LGPD na prática: Um guia prático para entender a lei | Foto por Freepik.
No mundo todo cresce a cada dia o debate acerca da privacidade na rede. Hoje é comum se ter notícias de governos proibindo o uso de aplicativos web em seus territórios, alegando a invasão de privacidade dos usuários. Ou então, de hackers maliciosos invadindo sistemas de grandes corporações, divulgando dados pessoais de seus clientes e expondo a fragilidade de seus sistemas de segurança.
Em paralelo, você já deve ter recebido inúmeras campanhas ou newsletters por e-mail que lotam a sua caixa de entrada. Mas, muitas vezes, você não faz ideia de quem é aquele remetente e tampouco como ele conseguiu o seu contato, não é mesmo?
Na maioria das vezes, isto deve-se ao compartilhamento dos seus dados por empresas que você tenha compartilhado - e confiado - seus dados em algum momento.
Para tentar solucionar ambos os casos, foi criada e sancionada no Brasil a Lei Geral de Proteção de Dados (LGPD). Ela vem justamente com o objetivo aumentar a privacidade de dados pessoais e garantir às entidades reguladoras o poder para fiscalizar a maneira com que as organizações lidam com seus dados.
O documento, que altera o Marco Civil e deve entrar em vigor em breve, chega em época propícia, se considerado os grandes vazamentos de informações e escândalos que envolvem o uso indevido de dados pessoais.
Como posso conhecer mais sobre a LGPD?
Para ajudar você a entender melhor o assunto e se preparar para a adequação à lei, a Campinas Tech preparou um guia prático sobre o que é a LGPD. Ele trás os principais tópicos que você precisa saber. São menos de 15 minutos de leitura e você pode acessá-lo agora!
A Lei Geral de Proteção de Dados (LGPD) é considerada um avanço significativo na proteção de dados pessoais com fins comerciais. Apesar de entrar em vigor apenas em agosto de 2020, empresas e organizações estão se atentando para as novas responsabilidades, na qual terão que cumprir para garantir a conformidade com a lei.
A LGPD vai estabelecer princípios, direitos e deveres que deverão ser considerados no tratamento de dados pessoais.
Com a implementação da LGPD, primeiramente os gestores de RH junto com departamento de segurança da informação e jurídico terão que implementar estratégias e programas para conscientização das novas regras. Com isso, será de extrema importância o suporte jurídico e tecnológico para verificação dos processos.
O RH da sua empresa está preparado?
A área de Recursos Humanos nas empresas, geralmente coleta e processa grandes quantidades de dados pessoais de funcionários, ex-funcionários e candidatos a novas oportunidades. Nessas informações constam dados confidenciais, como registros médicos, níveis salariais, telefone, endereço, além dos dados considerados sensíveis como opção sexual, religiosa e associação sindical. Por isso, é extremamente importante que os profissionais da área estejam cientes sobre a LGPD para que processem esses dados de forma correta usando o princípio da minimização de dados, ou seja, coletar apenas os dados necessários para as finalidades.
A Lei Geral de Proteção de Dados exige que as empresas e organizações tomem medidas para diminuir a quantidade de dados que armazenam e garantir que sejam guardadas apenas por tempo necessário. Além disso, também estabelece que todo processamento de dados tenha uma base legal legítima, como, por exemplo, o consentimento do titular de dados, o titular tem o direito e esquecimento, ou seja, revogar a qualquer momento e sem custo o consentimento e a empresa tem como obrigação excluir sem demora indevida.
Na nova legislação, o consentimento é um pilar muito importante, já que as empresas vão poder usar os dados pessoais apenas para o propósito e finalidade para o qual foi concedido o consentimento. Para os profissionais de RH, isso significa que os funcionários precisam previamente estar cientes de como os dados serão utilizados, quais suas finalidades e por quanto tempo irão manter armazenados, após cientes e informados, podem optar pelo consentimento do processamento.
Papel do RH
Antes da LGPD entrar em vigor, ela precisa ser assimilada, estudada e entendida. Essas são tarefas que os profissionais já estão executando, sendo eles os responsáveis por grande parte da coleta, processamento e controle dos dados referentes aos integrantes do quadro funcional da empresa.
Uma das primeiras tarefas será identificar, classificar e se certificar de quais dados estão sob seu controle e de que forma estão armazenadas. Ter o conhecimento de quanto tempo deve ser armazenado esses dados e como fazer para protegê-los durante todo o ciclo de vida incluindo as salvaguardas, mais conhecidos como cópias de segurança.
Uma recomendação é fazer uma avaliação de impacto da proteção de dados (AIPD) com questionamentos, como: quais dados são necessários para o cumprimento legal do trabalho ou execução do contrato de acordo com as leis já vigentes e quão sensíveis é o dado coletado, buscando sempre pela minimização dos dados, que na prática é coletar somente o necessário para cumprimento das obrigações.
As medidas a serem tomadas devem exigir a posse de formulários claros que evidencie manifestação livre e informada. Com isso, os funcionários devem concordar com o tratamento de seus dados pessoais para certa finalidade, de forma que atenda aos requisitos da lei.
Outra prática a ser avaliada é o armazenamento de currículos nas bases de dados da empresa e o repasse de informações. No primeiro caso, o vazamento de informações pode ser exposto com facilidade, já no segundo caso, quando repassar informações a operadoras de planos de saúde, gestão de pagamento, deve ser revisto com um contrato de confidencialidade para evitar o vazamento, processamento ilegal ou acesso não autorizado aos dados.
Ter uma consultoria jurídica especializada e um profissional de segurança da informação para avaliação e diagnostico, sendo possível colocar em prática as mudanças necessárias.
Realizar uma avaliação de risco referente aos dados coletados.
Saber onde, quando e como são coletados os dados pessoais de clientes, fornecedores e colaboradores.
Proporcionar treinamentos para conscientização dos colaboradores quanto à manipulação dos dados com a finalidade de evitar vazamentos bem como estarem cientes das responsabilidades quanto ao acesso.
RH, TI e Jurídico juntos
Com a LGPD, as áreas de Recursos Humanos (RH) e Tecnologia da Informação (TI) e departamento Jurídico estarão mais unidas, por isso é importante ressaltar que as empresas serão obrigadas a elaborar ou revisar suas políticas internas, determinando quais setores poderão ter acesso aos dados de candidatos, funcionários, terceiros e como essas informações serão utilizadas.
Texto por: Every System, associado da Campinas Tech. Originalmente publicado no blog da empresa.
A nova Lei Geral de Proteção de Dados (LGPD), foi sancionada pelo governo Brasileiro e tem como objetivo aumentar a privacidade dos dados pessoais e o poder das entidades reguladoras para fiscalizar as organizações.
Nos últimos anos vem ocorrendo vários casos de vazamento de dados pessoais ou uso indevido de informações. Um exemplo disso, aconteceu em 2018 com a empresa britânica Cambridge Analytica, onde o Facebook admitiu ter fornecido dados de usuários para a empresa que era contratada pela campanha de Donald Trump, fazendo com o que o uso desses dados pudesse influenciar as eleições americanas.
Após esse incidente, a Europa criou uma lei que regulamentasse como as empresas podem utilizar e armazenar os dados dos clientes, funcionários e usuários. Então, em maio de 2018 foi criado o Regulamento Geral de Proteção de Dados (GDPR), sendo bem aceito, fez com que outros países pensassem sobre a proteção de dados dos cidadãos. A partir disso, esse documento passou a ter aplicabilidade extraterritorial, fazendo com quem muitas empresas se adequassem a esta nova realidade.
Aplicação da LGPD
Mas o que são os Dados Pessoais? De acordo com a LGPD, dado pessoal, é qualquer informação que possa levar a identificação de uma pessoa, de maneira direta ou indireta.
Onde a LGPD é aplicada? Alguns exemplos são em relações trabalhistas, consumeristas, entre usuários e serviços de internet e negócios B2B que utilizam dados pessoais de parceiros/representantes. Resumindo, aplica às empresas que possuem pelo menos um dos requisitos, sendo eles, ter estabelecimento no Brasil, oferecer serviços ao consumidor brasileiro, coletar e tratar de dados localizados no país.
Dados pessoais e a LGPD
O principal foco da lei é garantir a privacidade dos dados pessoais das pessoas e ter mais controle sobre eles. Além disso, há regras claras sobre o processo de coleta, armazenamento e compartilhamento desses dados. Sendo assim, algumas medidas para proteger esses dados, podem ser de segurança, técnicas e administrativas, o importante é que combatam ou minimize a perda, ou indisponibilidade de dados.
A lei vai dividir os dados em duas classificações, os pessoais e sensíveis. Os pessoais são informações que permite que você identifique uma pessoa ou descreva um comportamento. Já os sensíveis, tratam de características que podem fazer com que haja uma discriminação dos donos desses dados (como, por exemplo: raça, religião, opção sexual).
Quem precisa de adequar?
A partir de agora, todas as empresas que prestam serviços no Brasil precisam se adequar as novas regras e deverão ter um profissional exclusivo para a proteção de dados e responsável pela execução da nova lei, podendo ser próprio ou terceiro.
Com a LGPD em vigor, as empresas têm até o segundo semestre de 2020 para se adaptarem. A fiscalização será feita pela Agência Nacional de Proteção de Dados e caso não haja a adequação dos requisitos das obrigações, pode gerar consequências, como a cobrança de uma multa de 2% do faturamento anual, limitada a R$ 50 milhões por infração.
É importante ressaltar, que de acordo com essa lei a companhia deve ter o consentimento do usuário para coletar seus dados. Além disso, o cidadão pode solicitar a exclusão de suas informações da base de dados de uma empresa.
Princípios para o tratamento de dados pessoais:
Finalidade: ter um propósito informado;
Adequação: tem que ser compatível com a finalidade;
Necessidade: utilizar apenas os dados estritamente necessários;
Livreacesso: acesso ao tratamento e integridade dos dados;
Qualidadedosdados: haver dados exatos, claros e atualizados;
Transparência: informações claras e precisas;
Segurança: medidas aptas a proteger os dados pessoais;
Prevenção: medida para evitar danos aos titulares;
Nãodiscriminação: não utilizar para fins discriminatórios, ilícitos ou abusivos;
Responsabilizaçãoeprestaçãodecontas: demonstrar adoção de medidas eficazes ao cumprimento das normas.
Áreas e encarregados afetados pelo LGPD
As áreas afetas em uma empresa serão as de análise de dados, marketing, desenvolvimento de software e TI, gerenciamento de produtos, jurídico, Compliance, recursos humanos, serviços e logística, segurança da informação.
O encarregado por cuidar desses dados e seguir a lei deve se reportar ao nível mais alto da direção, ter estabilidade orçamentária e suas atividades serão destinadas a recepcionar e atender as demandas dos titulares dos dados, interagir com a Autoridade Nacional de Proteção de Dados, orientar funcionários e contratados quanto a práticas de proteção de dados.
Direitos do titular dos dados
O titular dos dados pessoais tem como direito ter uma confirmação da existência de tratamento, acesso às informações, corrigir dados incompletos e eliminação dos que não forem necessários, excessivos. Além disso, ele pode ter uma portabilidade dos dados a outro fornecedor de serviço ou produto, sabendo que existe uma possibilidade de não fornecer os dados sem seu consentimento, revogar esse consentimento e reclamar a Autoridade Nacional.
Conclusão
Como essa lei é uma novidade, é difícil lidar com essa situação sozinho e administrar o negócio junto. Sendo assim, é importante que haja um parceiro especializado que pode auxiliar nesse período de transição, oferecendo mais conhecimento e aplicação de medidas eficientes para o cumprimento da lei.
Texto por: Every System, associado da Campinas Tech. Originalmente publicado no blog da empresa.
