Em Setembro de 2018 entrou em vigor aqui no Brasil a LGPD – ou Lei Geral de Proteção de Dados Pessoais, que estabelece diretrizes muito importantes e obrigatórias para a coleta, processamento e armazenamento de dados pessoais.
As normas da lei foram baseadas na GDPR (General Data Protection Regulation), que são um conjunto de regras específicas da União Europeia. Mas as discussões sobre a LGPD aqui no país são ainda mais antigas que a lei britânica.
A Lei Nº 13.709 de Agosto de 2018 prevê punições para o descumprimento em caso de irregularidades ou vazamento de informações. As regras sobre coleta e manutenção de dados servem tanto para os cidadãos brasileiros quanto para as pessoas que estejam no território nacional.
As consequências do não cumprimento da LGPD
Hoje os dados são essenciais para que as empresas possam montar suas estratégias. Existem algumas tecnologias avançadas que permitem a análise de dados com muito mais precisão, como Big Data, Inteligência Artificial, Internet das Coisas, entre outros.
A Lei Geral de Proteção de Dados, por sua natureza normativa, busca regulamentar e estabelecer parâmetros para a utilização de dados pessoais, com a finalidade de assegurar a proteção dessas informações sensíveis. Essa legislação, ao fortalecer as regras e diretrizes relativas à segurança e privacidade dos dados, estabelece um conjunto de obrigações para empresas, organizações e indivíduos que manipulam tais informações.
Essa conduta específica, sem dúvida alguma, afasta consideravelmente os consumidores e causa um aumento significativo do nível de cautela quando eles são solicitados a fornecer seus dados pessoais para estabelecer qualquer tipo de transação comercial com a empresa em questão. É importante ressaltar que, mesmo depois da imposição de sanções, esse tipo de comportamento tem implicações negativas diretas na confiança previamente depositada pelos clientes na companhia.
Custo de controle de danos
Uma vez que o incidente aconteceu, o custo das investigações e implementação de medidas de remediação é altíssimo.
Retirada de certificação
Se as autoridades de supervisão observarem descumprimentos à LGPD, elas podem exigir que a empresa retire qualquer certificação que possua.
Proibição de processamento
As autoridades responsáveis podem proibir temporariamente que a empresa processe dados pessoais.
Definição e objetivo da LGPD
A definição da Lei Nº 13.709 é: “Art. 1.º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios”.
A Lei tem como objetivo principal a proteção dos direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Obrigações e responsabilidades das empresas
A Lei Geral de Proteção aos Dados regula o uso e o tratamento dos dados pessoais tanto em empresas públicas quanto privadas, a fim de protegê-los contra o uso indevido e vazamentos.
Confira 16 obrigações que sua empresa deve cumprir para estar em conformidade com a LGPD.
Obter prova do consentimento dos dados coletados em conformidade com a lei.
Elaborar relatórios de impacto na proteção de dados.
Manter registros das operações de tratamento de dados pessoais realizadas.
Compartilhar responsabilidade conjuntamente com os operadores em caso de danos causados a terceiros por violações.
Verificar a existência ou facilitar o acesso a dados pessoais mediante solicitação do titular.
Descrever os tipos de dados coletados.
Notificar o titular dos dados sobre quaisquer alterações na validade da coleta de dados.
Indicar o DPO (Data Protection Officer).
Detalhar a metodologia utilizada para coletar dados.
Avaliar regularmente as salvaguardas e mecanismos de mitigação de riscos implementados.
Explicar a metodologia utilizada para garantir a segurança das informações.
Divulgar publicamente a identidade e informações de contato do DPO.
Orientar os funcionários e contratados da organização sobre as práticas.
Receber e responder reclamações e comunicações dos titulares, tomando as medidas necessárias.
Cumprir as atribuições adicionais estabelecidas em normas complementares das autoridades.
Receber comunicações das autoridades e seguir as providências determinadas.
Consequências jurídicas do não cumprimento da LGPD
Apesar de ter sido publicada em 2018, a maioria das normas estabelecidas somente entrou em vigor em setembro de 2020. Esse período foi importante para que as empresas tivessem tempo para se adequar às novas normas.
Alguns anos depois, as multas e sanções começaram a ser aplicadas. De acordo com o artigo 42 da LGPD, qualquer indivíduo que tenha sofrido danos, sejam eles materiais ou imateriais em resultado de uma violação da lei, pode reivindicar judicialmente a compensação, tanto dos controladores quanto dos processadores de dados.
Implicações financeiras e de imagem para as empresas
O não cumprimento das novas regras impactam severamente no resultado da empresa, a violação dos princípios básicos da LGPD podem gerar multa de até 2% da receita anual.
O limite da multa por infração é de R$50 milhões, porém, essa multa pode causar uma devastação em qualquer empresa. Além disso, o incidente compromete consideravelmente a reputação da empresa.
Esse tipo de conduta afasta os consumidores, que ficam mais cautelosos ao fornecer seus dados para fazer negócio com a empresa. Mesmo após as sanções, isso implica na confiança depositada na companhia.
Medidas para garantir a conformidade e mitigar riscos
Apesar de estar em vigor desde 2020, apenas 23% das empresas possuem uma área específica para a proteção de dados, segundo o levantamento “Privacidade e proteção de dados pessoais”, realizado pelo CGI.br (Comitê Gestor da Internet no Brasil).
A LGPD é detalhada e exige que as empresas alterem ou adaptem os seus processos de manipulação de dados. Listamos sete práticas que auxiliarão a sua empresa a estar em conformidade com a legislação. Confira!
1. Nomear um responsável pela proteção de dados
É de extrema importância nomear um encarregado de dados (DPO – data protection officer). Essa pessoa será responsável por tratar e organizar as informações, bem como informar e atualizar adequadamente a direção sobre o estado de segurança do banco de dados.
2. Classificação e mapeamento dos dados
A fim de garantir confidencialidade, integridade e disponibilidade de todos os dados, a empresa precisa fazer um inventário, onde todos os interessados entendam a qualidade e o valor dos dados que têm em mãos.
3. Avaliação de impacto na privacidade
O impacto da privacidade deve ser avaliado antes mesmo de começar o tratamento dos dados. Dessa maneira, esse relatório é capaz de identificar os riscos da coleta, uso e transferência.
4. Documentar, manter e cumprir os procedimentos, processos de privacidade e políticas
A empresa precisa atualizar constantemente o mapeamento e os inventários para garantir que as informações estejam claras para que o DPO tenha conhecimento dos dados que estão sendo tratados e protegidos.
As políticas devem abranger os processos, as pessoas e os sistemas envolvidos na atividade para assegurar efetivamente o cumprimento das normas legais. Além disso, ao abranger todos esses elementos, é possível garantir uma abordagem abrangente e integrada, promovendo a conformidade e a governança adequadas.
5. Treinamento dos funcionários na LGPD
É fundamental que todo funcionário que tenha acesso e lide com informações sensíveis esteja plenamente consciente da relevância inquestionável de preservá-las em um estado seguro e devidamente protegido. Nesse sentido, a empresa precisa contemplar devidamente o treinamento dos colaboradores e incluí-lo expressamente nas políticas de privacidade estabelecidas.
6. Teste os procedimentos antes de aplicá-los
Se houver algum vazamento, a empresa tem a responsabilidade de informar tanto as autoridades quanto os titulares dos dados sobre os riscos e danos possíveis decorrentes do incidente. Por isso, é importante realizar testes regulares nos procedimentos de gestão de riscos e incidentes, a fim de assegurar o cumprimento dos prazos de comunicação (recomenda-se um prazo de 72 horas).
7. Monitore o vazamento de dados pessoais
Essa dica também é aplicável aos incidentes de segurança da informação. Além disso, é de suma importância que as empresas possuam a habilidade de monitorar minuciosamente as ocorrências por meio de pesquisas em fontes abertas de inteligência. Isso engloba a exploração de fóruns frequentados por hackers, grupos de mensagens e até mesmo a vasta extensão da deep web.
Se aplicada corretamente e com atenção às regras de transparência, a metodologia de Inbound Marketing minimiza o consentimento explícito e o uso de dados, permitindo a coleta de informações de forma legal e efetiva.
O marketing digital foi uma das áreas mais impactadas pela LGPD, e diversos desafios e dificuldades vão surgir para se adequar à legislação. Contudo, será preciso ter uma boa gestão para conseguir obter uma base legal adequada para coleta de dados.
Quer saber como as grandes empresas conseguiram se adaptar rapidamente à Lei Geral de Proteção de Dados? Destaque-se no mercado utilizando ferramentas para implantar as melhores experiências para sua empresa.
Conheça o MBA em Gestão de Marketing – MarTech e AdTech da Galícia. Contamos com a curadoria de Marcos Supioni, para você elevar os seus resultados em marketing digital com domínio das tecnologias inovadoras e ideias criativas.