Em resumo, a Lei Geral de Proteção de Dados protege e controla dados pessoais de indivíduos e negócios com o objetivo de normatizar a coleta, utilização e tratamento de dados relacionados a pessoas naturais e vivas.
A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes importantes e obrigatórias para a coleta, processamento e armazenamento de dados pessoais e, em geral, não é um termo tão novo assim, mas muitas pessoas ainda desconhecem o seu significado e existência.
A lei, de nº 13.709/2018, entrou em vigor no Brasil em agosto/2020, sendo inspirada na General Data Protection Regulation (GDPR), que entrou em vigência em 2018 na União Europeia, trazendo grandes impactos para empresas e consumidores, representando um passo importante para o Brasil.
Ela foi um verdadeiro marco pois, com isso, passamos a fazer parte de um grupo de países que contam com uma legislação específica para a proteção de dados dos seus cidadãos. Diante dos atuais casos de uso indevido, comercialização e vazamento de dados, as novas regras garantem a privacidade dos brasileiros, além de evitar entraves comerciais com outros países.
Em resumo, a LGPD protege e controla dados pessoais de indivíduos e negócios com o objetivo de normatizar a coleta, utilização e tratamento de dados relacionados a pessoas naturais e vivas, se fundamentando em diversos valores, tendo como principais objetivos:
- Assegurar o direito dos cidadão à privacidade e à proteção de dados pessoais, por meio de práticas transparentes e seguras, garantindo direitos fundamentais;
- Estabelecer regras claras sobre o tratamento de dados pessoais pelas empresas;
- Fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo;
- Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.
A Lei traz quatro figuras importantes:
- Titular dos dados – Quem fornece o dado;
- Controlador de dados – Quem coleta o dado
- Operador de dados – Quem trata os dados
- Encarregado de dados – Profissional também conhecido como Data Protection Officer (DPO). Este é o agente responsável por conversar com o titular e garantir que a organização segue a LGPD.
Sendo assim, sabendo agora de todos esses detalhes e que ela está em vigor a mais de um ano, você deve estar se perguntando: mas por que somente agora estão falando dela? A resposta é simples, mas não simplista. No Brasil temos leis com e sem eficácia, ou seja, leis que todos cumprem e outras que nem tanto. Por isso, uma forma que os nossos legisladores viram de finalmente botar essa lei em funcionamento e que ela seja cumprida, foi a inclusão de multas e sanções que passaram a vigorar em agosto deste ano.
Agora entendeu porque está todo mundo falando dela? Em agosto as penalidades passaram a vigorar requerendo assim que as empresas e organizações realizem uma série de mudanças quanto ao uso de dados pessoais, haja vista que as punições podem chegar a casa dos milhões ou a proibição total do tratamento de dados.
Quer saber mais sobre a LGPD? Nesse texto vamos explorar mais detalhes sobre a lei e como você pode implementá-la na sua empresa.
A QUEM SE APLICA?
Vamos ser diretos aqui, a lei Geral de Proteção de Dados se aplica a TODAS as empresas que coletam e tratam dados, seja online ou offline, desde que:
- Os tratamentos sejam feitos no Brasil;
- Os dados sejam de pessoas localizadas no território nacional; e
- Os dados tenham sido coletados no Brasil.
No entanto, a lei não se aplica a:
- Tratamentos de dados feitos por pessoa física, para fins particulares e não econômicos;
- Dados coletados para fins jornalísticos, artísticos ou acadêmicos; e
- Dados coletados para fins de segurança pública, defesa nacional, segurança do estado, investigação e repressão penais.
LEGAL, MAS O QUE SÃO DADOS PESSOAIS?
A LGPD trata especificamente dados pessoais, sendo esses todos aqueles vinculados a uma pessoa natural e viva. Com a LGPD, toda coleta de dados precisa explicar como ele será utilizado e para qual fim.
Dentro da categoria desses dados pessoais, podemos dividi-la em dois segmentos: os dados pessoais e os dados sensíveis.
- Pessoais – Endereço, localização, CPF, RG, ou seja, todos os dados que nos identificam de certa forma. A Lei trata especificamente dos pessoais.
- Sensíveis – Informações como religião, filiação a sindicatos, orientação sexual, dentre outros. São informações que podem ser usadas para fins discriminatórios e que precisam de cuidado especial na hora da coleta. Apenas peça se forem indispensáveis na hora da coleta.
A regra sobre coletas de dados atualmente é: coletar o mínimo necessário e somente os dados que forem indispensáveis para aquilo que você está fazendo.
Além destes dois segmentos, outro tipo que se deve ter cuidado são os dados de crianças e adolescentes, se possível, evite a coleta destes grupos. Caso seja necessário, peça sempre autorização dos pais ou responsáveis.
Temos ainda os dados anonimizados. A Lei não se aplica a eles. Se você precisar de um dado nessa categoria, será necessário trabalhar e divulgar isto de forma totalmente anônima.
Ou seja, sempre que o dado for anonimizado (exemplos: nome sem o sobrenome, os três primeiros números do CPF, sem os últimos números, entre outros), isso é uma forma de você conseguir, ainda assim, ter as suas estatísticas, prestar o serviço e não infringir nenhum direito do titular.
COMO DEVEMOS TRATAR OS DADOS?
A partir do momento que você oferece o download de um ebook, fornece um dado para desconto, pede informações para matrícula escolar, esse dado já está sendo tratado.
As fases de tratamento de dados são:
- Coleta – recolhimento de dados pessoais com finalidade específica, seja através de uma landing page, solicitação de CPF para conceder desconto, enfim, qualquer ação em que a empresa recolhe dados de pessoas físicas;
- recepção – ato de receber os dados ao final da transmissão, sendo realizada seguida a fase da coleta;
- processamento – ato ou efeito de processar dados;
- reprodução – cópia de dado preexistente obtido por meio de qualquer processo;
- utilização – ato ou efeito do aproveitamento dos dados;
- armazenamento – ação ou resultado de manter ou conservar em repositório um dado;
- classificação – maneira de ordenar os dados conforme algum critério estabelecido; e
- eliminação – ato ou efeito de excluir ou destruir dado do repositório).
A Lei diz que além do consentimento, você pode tratar as informações desde que elas tenham uma finalidade específica. Por exemplo: você recebeu um montante de cadastros para um processo seletivo da sua empresa.
Depois da escolha do candidato, você deve eliminar os dados das outras pessoas até mesmo do backup. De acordo com a Lei, o dado só não existe mais após ele não poder ser restaurado.
Nesse momento que muitos se perguntam, mas não posso mais ter uma base? Importante ressaltar que a lei veio trazer mais segurança e transparência para como as empresas tratam os dados das pessoas, e não atrapalhar o seu trabalho, ou proibir e-mail marketings, por exemplo.
CONSENTIMENTO E LEGÍTIMO INTERESSE
A LGPD traz dez bases legais que não possuem hierarquia entre si, sendo elas:
- Consentimento do titular;
- Legítimo Interesse;
- Cumprimento de obrigação legal ou regulatória;
- Tratamento pela administração pública;
- Realização de estudos e de pesquisas;
- Execução ou preparação contratual;
- Exercício regular de direitos;
- Proteção da vida e da incolumidade física;
- Tutela de saúde do titular; e
- Proteção de crédito.
As que mais se relacionam com o tratamento de dados realizado pelo Marketing são consentimento do titular e legítimo interesse.
Sobre o consentimento, vamos imaginar o seguinte cenário: O cliente acessa o seu site e encontra um formulário para ele incluir o e-mail e se inscrever em um newsletter semanal. No entanto, além de incluir o e-mail no newsletter, a empresa decidiu incluir este e-mail em uma base de dados para um funil de enriquecimento e ir alimentando com campanhas dos produtos e serviços.
Hoje, com a LGPD e a base legal do consentimento:
- Se você coletou um e-mail com a finalidade de newsletter, é somente pra isso que ele pode ser usado;
- Você não pode fazer uma “venda casada” usando dados coletados para uma finalidade em outra;
- Caso queira fazer isso, seria necessário colocar uma caixinha de pedido de consentimento livre, não obrigatório, solicitando “gostaria de receber as ofertas dos nossos produtos?”; e
- A ausência de resposta ao e-mail solicitando consentimento, para a LGPD, não caracteriza uma autorização.
Com relação ao legítimo interesse, vamos imaginar este cenário: O cliente se cadastrou no seu site para receber informativos sobre casas no Rio de Janeiro. O e-mail foi utilizado para um login, e não foi solicitado nenhuma autorização extra.
Hoje, com a LGPD e a base legal do legítimo interesse:
- Você não precisa do consentimento dele para todas as ações, por isso, pode enviar e-mails relacionados ao tema de interesse, haja vista que ele foi demonstrado na própria ação do cliente;
- O titular não iria se sentir invadido ao receber um e-mail alinhado com o interesse específico dele; e
- Ainda assim, o e-mail deve ter a opção de opt-out, garantindo o direito de oposição do legítimo interesse.
10 DICAS PRÁTICAS PARA A IMPLEMENTAÇÃO DA LGPD
A aplicação da Lei Geral de Proteção de Dados é uma jornada de transformação de todos nós e como lidamos com os nossos dados.
Todos serão impactados. Desde a hora da coleta até a exclusão. É necessário mapear o fluxo de dados e organizá-los. Ou seja, a privacidade deve vir desde a concepção.
Qualquer cliente ou lead que entrar na base de dados da empresa deve ser tratado. Vale lembrar que esta Lei se aplica ao CPF e não ao CNPJ, ou seja, apenas às pessoas. Se sua empresa coleta dados de outras empresas, caso do segmento B2B, por exemplo, essa coleta não se enquadra na LGPD. No entanto, ainda com relação a casos B2B, se a coleta é de funcionários da empresa, a lei se aplica.
Você pode ainda perguntar às pessoas se elas ainda desejam estar na base de dados da empresa e reafirmar o compromisso em manter estas informações em segurança. Pode-se ainda perguntar qual tipo de conteúdo ela deseja receber. Isto com certeza será um diferencial.
Abaixo, listamos 10 dicas para que você possa implementá-la na sua empresa:
1) Treinamento e comunicação: Faça isso com a sua equipe, se a cultura da empresa para coletas de dados não mudarem, podem vir acabar sofrendo alguma multa ou sanção;
2) Tenha uma política de privacidade: Responda, quais dados sua organização coleta? Há compartilhamento com terceiros? Como o titular solicita acesso aos dados?
3) Anonimização: Caso necessite de pesquisa para implementação de marca ou produto, opte por dados anonimizados, eles não estão abrangidos pela lei e podem ser obtidos em grande escala;
4) Infraestrutura: Tenha um plano e invista em infraestrutura para o tratamento de dados. Devermos considerar os ativos que apoiam a implementação da LGPD;
5) Mapeamento de dados: essa ação é primordial para estar em conformidade com a LGPD. Afinal, o conhecimento adquirido no mapeamento de dados é o que permite criar um plano de governança e de adequação à lei.
6) Privacy by Design: leve o risco da privacidade em conta em todo o processo de concepção de um novo produto/serviço;
7) Privacy by Default: Haja rápido no tratamento de dados e tenha o controle necessário para manter a privacidade destes dentro da sua empresa. A demora no tratamento dos dados equivale a um maior custo de remediação;
8) Atenção com o Roadmap: Inicie a adequação do tratamento de dados o quanto antes na sua empresa, para que aa demais áreas da empresa ajustem seus roadmaps;
9) Tenha um sistema de avaliação periódica: Garanta que políticas e procedimentos sejam implementados para detectar, relatar, investigar e responder as violações de dados pessoais, realizando por amostragem dos principais processos da organização; e
10) Gestão de Riscos: Por fim, integre o risco da privacidade de dados às avaliações de risco da empresa.
CONCLUSÃO
Como podemos ver, é uma lei que requer processos, organização, transparência quanto ao titular de dados e clareza em toda a sua solicitação. Mas em toda a coleta, peça sempre o que for necessário, nada a mais.
Aqui na Agência Titânio temos adequado e produzido peças, como Landing Pages e sites, de acordo com a LGPD e orientado nossos clientes quanto a sua implementação.
Precisa de ajuda? Entre em contato conosco, iremos ajudar e lhe orientar também!