Entenda o que é LGPD e como a nova lei de proteção de dados impacta as empresas
Escândalos de vazamentos de dados, como o que ocorreu entre o Facebook e a empresa britânica de big data e marketing político Cambridge Analytica, gerou uma ampla discussão sobre ética relacionada ao uso de dados pessoais. Pouco tempo depois do escândalo que obrigou Mark Zuckerberg a depor no Congresso dos Estados Unidos, levando-o a reconhecer o vazamento de dados e pedir desculpas a milhões de usuários da rede social, diversos países apresentaram leis para assegurar aos cidadãos a proteção de seus dados.
Em maio de 2018, a União Europeia implementou seu Regulamento Geral de Proteção de Dados (GDPR), impactando também o Brasil que, em agosto de 2018, aprovou a Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018), que entrará em vigor em agosto de 2020.
O que é a LGPD?
Inspirada no GDPR, a Lei Geral de Proteção de Dados (LGPD) altera o Marco Civil da Internet, de 2014, com objetivo de proteger dados tratados no Brasil. A LGPD cria uma regulamentação para o uso, transferência e proteção de dados pessoais, tanto para pessoas físicas quanto jurídicas, nos âmbitos privado e público, e estabelece de modo claro quem são as figuras envolvidas e quais são suas atribuições, responsabilidades e penalidades, que podem chegar à multa de R$ 50 milhões.
O que são dados pessoais?
São caracterizados como dados pessoais qualquer informação que permita identificar uma pessoa, como: nome ou apelido, endereço, número de documentos, dados de localização (GPS), IP, histórico de navegação na internet e informações de registro médico.
O tratamento desses dados deve ser limitado ao que foi informado ao titular no momento do consentimento.
Como a LGPD afeta sua empresa?
Se sua empresa realiza operações de tratamento ou coleta de dados, ela terá que se adaptar às exigências da LGPD. Com a nova lei, empresas deverão solicitar o consentimento do titular para o uso de dados que ele fornece. Esse consentimento deve ser claro, contendo o propósito da informação coletada, período de utilização e local para retirar o consentimento ou alterar os dados.
As empresas deverão também nomear seu Encarregado de Proteção de Dados (DPO – Data Protection Officer), que será responsável, principalmente, pelo monitoramento e disseminação de boas práticas de proteção de dados perante os funcionários da empresa e fará a interface com a ANPD (Autoridade Nacional de Proteção de Dados), órgão ligado à Presidência da República responsável por zelar pela proteção dos dados; editar normas e procedimentos sobre o tema e aplicar as devidas punições em caso de descumprimento da lei.
Em resumo, para não serem pegas de surpresa e terem que pagar multas milionárias devido ao desrespeito à lei, as empresas, de qualquer porte, terão que investir em cibersegurança e implementar sistemas de compliance efetivos, pois além de protegerem os dados pessoais dos titulares, a adoção de boas práticas será um critério atenuante das penas.