É possível dizer que a preocupação com o uso dos dados pessoais de clientes e usuários tem crescido, já que as empresas têm grande interesse em utilizar dessas informações para criar campanhas de marketing e venda direcionadas, personalizadas e automatizadas.
No Brasil, ainda não havia uma legislação sobre o assunto, o que fazia com que as empresas se utilizassem das informações pessoais de seus clientes e usuários de forma desenfreada e até excessiva, sem que o cidadão tivesse a proteção de seus dados.
É nesse contexto, e seguindo a tendência mundial, que o Brasil editou, em 2018, a Lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados ou simplesmente “LGPD”.
A aprovação da LGPD faz parte de uma preocupação mundial com a expansão das tecnologias, do avanço das inteligências artificiais, do crescimento de crimes e fraudes on-line, e do vazamento de dados pessoais.
A LGPD não tem por objetivo proibir a utilização dos dados pessoais pelas empresas, mas sim a regulamentação do uso das informações. Além disso, a lei permite que o cidadão tenha o poder de decisão a respeito do que será realizado com os seus próprios dados.
Se você continuar a leitura desse artigo irá descobrir:
- O que são dados pessoais?
- Quem são os agentes de tratamento da LGPD?
- Quem é o encarregado de dados?
- Bases legais: o que são e para que servem?
- Incidentes de segurança e suas implicações
- Quais são as penalidades pelo descumprimento à LGPD?
- Conclusão
Aproveite a leitura!
O que são dados pessoais?
É essencial compreender o que significa “dado pessoal”, já que nenhuma outra legislação no Brasil apresenta de forma definitiva esse conceito e até para entender como realizar a proteção dos seus dados.
De acordo com o art. 5º, inciso I, da LGPD, dado pessoal é informação relacionada a pessoa natural identificada ou identificável. Ou seja, trata-se de qualquer informação que possa identificar uma pessoa, individualmente ou em conjunto com outras informações.
Pode ser ainda uma informação que não identifique diretamente um indivíduo, mas esteja relacionada a alguém que já tenha sido individualmente identificado ou possa ser individualmente identificado pela empresa.
Vale explicar que somente são dados pessoais àqueles relacionados à pessoa física, isto é, dados relacionados às pessoas jurídicas, como razão social e nº do CNPJ, não são considerados dados pessoais para fins de proteção da LGPD.
Quem são os agentes de tratamento da LGPD?
A LGPD definiu que existem responsáveis pelas atividades de tratamento dos dados pessoais: o controlador e o operador.
O controlador é a empresa que tomará as decisões sobre a utilização dos dados pessoais, enquanto o operador é a empresa, geralmente contratada pelo controlador, que faz o tratamento de dados em nome do controlador, seguindo suas orientações.
Por exemplo, uma empresa que contrata uma contabilidade para processar sua folha de pagamento será a controladora do tratamento, enquanto a contratada será a operadora, devendo atuar sempre em nome da empresa controladora e de acordo com que for solicitado por ela.
Outro exemplo seria o envio de e-mail marketing pelas empresas. Muitas vezes a empresa que deseja enviar e-mail marketing para seus clientes cadastrados encaminha essa base de dados para uma empresa contratada para a realização desse envio. Nesse caso, a empresa contratante é a controladora do tratamento e a empresa contratada, responsável pelo envio do e-mail, é a operadora.
Quem é o encarregado de dados?
O encarregado de dados é quem auxilia a empresa nas atividades de privacidade, cibersegurança e proteção dos dados. Age como um canal de contato entre o controladores titulares (a quem se referem os dados pessoais como, por exemplo, o cliente, usuário…) e a Autoridade Nacional de Proteção de Dados (“ANPD”).
Bases legais: o que são e para que servem?
Mais uma inovação da LGPD foi criar “bases legais” que funcionam para que as empresas coletem, utilizem e armazenem dados pessoais de forma correta e sem desvios.
A LGPD estabelece 10 bases legais como justificativa para o tratamento dos dados pessoais. Abaixo destacamos cinco delas, as mais usadas pelas empresas:
- Consentimento: o titular poderá autorizar a empresa a utilizar seus dados pessoais para um fim específico e legítimo.
- Cumprimento de obrigação legal ou regulatória: sempre que a empresa for obrigada por lei ou por algum regulamento a tratar os dados pessoais do titular.
- Execução de contrato ou procedimentos preliminares: sempre que, em razão de um contrato firmado, a empresa tenha que realizar o processamento dos dados pessoais do titular.
- Exercício regular de direitos em processo judicial, administrativo ou arbitral: a empresa poderá tratar dados pessoais para dar início a, ou se defender de um processo judicial, administrativo ou arbitral.
- Legítimo interesse: essa é a justificativa mais ampla, porém para poder utilizá-la é necessário que o processamento dos dados seja para um fim legítimo e que o titular tenha a expectativa de que seus dados pessoais serão tratados pela empresa unicamente para aquela finalidade específica.
Incidentes de segurança e suas implicações jurídicas
Um dos principais riscos de lidar com dados pessoais são os incidentes de segurança, que podem ser entendidos como evento adverso, confirmado ou sob suspeita, relacionado à violação na proteção de dados pessoais.
Ou seja, os incidentes podem ser caracterizados como acesso não autorizado, acidental ou ilícito, que resulte na destruição, perda, alteração, vazamento ou, ainda, qualquer forma de tratamento de dados que seja feita de forma inadequada ou ilícita.
Sendo assim, um incidente de segurança não se trata somente de vazamento de dados, uma vez que um simples acesso não autorizado, isto é, quando uma pessoa que não deveria ter acesso àquelas informações consegue acessá-las, pode ser caracterizado como um incidente.
Em uma situação dessas, a empresa pode ser responsabilizada por danos experimentados pelos titulares, devendo também, a depender do caso concreto, comunicar à Autoridade Nacional de Proteção de Dados e aos titulares dos dados, a ocorrência de tal incidente.
Por isso, mais do que nunca, é essencial investir em sistemas de proteção digital, que evitem os ataques cibernéticos de agentes externos ou acesso indevido dos próprios colaboradores da sua empresa.
Quais são as penalidades pelo descumprimento à LGPD?
Em casos de descumprimento à LGPD, as empresas podem sofrer algumas penalidade, como:
- multa de até 2% do faturamento, limitado a R$ 50.000.000,00 por infração;
- eliminar os dados pessoais envolvidos na infração;
- proibição parcial ou total do exercício da atividade que utilizava os dados pessoais envolvidos na infração;
- publicização da infração, após confirmada. Essa é uma das penalidades mais temidas pelas empresas, pois pode gerar danos reputacionais imensuráveis.
Conclusão
Nesse artigo, você ficou sabendo que a LGDP criou diversas novas diretrizes que devem ser cumpridas pelas empresas para garantir a proteção de dados pessoais dos titulares. O não cumprimento das regras pode levar a penalidades financeiras e, até mesmo, consequências envolvendo a reputação das empresas.
Você também aprendeu quem são os agentes de tratamento dessa nova legislação e as bases legais que devem ser respeitadas. A LGPD pode ser vista por muitas instituições como um sinônimo de novos gastos e despesas, porém se adequar à lei é uma oportunidade para a empresa rever processos e projetos internos, além de demonstrar que prioriza o titular dos dados.
Tudo isso, certamente, irá colocar a sua empresa em outro patamar, uma vez que o respeito ao direito à privacidade e a proteção dos dados pessoais estarão no centro das atenções.
Esse conteúdo foi útil para você? Compartilhe ele com outras pessoas que possam interessar ou nas suas redes sociais.
