Estreando a nossa colaboração de conteúdo, hoje o nosso analista de qualidade de software Felipe Coelho, vai contar mais sobre a LGPD além de trazer quais as mudanças que a nova legislação provoca para pessoas físicas e jurídicas.
Com certeza você já deve ter ouvido falar sobre a Lei Geral de Proteção de Dados, a famigerada LGPD, não é mesmo? Mas você sabe o que ela é e do que se trata? Primeiro, vamos esclarecer o que é a LGPD é a abreviação para a Lei n. 13.709/2018, em vigor desde 18 de setembro de 2020, e chegou para mudar radicalmente a forma que organizações tratam os dados pessoais de seus usuários. Ao falar de dados pessoais, é importante deixar claro que falamos dos dados de pessoas físicas que uma pessoa jurídica tem em sua posse, sejam elas seus colaboradores, clientes, parceiros, fornecedores e outras associações que são abrangidas pela lei.
Antes, um pouco de história...
Na Europa, legislações sobre a proteção de dados já são realidades desde 1995, através da Diretiva 95/46/CE, que regulamenta a forma que dados pessoais eram tratados por empresas que operem na União Europeia, independente do seu país de origem. Em 2018, passou a vigorar na União Europeia a GDPR (European General Data Protection Regulation), uma revisão e atualização de diversos aspectos da já existente Diretiva, que, portanto, foi revogada.
Com inspiração na GDPR, o Senado Brasileiro, em agosto de 2018, aprovou a LGPD, que logo foi sancionada pelo Presidente da República em exercício na época, Michel Temer. Em julho de 2019, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), que será a entidade responsável por fiscalizar o comprimento da LGPD. E, finalmente, após diversas alterações e adiamentos dos prazos pelo Senado Federal, passou a vigorar em setembro de 2020, mas as penalidades para empresas que ainda não estão adequadas à nova legislação só poderão ser aplicadas a partir do segundo semestre de 2021.
É importante ressaltarmos que a GPDR é uma regulamentação e que, por isso, é mais direta e objetiva, com regras específicas para diferentes situações. A LGPD, por outro lado, é uma lei, com cláusulas abertas e subjetivas, permitindo interpretações em diversos pontos, que serão consolidados pela jurisprudência e regulamentados pela ANPD.
Afinal, para que serve a LGPD?
De fato, no Brasil existem outras leis que regem questões ligadas à privacidade, como o Código de Defesa do Consumidor, a Lei de Acesso à Informação, o Marco Civil da Internet ou a própria Constituição Federal, porém a LGPD é a mais específica sobre o assunto e, portanto, a mais relevante, especialmente porque impõe sanções e multas pelo descumprimento de suas normativas.
A LGPD possui sete fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - à inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico, tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Com base nestes fundamentos, nota-se que a importância da LGPD está diretamente associada à proteção e à garantia dos direitos humanos fundamentais da população brasileira.
A LGPD cria uma série de conceitos básicos, como tipos e categorias de dados pessoais, assim como estabelece as condições do tratamento destes dados. A lei também estabelece os direitos dos titulares ao mesmo tempo que define as obrigações para os detentores destes dados, com normativas que criam uma série de procedimentos para o tratamento adequado dos dados pessoais e compartilhamento com terceiros.
O principal objetivo da LGPD é evitar a utilização inadequada, mal intencionada ou o vazamento destes dados. Para tal, a cibersegurança deve ser prioridade da gestão dos detentores destes dados, devendo procurar e implementar meios capazes de prevenir, detectar e remediar possíveis violações de dados pessoais.
O que a LGPD muda para as pessoas físicas?
Em primeiro lugar, é necessário que a própria pessoa com direitos e sobre a qual os dados pessoais se referem dê seu consentimento para a sua utilização, que deve ser fornecido somente a partir de quando ela tenha sido devidamente informada sobre os termos de uso, as extensões e a necessidade da aquisição de tais dados sejam dadas. É importante ressaltar que, porém, aplicam-se exceções onde tais informações forem indispensáveis para cumprir alguma obrigação legal ou executar políticas públicas previstas em lei.
A lei também dá à pessoa controle e garantias sobre os seus dados, como o direito de exclusão e do cancelamento do consentimento. Assim, a LGPD fornece ao indivíduo o controle sobre suas informações, para quem e para onde elas estão sendo passadas, assim como lhe dá a capacidade de punir os responsáveis por danos sobre o uso indevido de seus dados.
E para as pessoas jurídicas, o que muda?
Para assegurar o comprimento da lei, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), que será o órgão responsável por essa fiscalização e aplicação de penalidades sobre descumprimento das normativas. Este órgão poderá solicitar às diversas informações a fim de verificar se a sua conduta está de acordo com o estabelecido na lei. Além disso, a tarefa da ANPD também será de orientação preventiva, disponibilizando alerta e orientações às organizações antes de aplicar as penalidades, definidas conforme a gravidade da infração às normativas.
A LGPD é válida tanto para empresas privadas como públicas, mas seu foco está especialmente voltado às organizações que lidem de alguma forma com dados pessoais e sensíveis de seus usuários, a fim de tornar essa relação da empresa com seu usuário transparente no uso destas informações e a garantia da proteção delas. As sanções estabelecidas variam de multas simples de até 2% da receita global do exercício anterior do estabelecimento, podendo chegar até 50 milhões de reais por violação, dependendo de sua gravidade.
Portanto, as empresas devem pensar na privacidade dos dados pessoais desde a fase de planejamento de suas aplicações. A implementação de fluxos de trabalho, criação de um comitê de segurança e outras boas práticas, como solicitar o mínimo possível de dados e trabalhar apenas com as informações necessárias. De maneira geral, as empresas devem focar em ter uma melhora no processo para que este seja o mais responsável possível sobre as informações do usuário, pois tais práticas serão considerados critérios atenuantes em um cenário da aplicação de uma penalidade.
Gostou do nosso conteúdo? Não esqueça de comentar com a gente no Instagram e se ficou com alguma dúvida, entre em contato com o Felipe através do LinkedIn!