A Lei Geral de Proteção de Dados é uma transformação digital que representa um grande avanço no direito à privacidade. Ela impacta diretamente a forma como sua empresa coleta, armazena e utiliza dados das pessoas, e a falta de adequação do seu negócio pode implicar uma multa milionária.
Quer saber como se adequar à LGPD e evitar complicações com a lei? Confira a seguir!
Leia também: LGPD: um código de defesa de dados dos usuários
O que são LGPD e GDPR?
Apesar de ser uma medida essencial de proteção de dados, o Brasil está atrasado em relação à iniciativa similar da União Europeia, que aprovou em 2016 a General Data Protection Regulation (GDPR). A regulamentação aborda de forma específica que tipos de dados as empresas podem coletar, como eles devem ser coletados e as responsabilidades que devem ter com eles.
Duas observações se fazem necessárias. A primeira é que falamos de dados, quaisquer que sejam as fontes, on-line e off-line. É claro, a maior parte ou até mesmo a totalidade dos dados obtidos pela sua empresa será digital, então vamos focar neles.
O segundo ponto a observar é que, mesmo sendo uma regulamentação europeia, seu negócio está sujeito a ela. Isso porque ela é válida para quaisquer empresas que se valham de informações de cidadãos residentes na União Europeia. Ou seja, se seu site tiver um único visitante de além-mar e não estiver em conformidade com a GDPR, pode ser punida com multa de 2% ou 4% sobre o faturamento, ou até 20 milhões de euros.
Baseando-se nessa legislação, o Brasil aprovou em agosto de 2018 a Lei n. 13.709, mais conhecida como Lei Geral de Proteção de Dados (LGPD). Ela versa sobre os mesmos assuntos, com maior ou menor nível de aprofundamento em pontos específicos. Por exemplo, a LGPD não detalha o nível de segurança para um dado pessoal ser considerado seguro. Já a GDPR exige nesse sentido encriptação e pseudoanonimação para manter os bancos de dados protegidos.
A LGPD entra em vigor em agosto de 2020, com multas por infração que podem chegar a 2% do faturamento ou até 50 milhões de reais, entre outras penalidades. No entanto, sua empresa não pode esperar para se adequar, porque já está sujeita à GDPR.
Dica: na dúvida entre uma norma e outra, siga a GDPR, que é no todo mais rígida e mais específica.
Regras gerais de proteção de dados
A proteção de dados trata em termos gerais dos seguintes conceitos, segundo o texto da Lei n. 13.709, que segue a linha do GDPR:
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Tratamento: toda operação realizada com dados pessoais (por exemplo: campanhas de e-mail marketing);
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Em resumo, todo dado pessoal, ou seja, que possa ser relacionado diretamente a alguém, só pode ser usado para tratamento por uma empresa se for fornecido com o consentimento do titular desses dados.
A permissão livre e informada do tratamento de dados é um dos pontos cruciais da LGPD. O texto da lei orienta, inclusive, que o usuário tem direito a “informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento”. Isso quer dizer que sua empresa é obrigada a informar que tipo de dados coleta, por que está fazendo isso, por quanto tempo o fará, de que modo os usará e como garantirá a segurança deles.
Outro ponto importante é a restrição à coleta de dados sensíveis, referentes à origem racial ou étnica, religião, opinião política, vida sexual e saúde do indivíduo, entre outros fatores, a não ser com consentimento explícito e específico do titular, ou nas hipóteses mencionadas no artigo 11 da referida lei.
Vale ainda destacar o amplo direito à exclusão e portabilidade de dados pessoais por parte do titular. A qualquer momento, a pessoa pode solicitar uma cópia de todos os seus dados armazenados pela empresa, requerer a completa exclusão deles ou migrá-los para outra empresa, como no caso de uma troca de bancos.
Então, quais são as ações que seu negócio deve adotar para se adequar à proteção de dados?
Medidas práticas para se adequar à LGPD e GDPR
Vamos abordar aqui algumas medidas emergenciais para você não perder mais tempo nem correr riscos em seu negócio.
Revise sua política de privacidade e termos de uso
Seu site, software, aplicativo ou qualquer forma de coleta de dados dos usuários deve conter esses dois conteúdos essenciais com linguagem clara e acessível. O texto deve declarar todos os pontos exigidos pela LGPD e GDPR, mencionando, além do tratamento de dados, as medidas de segurança adotadas e planos de ação em caso de comprometimento das informações.
Inclusive, em caso de invasão do banco de dados, a empresa tem obrigação de avisar as autoridades competentes sobre o ocorrido.
Este é um exemplo de página de política de privacidade:
Só use dados consentidos
Até então, existiam três tipos de consentimento para, digamos, alguém se cadastrar em uma newsletter:
- Opt-out: a pessoa fornecia dados para alguma outra função, como uma compra, e recebia a newsletter sem solicitação, podendo se descadastrar dela depois;
- Soft opt-in: a pessoa era informada de que receberia a newsletter e o campo já vinha preenchido com a autorização;
- Hard opt-in: a pessoa precisa dar a autorização de forma “livre, informada e inequívoca”, preenchendo um campo com seu consentimento e sabendo exatamente para que serve.
Com a proteção de dados, só o hard opt-in é válido como consentimento. Insira esse tipo de campo nos formulários de coleta de dados que utilizar em seu negócio, ou então uma frase como “ao se cadastrar, você aceita nossos termos de serviço”. Veja o exemplo da HubSpot para isso:
Envie e-mails de ativação para sua base
Se sua empresa já utilizava hard opt-in para utilizar dados, como para o envio de campanhas de e-mail marketing, então está segura para continuar se comunicando com sua base. No entanto, se utilizava opt-out ou soft opt-in, terá sua comunicação limitada e não poderá fazer nada além do que foi expressamente consentido antes.
A solução é enviar e-mails com link para uma página em que os contatos possam preencher exatamente o que desejam receber em termos de comunicação. Muitos leads serão perdidos nesse processo, mas é mais seguro assim. O segredo é redigir esse e-mail como se a pessoa estivesse perdendo algo por não revisar suas autorizações, como este exemplo da Booking.com.
Insira um banner de aviso de cookies no site ou blog
Cookies são informações que uma página armazena em dispositivos, podendo identificá-los, ainda que de maneira anônima. Por causa disso, para poder armazenar cookies também é preciso de consentimento do titular, como pode ser visto no site da HubSpot.
Mudando a cultura da sua empresa
Vale destacar que essas mudanças não podem ser só no papel, ou nos termos de uso. É preciso cumpri-las, sob risco de fiscalização e punição pela Autoridade Nacional de Proteção de Dados (ANPD).
Sua empresa deve colocar a privacidade do usuário sempre em primeiro lugar e respeitar qualquer manifestação por parte deste de não ter seus dados utilizados ou excluí-los completamente. Para manter o compliance do seu negócio, são necessários processos que se adequem a essa nova realidade, novas tecnologias que garantam o nível de segurança exigido ao seu banco de dados, encarregados fixos por responder pela proteção de dados e a revisão de contratos com parceiros para que eles também estejam adequados à lei.
Curtiu as dicas práticas sobre esse assunto? Compartilhe com seus contatos nos botões abaixo, para eles poderem se adequar à LGPD e GDPR, e aproveite para conhecer muito mais novidades e temas interessantes da revolução digital no portal Tech SC, da NSC Comunicação.