A Lei Geral de Proteção de Dados adotada no Brasil ainda traz muitas dúvidas às empresas sobre como elas devem agir para seguir corretamente a legislação e não sofrer possíveis sanções. Soma-se a isso a existência da GPDR, que regula a forma com que as informações de cidadãos da União Europeia são coletadas, processadas e compartilhadas.
Para acabar suas dúvidas, você verá neste post o que é a Lei Geral de Proteção de Dados, por que ela é necessária e como ela impacta a vida das empresas. Além disso, descobrirá o que já pode ser feito no atual momento de transição.
Quer manter as informações dos usuários seguras e melhorar o processo comercial de sua empresa? Então, veja agora o que fazer para isso. Boa leitura!
[rock-convert-pdf id=”1372″]
O que é a Lei Geral de Proteção de Dados?
O dia a dia das empresas já está sofrendo grande alteração. Isso foi causado pelo novo marco regulatório, chamado de Lei Geral de Proteção de Dados (ou LGPD) que foi sancionado no dia 13 de agosto de 2018 pelo até então Presidente da República, Michel Temer.
Em 2016, a União Europeia publicou o Regulamento Geral de Proteção de Dados (GDPR), que passou a vigorar em maio de 2018. No Brasil, o Senado Federal aprovou de forma rápida, no dia 10 de julho de 2018, um texto parecido. O PLC 53/18 foi consolidado com a Lei Geral de Proteção de Dados (LGPD) vigente no Brasil.
A lei sancionada altera a 12.965 de 2014, também conhecida como Marco Civil da Internet, e regulamenta a forma com que o tratamento de informações pessoais deve acontecer, bem como protege essas informações.
A LGPD entrará em vigor 24 meses depois da sanção, em agosto de 2020. Esse período é necessário para que as empresas e o próprio governo possam se adaptar para cumprir o texto aprovado. Depois desse período, a lei passará a ter eficácia e as empresas poderão sofrer punições caso não a observe.
Com a promulgação da lei, o Brasil entrou na lista dos mais de 100 países que são considerados como adequados para proteger o uso de informações e a privacidade de seus cidadãos.
Por que ela é importante?
Em todo o mundo, diversas leis têm sido criadas para resguardar os dados dos consumidores, depois que foi divulgado o vazamento de informações importantes dos usuários do Facebook, a rede social mais famosa do mundo.
Os dados foram fornecidos para a empresa britânica Cambridge Analytica, especializada em big data e marketing político. Com isso, os países ficaram ainda mais preocupados em regulamentar a forma com que as empresas utilizam e repassam as informações de usuários armazenados.
Sem uma legislação própria para a segurança das informações dos usuários, as empresas podem ter comportamentos pouco saudáveis, como a compra de lista de dados, ou a utilização das informações dos contatos para diversos fins. Dessa forma, as pessoas não têm interesse em compartilhá-los, dificultando a expansão de tecnologias que segmentem conteúdos de acordo com o perfil dos interessados ou clientes.
Além disso, há empresas que não divulgam informações de interesse público e criminal por, teoricamente, proteger os dados dos clientes. Essa ação dificulta o poder de investigação do Judiciário e aumenta a sensação de que o crime pode ser cometido em alguns ambientes.
A lei está fundamentada nos direitos essenciais de privacidade e liberdade. Também passa pelo desenvolvimento tecnológico do país e pela livre iniciativa. Dessa maneira, a LGPD deseja trazer mais segurança para os usuários, para que eles tenham condições de entender quais serão as informações utilizadas e quais são os propósitos de uso. Além disso, as medidas trazem mais segurança a eles, uma vez que elas deverão ser tomadas para que as empresas não sofram sanções.
De forma geral, pode-se dizer que a lei é benéfica a todo o mercado, já que permitirá que as ações de coleta e armazenamento de informações sejam mais objetivas. Mais do que isso, os dados precisarão ser obtidos livremente, o que desincentiva a compra de listas prontas e aumenta o número de empresas que desejarão fazer marketing de forma saudável.
Além disso, com o gerenciamento adequado das informações, a empresa aumenta o poder de concorrência, já que terá melhores condições para tomar decisões estratégicas.
Algumas das melhores vantagens que as empresas terão são:
- relacionamento mais próximo e verdadeiro com os clientes e contatos;
- economia ao adotar medidas preventivas em vez de sempre corrigir;
- aumento da organização interna da instituição;
- melhora da confiança dos parceiros e investidores no futuro da marca.
O que a LGPD regulamenta?
A LGPD tem regulamentações específicas tanto para o uso quanto para a proteção e transferência de informações pessoais no Brasil. Ela vale para o ambiente público e privado. Além disso, estabelece claramente quais são as atribuições e responsabilidades de cada figura envolvida, bem como as penalidades possíveis, que podem chegar aos 50 milhões de reais por evento.
Quais são os princípios da LGPD?
Dentre seus princípios, há grande espaço para a transparência no uso das informações pessoais e para a respectiva responsabilização caso os dados não sejam tratados de forma correta. Isso significa que as informações devem ser utilizadas para os fins informados e que toda a arquitetura do negócio deve ser planejada para proteger o usuário.
Caso as informações dos internautas sejam coletadas para um fim, elas não poderão ser reutilizadas para outras finalidades. Nesse caso, a empresa deve coletá-las novamente. O usuário deve ser informado sobre qual é a utilidade para o coletamento dos dados e concordar com ela.
Outro princípio é o da necessidade, que determina o uso de informações ao mínimo necessário para atingir os objetivos traçados. Quando o projeto pretendido chegar ao fim, as informações adquiridas devem ser excluídas imediatamente, uma vez que não há mais necessidade de mantê-las sob controle da instituição.
O que são dados pessoais?
A lei define como informação pessoal qualquer dado que possa identificar um usuário de forma direta ou que possa torná-la identificável e que precise de tratamento (que ocorre com as operações realizadas com as informações), como a coleta, o acesso, a utilização, o processamento, o arquivamento, a transmissão, o armazenamento e a transferência.
As restrições impostas valem para operações de tratamento das informações de titulares localizados Brasil (ou que ofereçam produtos e serviços realizados no país), realizadas em solo brasileiro, tanto por pessoa jurídica (direito privado ou público) quanto física. Nesses casos, o consentimento expresso para o uso das informações é exigido pela LGPD.
Esse consentimento deve acontecer por manifestação livre do titular, realizada com a devida informação. Ele deve expressar a concordância em autorizar seus dados para tratamento a um fim determinado. Ou seja, não é mais permitido realizar autorizações genéricas, caso a autorização contenha algum vício de consentimento.
Quais os deveres e direitos dos usuários e empresas?
Os usuários e empresas têm direitos e deveres. As instituições podem obter, processar e utilizar os dados individuais. Isso é necessário para o desenvolvimento da indústria e tecnologia mundiais. Entretanto, para que nenhum dano seja causado às pessoas que forneceram suas informações, algumas regras que protegem os cidadãos são necessárias. Veja agora como isso funciona!
Quem são os Agentes de Tratamento?
Os Agentes de Tratamento dos dados pessoais (compreendidos como Controlador e Operador) podem ser pessoas jurídicas ou naturais e de direito público ou privado. Ao Controlador compete decidir como as informações pessoais serão tratadas, enquanto que o Operador deverá realizar o tratamento em nome do Controlador.
Além disso, a figura do Encarregado (que também pode ser física ou jurídica) atua como canal de comunicação entre os titulares dos dados e o Controlador e a Autoridade Nacional de Proteção de Dados (ANPD).
Quais são os direitos dos usuários?
Os direitos dos usuários têm um capítulo específico na lei. Deve-se lembrar de que há o direito de acesso, ou seja, as pessoas podem requisitar, se quiserem, o acesso a todas informações que a empresa tem, para entender o que está sendo tratado e quais serão as consequências disso. Caso deseje, pode ainda atualizar e retificar a autorização. Os agentes são obrigados a manter os dados sempre atualizados.
Consentimento
Para que o termo de consentimento seja validado, é necessário preencher alguns requisitos. Ele deve contar com as informações sobre o tratamento de dados que será efetuado (duração, forma, finalidade, identificação do controlador, informações sobre a utilização compartilhada e responsabilidades dos agentes que farão o tratamento).
As informações devem ser encontradas facilmente pelos usuários. Da mesma forma, caso o usuário deseje, a revogação do consentimento e a mudança de finalidade precisam ser facilitadas e gratuitas.
Uma possibilidade que afasta a necessidade de consentimento do titular dos dados que serão tratados é o processo de anonimização. Com ele, a possibilidade de associar as informações a um indivíduo é afastada. Além disso, não existe chance de reverter o processo. Ou seja, jamais alguém poderá fazer a associação dos dados a uma única pessoa.
Vale destacar ainda a possibilidade de o titular solicitar a portabilidade de seus dados. De forma parecida ao que acontece com as linhas telefônicas, o indivíduo pode encaminhar as suas informações a outros controladores, resguardando os segredos de negócio e industriais. Nesse caso, será necessário fazer ajustes nos vários agentes econômicos para que as trocas possam ser padronizadas e para conseguir atender à legislação.
Quais são os deveres das empresas?
Com a LGPD, as empresas que fazem registro ou uso de dados têm diversos deveres. Verifique, agora, tudo que uma instituição precisará fazer para não ser punida e continuar usando as informações dos consumidores.
Prestação de contas
Os agentes de Tratamento têm como principal obrigação manter o registro de todas as operações de tratamento que forem efetuadas. Isso faz parte do princípio de prestação de contas que a LGPD adotou.
Para que isso aconteça, as empresas deverão, a partir dos agentes de tratamento, fazer o Relatório de Impacto à Proteção de Dados Pessoais. Ele deve conter a descrição dos dados que foram coletados, fundamentar a metodologia e coleta efetuada, e explicitar como a segurança das informações será mantida. Além disso, deve mostrar como o controlador analisa as medidas e quais são os mecanismos para diminuir os riscos.
Nomeação de Encarregado
Caberá às empresas nomear quem será o Encarregado de Proteção de Dados (DPO, ou Data Protection Officer), que tem como atividade principal monitorar e disseminar as boas práticas de proteção de dados pessoais. Esse conhecimento deve chegar aos funcionários e contratados da instituição. Além disso, ele será a interface da ANPD, que ainda será criada.
Práticas de segurança
Os agentes de tratamento precisarão adotar as práticas de segurança para proteger os dados das pessoas de acessos não autorizados, bem como situações ilícitas ou acidentais que levem à perda, alteração ou comunicação das informações. Qualquer problema existente com as informações pessoais que levem perigo aos titulares deve ser comunicado com máxima velocidade aos titulares e à ANPD.
Comunicação de problemas
A comunicação do fato deve conter a descrição dos dados afetados, informações sobre os usuários atingidos, indicação de quais foram as técnicas de segurança usadas e quais foram os riscos envolvidos. Além disso, deve-se mostrar quais foram as medidas realizadas para reverter ou diminuir os efeitos gerados. Caso haja demora no aviso, é necessário indicar os motivos.
Transferência Internacional de dados
Caso exista a necessidade ou desejo de fazer o fluxo dos dados para outros países (o que é chamado de transferência internacional de dados), ela só será permitida caso seja enviada para organismos ou países que proporcionem proteção às informações dos brasileiros de maneira compatível a LGPD.
Desafios para as empresas
Nos próximos meses, há vários desafios para que as empresas estejam aptas a cumprirem a lei, como:
- nomear encarregado;
- realizar auditoria de dados;
- elaborar mapa de dados;
- revisão das políticas de segurança existentes;
- modificação em contratos;
- criação do relatório de Impacto de Privacidade.
Dessa forma, pode-se observar a importância que os sistemas de segurança de informação terão no dia a dia das empresas, uma vez que permitirão que as decisões sejam automatizadas nos negócios.
Quais são as exceções?
As exceções à aplicação da LGPD são as hipóteses de tratamento de dados pessoais para fins particulares, não econômicos, além daqueles que são utilizados para fins de:
- jornalismo, arte ou ciência (caso em que o consentimento não é dispensado);
- segurança pública e de Estado, defesa nacional, atividades de repressão e investigação de infrações penais;
- dados em trânsito, não aplicáveis a Agentes de Tratamento no Brasil.
O que acontece com o descumprimento da lei?
A lei promulgada prevê uma série de sanções para as empresas que não seguirem as regras dispostas que englobam advertências, multas e até a proibição completa de praticar atividades relacionadas ao tratamento de dados.
No caso de multas, elas podem variar de 2% do faturamento do exercício anterior até R$ 50 milhões, além de penalidades diárias. Vale ressaltar que a prática de boas ações é considerada como atenuante nas aplicações das penas.
Ela é válida para empresas de fora também?
A proteção das informações referidas pela LGPD é aplicável a todas as operações de tratamento de dados que sejam coletados, tratados ou ofertados em terras brasileiras, independentemente do meio utilizado ou do país da organização. Ou seja, mesmo que uma empresa não seja brasileira, terá que obedecer à lei se presta serviços ou vende produtos em território brasileiro.
Dessa forma, a legislação resolve um dos principais problemas que o Judiciário encontra ao não conseguir cooperação de empresas estrangeiras, como WhatsApp, Google e Twitter. Essas instituições alegavam falta de regras e de jurisdição local para que o fornecimento das informações fosse dado a Justiça brasileira.
Quem é responsável pela fiscalização?
Uma medida provisória definiu um órgão ligado à Presidência da República voltado para proteção de dados pessoais. De acordo com o texto assinado pelo então presidente Michel Temer, entre as atribuições da Autoridade Nacional de Proteção de Dados (ANPD) estão:
- zelar pela proteção de dados pessoais;
- editar normas e procedimentos sobre o tema;
- aplicar sanções em caso de descumprimento de regras.
Com a LGPD aprovada no Brasil, empresas de todos os tamanhos precisarão investir em tecnologia e segurança para conseguir prevenir, detectar e remediar possíveis violações aos dados pessoais dos usuários. Vale destacar que a adoção de boas práticas será considerada como atenuante para as penas.
Quais as melhores práticas para se adequar a GPDR?
Agora que você já sabe quais são as responsabilidades das empresas, veja a seguir quais são as melhores práticas para se adequar à política de proteção de dados.
Aposte na integração
Contar com sistemas integrados que utilizam os dados dos usuários é fundamental para manter a segurança das informações. Sem integração, basta apenas que um arquivo ou banco de dados seja vazado para que as informações sejam expostas. Com ela, as informações estarão mais centralizadas, o que impedirá muitas ações mal-intencionadas.
Os sistemas integrados também são responsáveis por atendimentos mais próximos dos consumidores, contendo históricos das principais interações com a empresa, bem como as preferências. Dessa maneira, até o atendimento telefônico será mais produtivo, o que é útil para aumentar a taxa de fidelização e as vendas.
Contrate profissionais responsáveis
Como você viu, a empresa precisará contar com encarregados, além de fazer auditorias de dados, criar relatórios de Impacto de Privacidade, modificação em contratos, além de outras tarefas. Nesse momento de transição, é importante contar com profissionais que possam ajudar a empresa a contar com os setores e colaboradores necessários.
Vale lembrar que não é interessante deixar a estruturação para a última hora. Quanto mais rápido a marca começar a transição, menores serão os riscos de sanções. Assim, o negócio estará à frente da concorrência, o que trará mais segurança e credibilidade para a marca.
Faça uma auditoria de dados
Como prática importante e corriqueira da LGPD, é importante que a empresa já comece a fazer auditoria dos dados coletados para entender de forma mais completa quais serão as mudanças que deverão ser feitas na coleta e processamento das informações.
Ofereça treinamentos
A LGPD já está mudando a forma de vários profissionais trabalharem. Práticas que atualmente são corriqueiras, como Relatórios de Privacidade genéricos, serão proibidas. Por isso, a marca já deve fazer treinamento com seus colaboradores para que saibam como deverão agir, desde a prospecção até o setor de vendas e suporte. Assim, eles poderão aproveitar os meses restantes para modificar estratégias, sistemas e ações.
Vale ressaltar que mesmo os formulários simples precisarão contar com informações completas sobre a necessidade daqueles dados e como eles serão utilizados pela instituição. Por isso, é essencial que todos os setores recebam treinamento adequado.
Outras práticas
Para começar a se adequar à lei, certifique-se de:
- não comprar listas prontas com dados de e-mail;
- mostrar para os usuários como suas informações serão utilizadas;
- não fazer SPAM ou dificultar a desfiliação de sua newsletter;
- ser objetivo nas suas estratégias que usem dados dos leads;
- procurar formas saudáveis de conseguir relacionamento com os usuários, como Inbound Marketing;
- tomar decisões estrategicamente justificáveis, evitando agir por impulso;
- tornar a comunicação da marca mais transparente para os clientes e interessados, fazendo com que eles saibam o que estão adquirindo (no caso da prospecção, informar com exatidão quais serão os benefícios do cadastro e para que as informações serão utilizadas).
Embora as empresas ainda tenham alguns meses para se adaptarem à nova legislação, é importante já se planejar para prestar seus serviços sem infringir a lei. Além disso, as regras também trazem mais segurança para os usuários, o que é útil para aumentar as vendas.
Sendo assim, procure se planejar o quanto antes. Use as principais ferramentas disponíveis (como inteligência artificial). Assim, além de obedecer à lei, estará mais próximo de fazer um atendimento estratégico e aumentar as vendas.
Então, em vez de achar que a Lei Geral de Proteção de Dados só traz regras chatas que dificultam a atuação do marketing da sua empresa e aumentam a necessidade de investimento, veja como uma boa oportunidade de tornar as etapas do seu negócio mais profissionais, aproximando-se verdadeiramente dos seus usuários e aumentando a chance de vender.
Mais do que isso, aproveite o momento de transação para se antecipar aos principais concorrentes e comece a observar a legislação antes de todos. Desse modo, os consumidores verão na sua marca uma empresa preocupada com o que eles têm de mais importante: o nome e suas informações.
Você gostou deste artigo sobre a Lei Geral de Proteção de Dados? Então, não deixe de assinar agora mesmo a nossa newsletter e comece a receber um conteúdo exclusivo em sua caixa de e-mail.
