Saiba como aplicar a LGPD na sua empresa

A LGPD, ou Lei Geral de Proteção de Dados Pessoais, é uma norma voltada à segurança de dados e privacidade do Brasil, e tem como modelo principal o Regulamento Geral de Proteção de Dados (RGPD), instituído na União Europeia. 

A LGPD foi aprovada pelo Congresso Nacional em 10 de julho de 2018, em um esforço para unificar e aprimorar mais de 40 instrumentos de privacidade de dados no país em uma única legislação. 

A LGPD está em vigor desde agosto de 2021 e, assim como o RGPD, impacta organizações nacionais e globais, indo além das fronteiras do Brasil.

A extensão em que a LGPD se aplica às organizações dependerá da natureza específica do negócio em questão, portanto, toda empresa, mesmo de assessoria contábil, deve sempre procurar aconselhamento jurídico qualificado para adequar aos requisitos de conformidade. 

No entanto, se uma organização internacional faz negócios no Brasil ou coleta e processa os dados de qualquer indivíduo dentro do país, ela deve se familiarizar com os requisitos da LGPD para entender o impacto que esses regulamentos podem ter sobre a instituição.

Além de introduzir regulamentos de privacidade, a LGPD também estabeleceu uma autoridade nacional separada, a ANPD, sigla para Autoridade Nacional de Proteção de Dados, que é responsável por fazer cumprir a lei, incluindo a emissão de penalidades e multas. 

A criação da ANPD foi originalmente vetada pelo poder executivo, mas depois restabelecida por meio de ordem executiva em agosto de 2020.

LGPD inclui ampla definição de dados pessoais

A LGPD define dados pessoais de forma ampla, estabelecendo como qualquer informação que possa ser usada para identificar o indivíduo.

Desse modo, se o usuário procura por uma loja para adquirir uma mini câmara fria para congelamento para um estabelecimento comercial, e insere um e-mail na plataforma, ou mesmo se a página coleta informações de navegação, esse dado permite identificá-lo e também é coberto pela LGPD.

Ou seja, a norma inclui qualquer informação que possa ser combinada com outros dados para identificar o indivíduo de forma clara.

Os dados que pode podem ser considerados informações pessoais sob a LGPD podem se apresentar como:

  • - E-mail;
  • - Endereço IP;
  • - Geolocalização;
  • - Números de cartão de crédito;
  • - Números de telefone.

Como o Brasil tem uma população cultural e racialmente diversa, a LGPD reconhece que, em determinados casos, são necessárias proteções adicionais para proteger os indivíduos contra a discriminação. 

Esses atributos potencialmente de maior risco são definidos como “dados pessoais sensíveis” sob a LGPD, como informações sobre saúde, genética e de caráter médico, características biométricas e de origem racial ou étnica, além de afiliações políticas ou religiosas, visto a complexidade das informações.

Para quem a LGPD se aplica

A LGPD se aplica a qualquer organização ou indivíduo, seja ela de administração de condomínios ou atender o setor da construção civil, independentemente do tamanho, segmento, status público ou privado, e país de residência.

Qualquer pessoa jurídica ou pessoa física que processe dados coletados de pessoas no Brasil, e que seja identificada como o controlador de dados, está sujeita à LGPD se os dados coletados e processados ​​são sobre pessoas residentes no país.

Para fins de oferta e venda de bens ou serviços a pessoas físicas no país, empresas estrangeiras, como redes sociais e fornecedores de streaming devem seguir a LGPD e estar dentro das conformidades que a legislação indica.

Obrigações de conformidade com a LGPD

A LGPD é um aprimoramento e consolidação significativa das leis anteriores de privacidade de dados no país, e as mudanças afetam organizações de todos os setores. 

A seguir estão algumas das principais considerações de conformidade que as empresas precisam compreender e aplicar, e assim garantir estar de acordo com a legislação vigente.

1. Definir e documentar processamento de dados 

A LGPD exige que toda organização que coleta ou processa dados pessoais tenha diferentes motivos legais e aceitáveis ​​para fazê-lo, mas é importante documentar esses motivos para fins de auditoria.

Isso pode ser feito por meio do consentimento do indivíduo, maior de 18 anos, que acessa a página e cede esses dados.

Por exemplo, se esse usuário procura um projeto de escritório de contabilidade São Paulo junto a uma loja de móveis, ele pode ceder essas informações ao solicitar o cadastro junto a newsletter. Já a empresa poderá processar os dados e proporcionar uma experiência mais otimizada.

As informações de um cidadão também podem ser aplicadas para fins de realização de estudo ou pesquisa, desde que as empresas tomem medidas razoáveis para manter esses dados anônimos e seguros.

Assim, para proteger a segurança e até mesmo o crédito de uma pessoa, é crucial que a adequação às normas seja estabelecida para coletar e processar os dados. 

2. Honrar os direitos de privacidade individual

A LGPD fornece aos indivíduos vários direitos para avaliação do que é feito com as informações. Nesse sentido, eles podem solicitar que as organizações reconheçam e defendam a qualquer momento os dados, bem como pode solicitar a exclusão do banco de dados.

As organizações devem ter procedimentos e processos internos para responder às solicitações de indivíduos que exercem esses direitos de forma precisa.

3. Nomear um diretor de proteção de dados

A LGPD exige que todas as organizações sob jurisdição indiquem um responsável pela proteção de dados, denominado Diretor de Proteção de Dados, ou DPO, para ser o ponto de referência para os esforços de segurança dos clientes e leads. 

O DPO não precisa ser uma pessoa física, o que significa que um comitê pode fornecer esse serviço, assim como um consultor externo. 

Nesse sentido, o DPO é responsável por garantir que a organização de contabilidade gerencial e financeira tome as medidas adequadas para proteger os dados pessoais e por se comunicar com os usuários finais e autoridades governamentais sobre assuntos de privacidade de dados. 

A identidade e as informações de contato do DPO devem estar disponíveis ao público, e de preferência publicado no site corporativo da empresa.

4.Conduzir o impacto de proteção de dados

Para cumprir a LGPD, a empresa deve documentar os tipos de dados que está coletando, os métodos utilizados, juntamente com as etapas tomadas para proteger essas informações.

Também é necessário identificar riscos potenciais e documentar o que a empresa faz para reduzir ao máximo o risco de vazão de dados, preservando as informações sensíveis relacionadas a assessoria trabalhista, por exemplo.

Toda organização que se enquadra na jurisdição da LGPD deve ter esses registros em mãos para mostrar a um regulador mediante solicitação.

5. Seguir requisitos de segurança de dados

As organizações devem implementar controles organizacionais e técnicos adequados para proteger os dados pessoais contra acesso não autorizado, exclusão, alteração, compartilhamento ou processamento. 

Caso ocorra uma violação que apresente risco ou cause danos a pessoas físicas, as organizações devem notificar a ANPD e as pessoas afetadas pela violação dentro de um prazo razoável e incluir as seguintes informações:

  • - Indivíduos afetados;
  • - Medidas de segurança em vigor;
  • - Riscos associados à exposição dos dados;
  • - Tipo de dados pessoais que foram expostos .

A empresa também precisa apresentar um plano para reduzir os efeitos da violação sobre os indivíduos que podem estar em risco, mesmo que o cliente seja um escritório que presta manutenção hidráulica predial personalizada.

A ANPD pode exigir que uma organização tome medidas adicionais, como alertar a mídia sobre a violação ou tomar medidas específicas para reduzir os efeitos da violação nos indivíduos afetados. 

6. Implementar a privacidade por design

A LGPD exige que as organizações sob jurisdição projetem os sistemas e procedimentos de processamento de dados, sendo que a privacidade deve ser mantida em proteção, conforme configuração padrão.

Isso inclui a abordagem conhecida como privacidade por design, que adiciona controles de privacidade a esses sistemas como uma reflexão tardia. 

As organizações também devem estar preparadas para demonstrar a eficácia quanto às medidas adotadas sobre a proteção de dados à ANPD, pois uma auditoria pode ser realizada a qualquer momento.

7. Cumprir requisitos de transferência de dados 

A LGPD permite que as organizações transfiram dados pessoais protegidos para fora do Brasil, isso se as leis do país em que os dados forem transferidos fornecer proteção adequada a esses dados. A adequação da proteção é determinada pela ANPD. 

Penalidades de não conformidade 

De acordo com a LGPD, as penalidades por descumprimento são avaliadas pela ANPD e podem incluir multas de até 2% da receita anual de uma empresa, podendo alcançar até R$ 50 milhões por violação. 

A ANPD também tem autoridade para bloquear o acesso ou excluir dados pessoais de bancos de dados relacionados e proibir parcial ou totalmente as atividades de processamento caso ocorra uma violação. 

Além disso, a LGPD oferece aos indivíduos o direito de buscar indenização civil por violações de privacidade, o que significa que as organizações podem enfrentar ações legais de consumidores, além de multas avaliadas pelos reguladores internos.

Conclusão

Regulamentos como LGPD e RGPD são passos marcantes para a proteção do direito dos indivíduos à privacidade no ambiente digital. 

No entanto, as semelhanças também devem servir como um alerta para as organizações em todos os lugares em que a privacidade de dados exigirá muito mais do que conectar um novo conjunto de controles para os sistemas existentes no futuro.

Em vez disso, as empresas de peças para cnc, ou qualquer outra, devem procurar incorporar funcionalidades de privacidade interna nos sistemas desde o início, considerando o bem-estar do usuário final (e a seguridade da empresa) e não apenas os requisitos legais. 

Isso não apenas os ajudará a ganhar a confiança dos consumidores, mas também simplificará o processo de conformidade com as novas regulamentações à medida que elas surgirem.

Esse texto foi originalmente desenvolvido pela equipe do blog Business Connection, onde você pode encontrar centenas de conteúdos informativos sobre diversos segmentos.