LGPD: saiba o que é e como adequar seus processos a ela na prática
LGPD é a sigla para Lei Geral de Proteção de Dados. Essa lei tem por objetivo cessar o uso e a comercialização indevida de dados pessoais, inclusive em meios digitais. Ou seja, busca proteger o direitos e a privacidade de nós, cidadãos.
Veja bem, a LGPD não veda a utilização dos dados pessoais por empresas. Contudo, ela estabelece princípios e condições para essa utilização, além de estabelecer sanções a quem não cumprir seus requisitos.
Você certamente já foi afetado pelo mau uso dos seus dados…
… E você nem sabia. Veja essa situação: você recebe uma ligação de uma operadora de cartões de crédito – que não é o seu – oferecendo um novo cartão com um limite x disponível, mas para isso você só precisa confirmar alguns dados. Agora, meus questionamentos:
Loading…
A resposta para essas perguntas: através da comercialização, ou vazamento, dos seus dados pessoais. Eu diria que esse cenário é, no mínimo, desconfortável. Então, veja bem, o uso indiscriminado dos seus dados pessoais não é apenas capricho. Você pode estar tendo muitas informações privadas expostas por aí e nem sequer tem conhecimento.
Um pouco da história da LGPD
Antes de seguir falando sobre aspectos da lei em si, é importante entender como ela surgiu. Esse movimento teve início após o caso do uso de dados pessoais colhidos em uma rede social. Esses dados eram posteriormente vendidos a uma agência de análise de dados que trabalhava para a campanha de Donald Trump, em 2018.
Nesse momento, foi percebido o quão frágil eram as práticas que regulavam esse tipo de atuação e como nossos dados pessoais estavam à mercê de pessoas, ou organizações, nem tão bem intencionadas assim. Os primeiros a constituírem uma lei para o assunto foram os países da União Européia, dando origem à GDPR. Logo, com a aprovação da lei européia, o Brasil acelerou o processo de criação da lei brasileira. Sendo assim, em 14 de agosto de 2018, o então presidente Michel Temer sancionou a lei de nº 13.709, popularmente conhecida como LGPD.
Para ler a lei na integra, acesse esse link aqui!
Quem é impactado pela LGPD
Absolutamente todo mundo. Como dito no início do artigo, a LGPD tem como objetivo cessar o uso e a comercialização indevida de dados pessoais, inclusive em meios digitais. Dessa forma, todos os tipos de formulários manuais ou sistemas digitais que armazenam dados pessoais, sejam eles de clientes ou não, estão na mira.
Portanto, seja você uma grande corporação ou um micro-empresário, você precisa tomar as providências necessárias à adequação. Vale ressaltar que essa é uma das diferenças da LGPD brasileira para a lei européia. No velho continente, micro e pequenas empresas ficaram de fora da regulamentação. Do outro lado da moeda está você, cidadão civil, que é impactado positivamente com esse movimento que visa a proteção dos seus dados.
Os papéis definidos na lei
Como dito acima, todo mundo é impactado pela LGPD. Sendo assim, a lei traz o conceito de cada um dos papéis definidos nesse ciclo de dados. Veja só o que ela define:
- Titular: basicamente, é o dono dos dados.
- Operador: quem realiza o tratamento dos dados captados.
- Controlador: quem controla e define que tipo de tratamento será dado aos dados captados.
- Encarregado: pessoa indicada pelo controlador e pelo operador para fazer o intermédio entre o titular dos dados, o controlador e a Autoridade Nacional.
- Agentes de tratamento: a união entre controlador e operador.
- Autoridade Nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD no território nacional. Na prática, ela ainda não foi constituída, o que gera algumas incertezas nos envolvidos com o tema dentro das organizações.
A LGPD ainda conceitua o que é uma operação de tratamento, tipos de dados, entre outras ações relacionadas aos dados pessoais.
Quais os direitos dos titulares
A LGPD toda é construída seguindo o formato “direitos e deveres”. Sendo assim, os titulares dos dados têm o direito de solicitar a uma organização:
- Se ela detém algum dado pessoal seu armazenado;
- Quais dados estão sendo armazenados;
- Qual o tratamento está sendo dado;
- Para que estão usando esses dados;
- Com quem esses dados estão sendo compartilhados;
- Correção de algum dado;
- Complementação de algum dado;
- Exclusão dos seus dados da base;
- Quem é o responsável pelo tratamento dos seus dados;
- Contato do responsável pelo tratamento dos dados;
- Entre outros.
Eles também têm direito de denunciar um mau uso, ou violação à lei. Além disso, devem ser prontamente atendidos quando fizerem alguma solicitação a alguma empresa. Sim, a coisa é bem, bem séria.
Deveres dos agentes de tratamento
Assim como os titulares têm uma série de direitos, os agentes de tratamento possuem uma série de deveres. Entre eles, está a elaboração de uma forma de registro sobre todas as operações de tratamento de dados pessoais que realizarem. Inclusive, podendo ser alvo de fiscalização pela autoridade nacional a qualquer momento.
Têm também uma série de boas práticas que precisam ser atendidas para a adequação à lei. Eu falo sobre algumas delas no vídeo abaixo (4 min):
Quem irá fiscalizar
Sim, eu já disse que haverá a criação da Agência Nacional de Proteção de Dados. Em teoria, ela quem será responsável por fazer a fiscalização e apurar denúncias referentes a violações da lei. Contudo, acontece que na prática isso pode ser diferente.
No fim das contas, o próprio mercado vai acabar fazendo a fiscalização. A partir do momento em que as empresas passarão a fazer negócios com aquelas organizações que estiverem adequadas à lei como forma de garantia e segurança de que estarão resguardadas, esse controle passa a ser do próprio mercado.
É preciso olhar para dentro de casa também
Engano seu se você está pesando somente em estratégias de marketing ou de vendas, com dados de clientes ou interessados no seu negócio. A lei se refere a qualquer dado pessoal de qualquer pessoa, seja ela integrante ou não da sua equipe.
Portanto, é preciso inclusive adequar os processos do seu departamento de Gestão de Pessoas. Os dados dos seus colaboradores também precisam ser zelados.
O que acontece se a sua organização não se adequar
Pois então, se você e sua organização não se adequarem aos que a lei solicita, você está sujeito desde uma advertência simples determinando um prazo para que sejam corrigidas as irregularidades, até aplicações de multas de 2% sobre o faturamento líquido mais multa diária.
Ainda, dependendo do caso, pode haver até suspensão das atividades que envolvam as operações de tratamento de dados pessoais de forma permanente. E, para colocar mais um ponto de atenção nessa conversa, podem ser tornados público os atos irregulares que sua organização venha cometer, o que não é muito interessante para a imagem dela, certo? Sendo assim, é preciso estar de olho e se adequar o quanto antes.
Prazo para adequação à LGPD
De acordo com a lei, é preciso estar 100% adequado as suas regras em 24 meses após a sua publicação, ou seja, em 14 de agosto de 2020. Mediante o cenário da pandemia do Covid-19, o prazo, até então, havia sido prorrogado para Agostos de 2021. Contudo, agora já se fala em 01 de Janeiro de 2021. Por isso, fique atento!
No fim, precisamos pensar nos processos!
Não confunda, não estou falando de processos judiciais, mas sim de processos de atividades dentro da sua organização. No meio de tanto regra e necessidade de adequação, é comum as pessoas prestarem atenção apenas às questões jurídicas envolvidas, ou às modificações que farão em seus sistemas para se adequarem. Mas isso, por si só, não basta.
É preciso repensar os processos dentro da sua organização para adequação aos requisitos. Alguns pontos de reflexão:
Loading…
Processos são a base da sua organização
Você pode até não ter essa visão, mas processos são a base de tudo que sua organização faz. Tudo tem um começo, meio e fim. sendo assim, vale trazer novamente a definição de processos de negócio:
“Processos definem como os recursos da sua organização funcionam para obter os resultados que seus clientes precisam”
Ou seja, como os recursos da sua organização serão utilizados, organizados, processados, a fim de obter o resultado esperado.
Seus processos e a LGPD
Um dos principais problemas que as organizações enfrentam diante da LGPD, é a tradução do que está descrito na lei para a prática. O “o que” precisa ser feito está muito claro na redação da lei. Já o “como” é uma caixa de pandora.
Outro problema desse cenário é que os dados da sua organização estão distribuídos em muitos lugares. Se eles estivessem centralizados, a conversa seria bem mais simples. No entanto, nós sabemos que essa não é a realidade de nenhuma organização. Há dados nos arquivos de vendas, contratos, marketing, compras, financeiro…
Como adequar seus processos à LGPD
Antes de seguir, vale dizer que não existe uma fórmula mágica. Cada empresa precisa entender sua realidade e traçar uma estratégia que seja adequada. Contudo, algo que todas as empresas precisarão fazer é mapear seus processos e o seus fluxos de informações, sejam de dentro para fora ou apenas internamente.
Mas, veja bem, esse mapeamento é um processo cíclico, pois a sua organização está constantemente em evolução. Sendo assim, a adequação à LGPD não é apenas um projeto de 6 meses com início, meio e fim. Ela é, na verdade um processo, que será revisitado e revisado muitas e muitas vezes.
Ok. Mas e na prática?
Eu vou confessar: já li a lei umas 4 vezes. Já assisti a uns 3 webinares distintos. Já fui a encontros e rodas de discussão sobre o assunto e, em nenhum deles, tive uma resposta concreta do que fazer na prática.
O sentimento que eu fiquei foi de desapontamento, ou frustração, como você preferir chamar. Foi pensando nessa pergunta e no sentimento que eu fiquei que eu comecei a elaborar uma série de processos que precisavam estar disponibilizados aos titulares dos dados e para alguns controles internos da organização. Mas tudo de forma muito insipiente.
A conclusão desse trabalho preliminar foi essa: 7 processos automatizados.
Veja bem, eu criei apenas 7, sem muito aprofundamento, de forma muito básica. Qual a ideia por trás dessa iniciativa? Criar uma gama de processos automatizados que possam estar disponibilizados no menu principal do nosso site, no campo Privacidade. Assim, tudo que o titular dos dados desejar questionar, averiguar ou solicitar ao nosso encarregado, ele poderá ter por lá. E isso é o mínimo que a organização precisa fazer. O mínimo!
É sobre esses processos que falamos no webinar sobre LGPD. Nele, mostramos os processos sendo usados na prática. Além, é claro, de falarmos um pouco mais sobre cada um deles. Vou deixar o link do webinar aqui em baixo, ok? É só se inscrever e você já terá acesso à gravação. 😉
Processos, processos…
Pois bem, minha primeira intenção com esse artigo era deixar você mais por dentro da LGPD. Tentar, de forma simples, explicar o que ela é, quem é impactado e como. Mas tudo isso está na lei, não precisaria de alguém para explicar. Agora, tentar traduzir o que a lei fala para a prática nas organizações é algo que eu ainda não vi por aí, mesmo faltando tão pouco para que ela entre em vigor.
Fica claro, quando começamos a refletir sobre os artigos da lei, que precisamos rever os processos da organização. É preciso entender o como fazemos as atividades diárias para poder definir como passaremos a fazer. A tecnologia pode ajudar muito você e a sua organização a adequarem os processos ao que a lei exige.
Eu trouxe, de forma simples, uma possibilidade. Tentei sair do “juridiquês” e ir para a prática. Todavia, eu sei que esse pode ser um grande desafio. Mas o que você está esperando para sair da inércia e começar? Se você precisar, a Zeev está aqui para ajudar você. Temos em nossa espinha dorsal transformar processos ineficientes em processos inteligentes.