Apenas 4% das pequenas e médias empresas atendem a 100% dos requisitos exigidos pela Lei Geral de Proteção de Dados (LGPD). É o que revelou uma pesquisa de outubro de 2020 realizada pela Resultados Digitais com mais de mil PMEs de diversos segmentos. Do total de entrevistados no estudo, 45% disseram estar trabalhando para cumprir as exigências, enquanto 35% afirmaram já ter lido sobre o assunto, mas que ainda não tomaram nenhuma atitude prática. Já 16% dos respondentes não sabem do que trata a LGPD. O levantamento descobriu ainda que 35% das empresas se dizem preparadas para os requisitos da LGPD, enquanto 65% reconheceram que seus negócios não estão de acordo com a nova lei.
Apesar das dificuldades trazidas no levantamento, os empresários afirmam ver a LGPD com bons olhos. Do total de entrevistados 48% dizem que a nova lei de proteção de dados terá um impacto positivo nos negócios, enquanto 24% disseram que o efeito será “muito positivo”. Para 16%, a LGPD é irrelevante para os negócios e 10% avaliaram o impacto como negativo.
A partir deste mês de agosto, começam a ser aplicadas as sanções para as empresas que desrespeitarem a LGPD, que entrou em vigor em setembro de 2020 e estabelece regras sobre o uso dos dados pessoais, exigindo mais transparência e segurança das informações coletadas. O desrespeito à LGPD pode custar caro. Empresas e órgãos públicos podem ser multados em até 2% do faturamento, com limite de R$ 50 milhões, em caso de vazamento e mau uso de dados pessoais dos consumidores, além de ser proibida de atividades relacionadas ao tratamento de dados.
A Autoridade Nacional de Proteção de Dados (ANPD), do Governo Federal, tem a missão de implementar e fiscalizar o cumprimento da lei geral. Entre as responsabilidades da agência estão a elaboração de políticas nacionais de preservação das informações pessoais e de punição a quem descumprir a norma. Vale destacar que qualquer empresa ou entidade que faz cadastros com nome ou um documento de um cidadão, pela internet ou não, deve seguir a LGPD. As regras são válidas também para órgãos ligados ao governo, que não podem ser multados, mas estão sujeitos a sanções.
Assim, as empresas – sejam elas públicas ou privadas – precisam estar atentas ao tratamento de dados e em conformidade com a lei. Para te ajudar, vamos explicar os conceitos de dado pessoal e pessoal sensível, abordados na lei, e esclarecer os 10 princípios da LGPD.
O que são dados pessoais?
Os dados pessoais são aquelas informações relacionadas à pessoa “natural, identificada ou identificável”. Ou seja, são as informações sobre um determinado indivíduo, independentemente de ser privada ou não, que sejam de conhecimento público ou sobre a sua vida profissional.
Vale destacar que os dados pessoais não são apenas aqueles fornecidos no cadastro, pode ser também o dado que a empresa retira do dispositivo, conjunto de metadados, ou o que você infere a partir do tipo de navegação, e técnicas de perfilagem, de profiling.
Assim, são informações como: RG, CPF, endereço, data de nascimento, histórico de compras, localização geográfica, endereço IP e preferências de consumo.
O que são os dados pessoais sensíveis?
Se caracterizam como dados pessoais sensíveis aquelas informações que qualificam, a exemplo de atributos de personalidade e da vida social. Esse tipo de informação tende a ser um pouco mais sensível e, dessa forma, é mais protegido pela legislação.
Exemplos de dados pessoais sensíveis:
- origem racial ou étnica;
- convicção religiosa;
- opinião política;
- filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
- referente à saúde ou à vida sexual, genética ou biometria.
10 princípios para o tratamento de dados pessoais segundo a LGPD
A Lei Geral de Proteção de Dados (LGPD), em seu Artigo 6º, relaciona os 10 princípios que devem guiar o tratamento de dados pessoais. O cumprimento destes princípios vão te ajudar a estar em conformidade com a lei.
- Finalidade
O princípio da finalidade da LGPD discorre sobre a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.
Em suma, segundo a LGPD, as empresas terão que estabelecer claramente os propósitos no tratamento dos dados pessoais e não estão autorizadas a alterar esse propósito durante o tratamento. Sendo assim necessário explicar suas intenções para o titular dos dados, justificando e apontando o uso dos dados pessoais. Vale lembrar, que essas finalidades não só precisam estar explícitas, como devem estar dentro dos limites da lei.
Por exemplo, se a empresa solicita o e-mail do cliente para a finalidade específica de login na plataforma ou para envio de um boleto, não é permitido automaticamente utilizar esse mesmo endereço de e-mail para envio de publicidade ou ofertas.
- Adequação
O princípio da adequação trata a “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento”. Ou seja, segundo determinação da LGPD, a empresa deve explicar a necessidade da coleta desses dados, eles devem ter valor e estar de acordo com o modelo de negócio da empresa.
Por exemplo, um salão de beleza que solicita, no cadastro, informações de caráter religioso e político estão fazendo o tratamento dos dados não compatíveis com o seu negócio.
- Necessidade
O princípio da necessidade se refere à “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. Assim, a empresa deve apenas tratar dados considerados imprescindíveis para o desenvolvimento do negócio.
- Livre acesso
O livre acesso, conforme a LGPD, é a “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”. Ou seja, a empresa precisa deixar claro seus objetivos e o tempo em que os dados serão usados, bem como, dar ao titular dos dados o acesso a seus próprios dados e informações de forma fácil e gratuita.
- Qualidade dos dados
De acordo com a LGPD, a qualidade dos dados integra a “garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento”. Sendo assim, a empresa deve assegurar que a base de dados pessoais esteja atualizada e de acordo com o propósito do negócio.
- Transparência
A lei indica que o princípio da transparência dá a “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial”. Em síntese, não é permitido o compartilhamento de dados pessoais dos titulares de forma oculta. Mesmo no caso de compartilhamento com operadores que sejam essenciais para a execução do serviço, o titular precisa ser informado.
- Segurança
No princípio de segurança, a LGPD fala sobre a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.
As empresas devem, conforme a lei, adotar mecanismos, tecnologias e procedimentos para mitigar os riscos existentes na empresa e garantir uma maior proteção dos dados pessoais.
- Prevenção
De acordo com a LGPD, o princípio da prevenção se refere à “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”. Como o próprio nome sugere, este princípio determina que as empresas empreguem mecanismos para prevenir ocorrências de danos em virtude do tratamento de dados pessoais.
- Não discriminação
Neste princípio, conforme a LGPD, está a “impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos”. Ou seja, o tratamento de dados pessoais não pode ser realizado com objetivo de discriminar ou provocar abusos contra os titulares. Este princípio trata bastante sobre os dados pessoais sensíveis, aqueles que se referem, por exemplo, à origem racial ou étnica, convicção religiosa e opinião política.
- Responsabilização e Prestação de Contas
Por fim, a LGPD traz o princípio da responsabilização e prestação de contas, que discorre sobre a “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”. Ou seja, as empresas devem ter provas e evidências de que medidas e procedimentos foram empregados para proteger os dados. Treinamentos da equipe, a contratação de consultorias, uso de protocolos e sistemas podem ser formas de demonstrar que os princípios da LGPD estão sendo colocados em prática.
Quais são as punições para quem descumprir a LGPD?
Em caso de descumprimento, a ANPD pode abrir um processo administrativo, que pode culminar em punições. Dentre as sanções administrativas previstas na LGPD para o caso de violação das regras previstas, destacam-se a advertência, com possibilidade de medidas corretivas;
- Advertência
- Multa de até 2% do faturamento, com limite de até R$ 50 milhões;
- Multa diária;
- Bloqueio dos dados pessoais relacionados à irregularidade;
- Eliminação dos dados pessoais relacionados à irregularidade;
- Suspensão parcial do funcionamento do banco de dados;
- Proibição parcial ou total da atividade de tratamento.