LGPD: tudo o que você precisa saber para não ser pego de surpresa

O governo sancionou a Lei Geral de Proteção de Dados (LGPD) em agosto deste ano, e a lei está em vigor desde setembro. Ela impõe uma série de obrigações para empresas e organizações sobre a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, tanto online quanto offline. Se você é dono ou gestor de academia, box ou estúdio, precisa ficar atento! 

Com a LGPD, o Brasil entra para o grupo de mais de 120 países que possuem lei específica para a proteção de dados pessoais. A lei prevê multas e penalidades consideráveis no caso de não cumprimento dos requisitos impostos na lei.

A quem a LGPD se aplica?

A LGPD possui uma aplicação chamada extraterritorial. Isso significa que a LGPD se aplica independentemente da localização da sede ou da localização em que as empresas processam os dados.

Nesse caso, a lei se aplica a empresas e organizações que processam dados pessoais de cidadãos brasileiros, independentemente da localização física da empresa.

Portanto, se indivíduos localizados no Brasil pertencem aos dados ou se as empresas coletaram os dados no Brasil, a LGPD será aplicável, especialmente nos casos em que os titulares dos dados estavam no Brasil no momento da coleta.

Quais os principais conceitos da LGPD?

É importante conhecer os conceitos básicos que norteiam as especificações da LGPD. Olha só:

O que é um dado pessoal?

“Dado pessoal” é toda e qualquer informação que identifique ou que possa vir a identificar uma pessoa. O conceito de dado pessoal adotado pela LGPD é bastante amplo:

qualquer dado, isolado ou em conjunto com outros dados, que possa identificar uma pessoa, ou que possa sujeitar uma pessoa a determinado comportamento, pode vir a ser considerado um dado pessoal. 

Isso mostra que a LGPD não resume o conceito de dados pessoais a informações básicas de uma pessoa, como nome, e-mail, RG ou CPF. Por exemplo: se uma empresa realiza estratégias de remarketing através do uso de cookies, está utilizando dados de navegação de uma pessoa para impactá-la com publicidade digital.

A pergunta aqui é: um cookie pode ser considerado como um dado pessoal? A resposta é sim. Considera-se um conjunto de informações que torne a pessoa identificável como um dado pessoal.

Digamos que um usuário visita com frequência o site da sua academia. Você pode não saber o nome do potencial cliente, nem o e-mail, mas, através do uso de cookies, você pode descobrir alguns perfis comportamentais dele. Você pode, por exemplo, identificar se o usuário procura mais por determinados planos, modalidades, etc. 

Esses dados são suficientes para que se possa criar anúncios de publicidade online e impactar o usuário. Nesse caso, mesmo sem saber ao certo quem é o usuário, você consegue impactá-lo com informações que possuía sobre ele. Portanto, os cookies podem ser considerados dados pessoais.

Acesse o documento na íntegra clicando aqui.

O que é um dado pessoal sensível?

Uma das categorias de dados presente na lei são os dados pessoais sensíveis. A LGPD indica uma lista dos dados pessoais considerados sensíveis:

aqueles sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

O que pode ser considerado um tratamento de dados na LGPD?

Tratamento é qualquer operação realizada com um dado, da coleta ao descarte. A LGPD estipula normas para qualquer ação de tratamento de dados pessoais: como a coleta, classificação, utilização, compartilhamento, reprodução, processamento, arquivamento, armazenamento etc.

Atores e papéis

Existem dois principais agentes, com papéis e responsabilidades específicas, de acordo com a LGPD: o controlador e o operador.

• Controlador: a empresa ou organização toma as decisões em relação aos dados pessoais. Ela define quando e como os dados coletarão, para quais finalidades utilizarão, onde e por quanto tempo armazenarão.
• Operador: É a empresa/organização que realiza o processamento de dados pessoais sob as ordens do controlador. O operador não toma decisões em relação ao uso dos dados.

Na prática, vamos supor que a sua empresa precise contratar um serviço de armazenamento em nuvem para armazenar os dados que possui. Nessa relação, a sua empresa é considerada controladora de dados, enquanto a empresa contratada para armazenar os dados pode ser considerada operadora.

A sua empresa é controladora, operadora ou, dependendo do contexto, ambos. É importante entender quais são esses papéis e quais responsabilidades eles trazem para a sua empresa em relação à LGPD.

Bases legais

Você sabe como e em quais casos a LGPD autoriza a sua empresa a utilizar os dados pessoais de um lead? Para responder a essa pergunta, é necessário entender o conceito de bases legais.

As bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais. A lei estabelece que para que qualquer pessoa, física ou jurídica, possa realizar qualquer operação com um dado pessoal – seja coletar, transmitir ou processar – é necessário possuir uma base legal presente na LGPD que justifique o tratamento desses dados.

E como a lei já está em vigor, empresas que utilizarem dados pessoais sem uma base legal adequada, estarão tratando dados de forma ilegal.

A LGPD prevê dez bases legais que autorizam o tratamento de dados pessoais. As bases legais não têm dependência ou predominância entre si, e para todo caso de tratamento de dados, existe uma base legal mais apropriada.

Vamos comentar agora as principais que você deve prestar atenção:

1. Consentimento

O consentimento define-se como uma declaração clara e inequívoca de vontade, na qual a pessoa concorda com o uso dos seus dados para as finalidades propostas pela empresa.

Um exemplo prático da base legal do consentimento, se você trabalha com Marketing Digital, por exemplo, é o checkbox em campos de formulário, para pedir autorização para o envio de comunicações.

Contudo, a LGPD prevê que o consentimento precisa atender a alguns requisitos para ser considerado válido:

• O consentimento precisa ser livre: o lead não pode ser forçado a fornecer consentimento. Deve ser uma escolha. Se uma empresa insere um checkbox de consentimento em um formulário, mas exige que o preenchimento do checkbox seja obrigatório, o lead não terá escolha sobre fornecer ou não o consentimento;
• O consentimento precisa ser informado: o usuário deve entender claramente o que está consentindo. Por isso, as organizações devem explicar de forma objetiva e direta exatamente o que ele está concordando em compartilhar. Além disso, incluir informações apenas em uma política de privacidade densa, escondidas em letras pequenas, difíceis de encontrar ou compreender, não basta para garantir um consentimento informado;
• O consentimento precisa ser inequívoco: depende de manifestação por meio de um ato positivo do usuário. Em outras palavras, deve haver uma ação do usuário indicando sua aceitação, seja pelo envio de um e-mail, assinatura eletrônica, ou até mesmo por um clique em local determinado. Não podem haver dúvidas acerca de o consentimento ter sido fornecido ou não;
• A empresa deve fornecer o consentimento para fins específicos e determinados: portanto, ela precisa especificar claramente o motivo pelo qual usará um dado pessoal, alinhando-se à lógica da LGPD.

É preciso sempre pedir consentimento para se comunicar com os leads?

Não necessariamente. O consentimento é apenas uma das dez bases legais que autorizam o tratamento de dados. Existem outras bases legais que podem ser utilizadas além do consentimento, em especial: legítimo interesse e contratos.

2. Legítimo Interesse

Outra hipótese que autoriza o uso dos dados é o legítimo interesse. Essa é mais flexível das bases legais da LGPD, mas a sua aplicação não é simples.

O legítimo interesse permite o uso dos dados, sem a necessidade de obtenção de consentimento. Contudo, você deve tomar alguns cuidados para entender em quais casos o realmente aplica-se o legítimo interesse.

A LGPD ainda não possui diretrizes específicas sobre a utilização dessa base legal. Isso tende a ocorrer após a criação da ANPD – Agência Nacional de Proteção de Dados. Atualmente, sabemos que a base legal do legítimo interesse pode ser usada em situações em que:

• quando o consentimento do usuário for muito difícil de ser obtido;
• quando o consentimento do usuário pode ser considerado desnecessário;
• quando houver um impacto mínimo no indivíduo ou uma justificativa convincente para a sua utilização;

Requisitos do legítimo interesse

Quando uma empresa decide utilizar o legítimo interesse, deve realizar um teste de proporcionalidade. Esse teste possui o objetivo de balancear, de um lado, os interesses da sua empresa, e do outro os direitos e liberdades do titular dos dados pessoais.

O teste leva em consideração detalhes específicos de cada caso de uso de dados, portanto, é importante que cada empresa conte com auxílio especializado de consultoria jurídica.

3. Contratos

No caso da base legal de contratos, os dados de uma pessoa podem ser processados em dois casos:

• o primeiro é para que seja cumprida uma obrigação prevista em contrato;
• o segundo quando o tratamento de dados serve para a validação e início de vigência de um acordo.

Para contratar os serviços de um novo colaborador, a empresa deve, primeiramente, fornecer uma série de informações pessoais. Esses dados, necessários para formalizar o contrato, incluem informações como dados do contratante e detalhes para faturamento. Com isso, essas informações integrarão, posteriormente, o contrato de trabalho do titular dos dados.

Demais bases legais

Além das três bases legais mencionadas, existem outras 7 bases legais que autorizam o tratamento de dados pessoais. Contudo, para práticas de Marketing e Vendas, por exemplo, a utilização destas bases legais tende a ser menos comum e recorrente.

1. Obrigação Legal;
2. Execução de Políticas Públicas;
3. Estudos por órgãos de pesquisa;
4. Processo Judicial;
5. Proteção da Vida;
6. Tutela da Saúde;
7. Proteção de Crédito.

Em resumo, as bases legais são o ponto de partida para empresas criarem relações mais justas com o consumidor. Ao pensar em bases legais, sua empresa deve repensar a ética por trás das formas como coleta e utiliza os dados.

Direitos dos usuários na LGPD

Vamos entender o que a LGPD fala sobre a questão dos direitos dos usuários e como as empresas devem trabalhar para atendê-los.

Quais são os direitos dos usuários a partir da LGPD?

O titular dos dados pessoais tem direito a obter do controlador – em relação aos dados do titular por ele tratados – a qualquer momento e mediante requisição os seguintes itens:

• Direito de confirmação de existência do tratamento;
• Direito de acesso aos dados;
• Direito de correção de dados incompletos, inexatos ou desatualizados;
• Direito de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
• Direito de portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
• Direito de eliminação dos dados pessoais tratados com o consentimento do titular;
• Direito de informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• Direito de informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Direito de revogação do consentimento.

Como a sua empresa precisa se preparar para atender a esses direitos?

Hoje, muitas empresas possuem dados pessoais de usuários em diversas áreas e sistemas. Em muitos casos, os dados dos usuários estão presentes em outras áreas, como Financeiro, Vendas, Marketing, Suporte, entre outras.

Com isso em mente, cada empresa precisa estabelecer mecanismos e processos internos, a partir dos seus próprios fluxos de dados e sistemas, que viabilizem o atendimento às solicitações de direitos dos titulares de dados que controlam.

Busque uma consultoria especializada que ajude você a mapear os dados pessoais da empresa e a estabelecer processos específicos para cada cenário.

Quais princípios presentes na LGPD as empresas devem atender?

Empresas e organizações também devem adotar medidas de adequação aos seguintes princípios previstos na LGPD:

1) Finalidade da LGPD

A coleta de dados deve atender a um propósito legítimo, específico, explícito e informado ao titular. Empresas e organizações devem sempre estipular qual é a finalidade específica para cada coleta de dados e a justificação clara e completa que justifique sua coleta.

Hoje, muitas empresas coletam dados em formulários e os utilizam para diversas finalidades: envios de e-mail marketing, propostas comerciais, análises, monitoramento, criação de perfis. Isso não poderá mais ocorrer sem especificar todas as finalidades de uso antecipadamente.

2) Adequação

A empresa deve tratar os dados de forma compatível com a finalidade informada ao usuário. Ou seja, a empresa não pode utilizar os dados coletados para um fim diferente do que ela comunicou ao cliente.

Por exemplo: O usuário X comprou um ingresso para participar de um evento da empresa Y. A finalidade, nesse caso, é garantir a participação no evento. A empresa não pode utilizar esses dados para finalidades diversas, como encaminhá-los para a equipe de vendas realizar uma abordagem comercial oferecendo produtos ou serviços.

3) Necessidade

A lei prevê que o tratamento de dados deve se limitar ao mínimo necessário para a realização das suas finalidades comerciais tangíveis hoje.

Por exemplo: o e-commerce X realiza todas as suas vendas online, e por isso não realiza nenhum contato telefônico com o usuário no ciclo comercial. Se esta empresa solicitar o telefone dos usuários, não estará obedecendo ao princípio da necessidade, já que não há justificativa para a sua coleta.

4) Livre Acesso

Empresas e organizações devem garantir aos usuários a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

5) Qualidade dos dados

As empresas devem garantir aos usuários que as informações que possuírem sobre eles sejam verdadeiras, precisas e atualizadas. Conforme visto na própria lista de direitos, o titular dos dados tem o direito de correção de dados incompletos, inexatos ou desatualizados.

6) Transparência na LGPD

O titular tem o direito de saber exatamente o que, por que e para que seus dados estão sendo coletados. Assim, as empresas devem garantir informações claras, precisas e facilmente acessíveis sobre o uso dos dados pessoais dos titulares.

Além disso, é essencial que a informação seja transmitida em uma linguagem clara e simples. Vale destacar que o princípio da transparência deve permear todos os contextos relacionados aos dados pessoais, como nas Políticas de Privacidade, contratos e formulários.

7) Segurança

Princípio que prevê que empresas adotem medidas técnicas e administrativas de segurança para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.

8) Prevenção

Princípio que prevê a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Além de reforçar a segurança através da tecnologia, é imprescindível revisar processos internos e promover a conscientização de pessoas de toda a organização.

9) Não discriminação

O tratamento de dados não pode ser realizado para fins discriminatórios ilícitos ou abusivos. Em alguns casos, o trabalho de marketing tem o potencial de gerar algum tipo de efeito negativo no indivíduo, dependendo de suas circunstâncias pessoais.

Por exemplo: alguém com probabilidade de estar passando por dificuldades financeiras que é regularmente alvo de marketing das empresas de empréstimos com juros altos. A inscrição nessas ofertas tem o potencial de fazê-lo contrair dívidas adicionais.

10) Responsabilização e prestação de contas na LGPD

Conclusão

Este artigo te ajudou? Deixe seu comentário para compartilharmos ideias!