividades e negócios.

Além disso, as empresas não podem praticar atos de negligência e/ou mau uso dos dados pessoais que tratam.

  • Exemplos: não ter política e dispositivos de segurança da informação, deixar dados pessoais expostos nas mesas das empresa, vazar informações, venda ou compra ilegal de cadastros, realizar ações invasivas de publicidade ou marketing, usar ou compartilhar dados pessoais sem consentimento dos titulares (donos) dos dados…

Assim como ninguém pode usar seu celular sem sua autorização, com a LGPD ficou evidente que ninguém pode usar seu dados pessoais sem o seu consentimento.

Por fim, uma dica importante: nunca esqueça que a LGPD:

  1. Existe para fomentar e proteger o desenvolvimento econômico e tecnológico e a inovação e, portanto, a sua empresa tem muito a ganhar com isto.
  2. É útil e necessária para você, sua família e seus amigos.

Então, não é mesmo uma boa notícia saber que a LGPD está valendo? Compartilhe-a com seus funcionários e parceiros de negócios e não deixe de ler os próximos 7 artigos.