A LGPD chegou para ficar, e quem quiser fazer negócios no Brasil, precisa estar à par de todas as mudanças. O mesmo vale para empresas que fazem negócios com a Europa, e precisam se adequar à GDPR, a legislação europeia que inspirou a criação da nossa lei tupiniquim.
Confira dicas de como se adequar à LGPD e GDPR e entenda as mudanças que sua empresa precisa fazer.
LGPD e GDPR – entendendo mais sobre as leis
Apesar de parecerem “apenas mais obrigações”, as novas leis representam um grande avanço na autonomia do usuário e na segurança digital. Com elas, o tratamento de dados precisa ser realizado com consentimento do proprietário e cautela por parte da empresa. E, por dados, entenda que são informações online e também offline. Mas, como hoje a maioria dos dados são obtidos pela web, a maior parte das adequações deverá ser realizada nesta frente.
A LGPD é relativamente simples de entender. Toda empresa que opera no Brasil está sujeita a ela. Mas, e quanto à sua empresa, que é sediada no Brasil, mas faz negócios com a Europa? Bem, ela precisa seguir tanto a LGPD quanto a GDPR. Ou seja, não importa onde você está, se trabalha com a Europa, precisa seguir a legislação europeia. O descumprimento de qualquer aspecto da GDPR pode trazer multas de 2% a 4% do faturamento, ou até 20 milhões de euros!
A LGPD ainda depende da criação da ANPD (agência regulatória) para aplicar multas, mas os próprios clientes e proprietários de dados podem entrar com ações na justiça se observarem mau uso das suas informações, compartilhamento não autorizado ou qualquer outra falha na segurança. Recentemente, houve casos de empresas que tiveram de pagar indenização por conta desses problemas. Portanto, todo cuidado é pouco, e adequar-se o quanto antes é fundamental.
Se eu estiver adequado à LGPD, estarei adequado à GDPR também?
Não. É preciso se adequar a cada uma das leis. Existem padrões, é claro, mas no geral, são leis diferentes e que demandam ações diferentes.
O que são dados pessoais
A proteção de dados trata em termos gerais dos seguintes conceitos, segundo o texto da Lei n. 13.709, que segue a linha do GDPR:
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Tratamento: toda operação realizada com dados pessoais (por exemplo: campanhas de e-mail marketing);
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Quaisquer dados que possam ser diretamente relacionados a alguém (ou seja, que possuem um dono) devem ser tratados com bastante sensibilidade. Sua coleta, tratamento e armazenamento só podem ser realizados caso haja consentimento – e tudo isso deve estar bem claro para o usuário. Sua empresa é obrigada pela lei a informar que dados está coletando, o motivo da coleta, como é o seu uso, por quanto tempo eles ficarão armazenados e como se dará sua segurança.
Caso isso não esteja claro para o cliente, você provavelmente terá de fornecer explicações e, em casos mais graves, responder na justiça.
Outro ponto importante é a restrição à coleta de dados sensíveis, referentes à origem racial ou étnica, religião, opinião política, vida sexual e saúde do indivíduo, entre outros fatores, a não ser com consentimento explícito e específico do titular, ou nas hipóteses mencionadas no artigo 11 da referida lei.
O titular dos dados pode, a qualquer momento, solicitar uma cópia dos dados armazenados pela sua empresa ou mesmo a exclusão do seu banco de dados. Sua empresa precisa estar preparada para qualquer uma dessas situações.
Como se adequar à LGPD e GDPR
Conscientize seus colaboradores sobre as boas práticas de utilização e tratamento de dados;
Revise suas políticas de privacidade e termos de uso, garanta que todas as questões relacionadas a tratamento de dados estejam bem explicadas;
Apenas use dados com consentimento do usuário;
Revise as frentes de segurança da empresa, entenda quais softwares e hardware representam algum risco e possibilidade de incidentes de segurança;
Por fim, busque uma consultoria especializada, que pode te ajudar a conduzir a adequação à LGPD e GDPR, ou mesmo dar continuidade no que já está sendo feito.