A LGPD, Lei Geral de Proteção de Dados, estabelece uma série de regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, garantindo aos usuários um maior controle sobre o tratamento de suas informações pessoais.
O que você vai encontrar?
ToggleAs entidades e empresas que desobederecem as regras previstas pela LGPD estarão sujeitas a punições que podem variar de acordo com a gravidade da infração.
Neste post, você vai conseguir encontrar respostas para as principais dúvidas que possam surgir sobre a Lei Geral de Proteção de Dados.
É importante saber que uma consultoria jurídica especializada na área é indispensável para o melhor entendimento da aplicação da lei, bem como orientações para a adequação da empresa.
- O que é Lei Geral de Proteção de Dados e o que ela estabelece?
- A quem se aplica a LGPD?
- Como implementar a LGPD
- Bases legais para tratamento de dados na LGPD?
- Qual é o órgão responsável pela fiscalização do cumprimento da LGPD?
- Penalidades LGPD
- O que é legítimo interesse na lgpd?
- A adequação do Marketing Digital à LGPD: principais práticas e ações
O que é Lei Geral de Proteção de Dados e o que ela estabelece?
Não é de hoje que a regulamentação das políticas de uso de dados está sendo debatida. Novas tendências globais contribuíram para o surgimento de mudanças em sistemas jurídicos mundo afora para a melhora da privacidade e segurança na rede.
Aqui no Brasil, a Lei Geral de Proteção de Dados, Lei 13.709/2018 entrou em vigor no dia 18 de agosto de 2020.
Seguindo o modelo da General Data Protection Regulation (GDPR), regulamento da União Europeia de proteção de dados, a lei aqui no Brasil mudou a forma como as empresas utilizam os dados pessoais de pessoas físicas uma vez que estabeleceu como deve ser feito o tratamento de dados pessoais.
O tratamento de dados pessoais segundo a legislação são todas as operações realizadas com informações de pessoas naturais, identificadas ou identificáveis, como nome, RG, CPF, e-mail etc.
Considere, portanto, que com a LGPD, os titulares dos dados passaram a ter mais privacidade e proteção de seus dados pessoais na internet e as empresas novas obrigações sob pena de sofrerem penalidades.
A quem se aplica a LGPD?
A Lei Geral de Proteção de Dados se aplica a pessoa natural ou jurídica, de direito público ou privado que realiza o tratamento de dados pessoais com fins comerciais, de quaisquer naturezas online e/ou offline.
Para isso, a nova lei estabelece dois agentes possíveis:
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
O reconhecimento de “tratamento de dados” se dá por qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Veja a seguir como elas são classificadas:
ACESSO – ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;
ARMAZENAMENTO – ação ou resultado de manter ou conservar em repositório um dado;
ARQUIVAMENTO – ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotado a sua vigência;
AVALIAÇÃO – analisar o dado com o objetivo de produzir informação;
CLASSIFICAÇÃO – maneira de ordenar os dados conforme algum critério estabelecido;
COLETA – recolhimento de dados com finalidade específica;
COMUNICAÇÃO – transmitir informações pertinentes a políticas de ação sobre os dados;
CONTROLE – ação ou poder de regular, determinar ou monitorar as ações sobre o dado;
DIFUSÃO – ato ou efeito de divulgação, propagação, multiplicação dos dados;
DISTRIBUIÇÃO – ato ou efeito de dispor de dados de acordo com algum critério estabelecido;
ELIMINAÇÃO – ato ou efeito de excluir ou destruir dado do repositório;
EXTRAÇÃO – ato de copiar ou retirar dados do repositório em que se encontrava;
MODIFICAÇÃO – ato ou efeito de alteração do dado;
PROCESSAMENTO – ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado;
PRODUÇÃO – criação de bens e de serviços a partir do tratamento de dados;
RECEPÇÃO – ato de receber os dados ao final da transmissão;
REPRODUÇÃO – cópia de dado preexistente obtido por meio de qualquer processo;
TRANSFERÊNCIA – mudança de dados de uma área de armazenamento para outra, ou para terceiro;
TRANSMISSÃO – movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos, etc.;
UTILIZAÇÃO – ato ou efeito do aproveitamento dos dados.
Fonte: GUIA DE BOAS PRÁTICAS LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
Como implementar a LGPD
Para implementar a LGPD, a empresa deve seguir uma série de passos que vão de encontro ao objetivo de garantir a privacidade e segurança dos usuários.
Com o intuito de ajudar as empresas a iniciarem o processo de implementação, a LGPD Brasil listou 10 pontos principais que necessitam de atenção para garantir o cumprimento da lei:
- Estudo da LGPD e demais leis que regulamentam o negócio;
- Mapear a entrada e o tratamento dos dados pessoais;
- Mapear os riscos do tratamento;
- Elaborar o Relatório de Impacto;
- Criar a política de proteção de dados e adaptar os documentos internos e externos;
- Gerenciar os pedidos dos titulares e dos órgãos;
- Treinamento das equipes que tratam dados pessoais;
- Ser compliance com a proteção de dados mediante governança;
- Exigir o compliance de proteção de dados de seus fornecedores;
- Concepção de novos produtos com o princípio de privacy by design;
- Eleger um DPO com conhecimentos jurídicos e regulatórios sobre proteção de dados.
Bases legais para tratamento de dados na LGPD?
Para as empresas coletarem e processarem dados pessoais de usuários elas devem estar alinhadas com as bases legais previstas na legislação.
Ou seja, as empresas só poderão tratar dados que se encaixem em uma das situações abaixo previstas:
- Consentimento do titular
- Legítimo interesse;
- Cumprimento de obrigação legal ou regulatória;
- Tratamento pela administração pública;
- Realização de estudos e de pesquisa;
- Execução ou preparação contratual;
- Exercício regular de direitos;
- Proteção da vida e da incolumidade física;
- Tutela de saúde do titular;
- Proteção de crédito.
Para saber mais sobre cada base de dados e em quais dela sua empresa se encaixa acesse: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf
Qual é o órgão responsável pela fiscalização do cumprimento da LGPD?
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por fiscalizar e garantir a regulamentação da LGPD por parte das organizações públicas e privadas.
Este órgão atuará como um elo entre sociedade e governo, facilitando o esclarecimento de dúvidas das pessoas, bem como apuração de denúncias ligadas à LGPD.
Penalidades LGPD
Desde a vigência da LGPD os tribunais brasileiros vêm condenando judicialmente empresas a indenizarem titulares de dados em razão de tratamentos desconformes com a lei.
Porém além das sanções judiciais, a partir do dia 1º de agosto de 2021, as empresas também poderão ser sancionadas pela ANPD caso realizem tratamentos de dados de maneira desconforme e/ou ilegal. As penalidades que poderão ser aplicadas são:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% do faturamento, excluídos os tributos, limitada, no total, a R$50 milhões por infração;
- multa diária, observado o limite total acima descrito;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
O que é legítimo interesse na lgpd?
O legítimo interesse é uma das bases legais impostas pela nova lei, que possibilita às empresas coletarem e processarem dados pessoais de usuários.
Em outras palavras, será possível que o controlador promova o tratamento de dados pessoais para finalidades legítimas, sendo estas consideradas a partir de situações concretas.
Por se tratar da base mais flexível, muita gente acredita que o legítimo interesse pode ser usado para qualquer finalidade, pensando no tratamento de dados. O que não é uma verdade.
Além da aplicação dessa base legal não ser uma das mais simples, quem optarem por justificar o tratamento dos dados pessoais com com ela estará assumindo obrigações prévias e responsabilidades extras.
A adequação do Marketing Digital à LGPD: principais práticas e ações
Depois de conhecer e se aprofundar melhor nas questões impostas pela LGPD, fica claro que as equipes de marketing precisarão rever suas ações para atrair e captar dados, vender e se comunicar com o público.
Por isso, reunimos algumas dicas importantes que vão ajudar a sua empresa na hora do tratamento de dados.
1 – Escolha a base legal mais adequada para sua base de leads
Toda solicitação de dados por parte de uma empresa acontece com uma finalidade, seja aumentar a base de contatos, promover materiais, divulgar eventos etc.
A LGPD estabelece que essa finalidade esteja sustentada por uma das bases legais previstas em lei que permitem o tratamento de dados por uma empresa ou organização.
Existem duas bases principais, das dez que autorizam o tratamento de dados, que ganham destaque para fins de marketing, são elas: consentimento e o legítimo interesse.
O conhecimento dessas duas bases vai te ajudar a decidir qual é a ideal para a sua empresa de acordo com o seu objetivo.
2 – Formulários de cadastro
O formulário, hoje, é o meio mais utilizado pelas empresas para conseguir informações sobre o público que acessa seu site e tem interesse em seus produtos.
Ao inserir esses formulários nas páginas do seu site, garanta que as informações que você está solicitando sejam realmente relevantes. Por exemplo, não faz sentido você solicitar o número do documento para a assinatura de uma newsletter.
As informações que você solicita aos usuários devem te ajudar a entender os interesses deles, bem como deixar claro a forma de contato que você fará futuramente.
3 – Facilite a saída do usuário de sua base
Nada mais frustrante para um usuário do que tentar se desinscrever de algum tipo de lista de e-mail e não conseguir.
Deixe claro aos usuários desde o início que, a qualquer momento, eles podem retirar e consentimento que autoriza o envio de e-mails, além de esclarecer como fazer isso.
Com a Lei Geral de Proteção de Dados, a empresa não pode mais dificultar a saída das pessoas de sua base por meio de botões escondidos ou processos inefetivos. O processo de saída deve ser tão fácil quanto a entrada.
4 – E-mail marketing
Dentre os canais utilizados para estratégias de comunicação, o e-mail marketing pode ser um dos mais rentáveis. Porém, para que essa estratégia seja eficiente, é importante que somente o público interessado receba.
Existe uma prática muito realizada por empresas e organizações que buscam resultados imediatos e que com a LGPD isso não será mais possível: a compra de listas de e-mail.
Além da compra de listas de e-mail, as empresas que compartilharem dados com outras empresas também estará sujeito a sanções da Lei Geral de Proteção de Dados. Essa prática só pode ser realizada mediante a autorização dos usuários.
O que achou deste conteúdo? Deixe suas dúvidas ou sugestões na caixa de comentários abaixo: