O objetivo da Lei Geral de Proteção dos Dados é proteger todos os cidadãos brasileiros contra a utilização indevida de seus dados e violações de privacidade no atual mundo orientado por dados.
Mas quais os impactos que a LGPD terá na prática para seu negócio? A seguir, listamos os pontos-chave da lei e o que muda na forma como você lida com os dados pessoais. Acompanhe!
Conceitos da Lei Geral de Proteção dos Dados
Antes de falar sobre o que muda, é importante definir alguns conceitos que a LGPD estabeleceu:
- Dado pessoal: é a informação relacionada a uma pessoa natural identificada ou identificável, ou seja, qualquer informação que identifique ou possa identificar uma pessoa, como nomes, números, códigos, endereços.
- Titular: a pessoa natural, proprietária dos próprios dados.
- Tratamento: é toda a operação realizada com o dado pessoal.
- Controlador: é a entidade que coleta, processa e armazena dados pessoais.
- Operador: realiza o tratamento de dados pessoais em nome do controlador.
Mudanças a partir da LGPD
#1 Aumento do escopo territorial
Indiscutivelmente, a maior mudança no panorama regulatório da privacidade de dados vem com a jurisdição estendida da LGPD, uma vez que se aplica a todas as empresas que coletam e processam os dados pessoais coletados no Brasil ou de residentes brasileiros, mesmo que sejam tratados no exterior.
A Lei Geral de Proteção de Dados torna a sua aplicabilidade muito clara: aplica-se à coleta e ao tratamento de dados pessoais por parte de controladores e processadores no Brasil, independentemente de o processamento ser feito aqui ou não.
Ela se aplica, também, à coleta e ao tratamento de dados pessoais de titulares no Brasil por um responsável não estabelecido no país – quando as atividades dizem respeito a produtos/serviços brasileiros.
#2 Penalidades em caso de violação
Organizações que violem a LGPD podem ser multadas em até 2% do faturamento global anual, ou até R$50 milhões (o que for maior). Esta é a multa máxima, imposta para as infrações mais graves, como não ter o consentimento suficiente do cliente para processar dados ou em caso de vazamento de dados sensíveis.
Além da multa, a LGPD também impõe como penalidade:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Publicitação da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio da coleta e processamento dos dados pessoais correspondentes à infração até a sua regularização;
- Eliminação da coleta, do processamento e dos dados pessoais correspondentes à infração;
- Proibição total do funcionamento.
É importante observar que essas regras se aplicam tanto aos controladores quanto aos processadores — o que significa que as “nuvens” não estão isentas da fiscalização da Lei Geral de Proteção de Dados.
#3 Consentimento ao tratamento dos dados
As condições de consentimento foram fortalecidas, e as empresas não podem mais usar termos e condições longos e ilegíveis. O pedido de consentimento deve ser dado de uma forma inteligível e de fácil acesso, com o propósito de processamento de dados anexado.
Da mesma forma, o consentimento deve ser claro e distinguível de outros assuntos, e ser fornecido de uma forma inteligível e de fácil acesso, usando linguagem clara. Ou seja, deve ser tão fácil pedir o consentimento quanto dar.
#4 Direitos dos titulares dos dados
Ao titular dos dados, é concedido quatro direitos principais:
· Notificação de violação
Sob a LGPD, as notificações de ataques são, agora, obrigatórias quando uma violação de dados é suscetível de “resultar em um risco para os direitos e liberdades dos indivíduos”. A notificação deve ser feita, primeiramente, à autoridade responsável.
Os processadores também são obrigados a notificar os controladores originais em prazo razoável após tomar conhecimento de uma violação de dados.
· Direito ao acesso
Parte dos direitos expandidos dos titulares de dados delineados pela LGPD é a confirmação dos controladores se estão ou não processando os dados pessoais e, em caso positivo, onde e com que finalidade.
Além disso, os controladores devem fornecer gratuitamente uma cópia dos dados pessoais em formato eletrônico. Esta mudança é drástica na transparência e no empoderamento dos titulares.
· Direito de ser esquecido
O direito de ser esquecido autoriza o titular a solicitar aos controladores o apagamento de seus dados pessoais e consequente interrupção do tratamento, pelo próprio controlador e seus processadores.
Importante ressaltar que os controladores e seus processadores deverão obedecer às legislações “maiores” do que a LGPD para a guarda das informações, como registros médicos, registros financeiros para fins contábeis e de fisco e registros policiais e jurídicos. Continuará sendo de responsabilidade dos atuais controladores e processadores a segurança pela guarda e recuperação dos dados. Entretanto, será vedado a eles o tratamento destes dados.
Portabilidade de dados
A Lei Geral de Proteção de Dados introduz o direito à portabilidade, ou seja, o direito de um titular receber os dados pessoais ou pedir a transferência para outro fornecedor de serviço ou produto. Consequentemente, os controladores e processadores originais serão obrigados a pararem com as coletas e tratamentos e deverão obedecer aos critérios para a exclusão dos dados.
A LGPD só entrará em vigor em agosto de 2020, contudo, o quanto antes sua empresa começar a se adequar, mais fácil será a adaptação ao cumprimento das normas! Lembrando que, para a adequação à Lei, é necessário bastante tempo para analise e implantação das melhorias.
E então, ficou com alguma dúvida sobre as mudanças trazidas pela Lei Geral de Proteção de Dados? Escreva pra gente pelos comentários e até a próxima.
