LGPD e segurança de dados: regras e dicas para se adaptar à legislação

LGPD e segurança de dados0
Blog > Novidades > LGPD e segurança de dados: regras e dicas para se adaptar à legislação

A LGPD é um dos maiores desafios de compliance que as empresas enfrentam atualmente.

A maioria dos empreendedores ainda tem dúvidas sobre como se adaptar às exigências da lei de proteção de dados, pois as regras são complexas e os padrões ainda não estão claros.

Ao mesmo tempo, as sanções com base na lei já estão em vigor e a conformidade virou prioridade — inclusive para startups e scale-ups.

Por isso, fizemos a live “LGPD: impactos na gestão de startups”, e vamos dedicar este artigo às medidas práticas que você pode tomar para se adequar às normas e evitar penalidades.

Continue lendo e saiba como proteger dados pessoais na sua empresa.

O que é LGPD?

A Lei Geral de Proteção de Dados (LGPD), ou Lei nº 13.709/2018, foi criada para proteger os dados pessoais de usuários e regulamentar o tratamento dessas informações nas empresas brasileiras.

Ela entrou em vigor em 18 de setembro de 2020 e estabeleceu uma série de exigências para a coleta, uso e transferência dos dados pessoais, garantindo que os usuários tenham mais controle sobre suas informações.

Antes da lei, as empresas já lidavam com um grande volume de dados de clientes, colaboradores e parceiros (nome, endereço, CPF, e-mail, estado civil, renda, etc.), mas muitas não tinham a estrutura de segurança necessária para protegê-los. 

Agora, todo negócio que coleta e utiliza dados de pessoas naturais precisa solicitar a autorização dos titulares e tomar medidas para garantir a privacidade dessas informações. 

Uma das principais mudanças é a obrigatoriedade do consentimento explícito do cidadão para o uso de seus dados, além das opções de visualização, correção e exclusão a qualquer momento. 

Assim, as organizações precisam criar novas políticas de governança, assegurar a proteção dos dados e investir em segurança da informação para se adaptar às novas regras.

7 principais pontos para entender a LGPD

À primeira vista, a LGPD parece muito complexa, mas basta um olhar mais próximo para entender o que a lei propõe.

Veja quais são os principais pontos abordados.

1. Dados que são regulados pela lei

Primeiro, é preciso entender de quais dados estamos falando na LGPD.

Basicamente, a lei regula o tratamento de dados de pessoas naturais identificáveis, ou seja, pessoas físicas.

São informações como nome completo, gênero, estado civil, data de nascimento, RG e CPF, endereço, telefone, ocupação, etc.

Logo, os dados de pessoas jurídicas não entram no escopo da LGPD — com exceção do microempreendedor individual (MEI), que é equiparado à pessoa física nos termos da lei. 

Outro detalhe importante é que não são considerados pela lei os dados de pessoas físicas usados para os seguintes fins:

  • Jornalísticos e artísticos
  • Acadêmicos
  • De segurança pública
  • De defesa Nacional 
  • De segurança do Estado
  • Para atividades de investigação e repressão de infrações penais.

2. Definição de tratamento de dados

Uma das principais dúvidas que surgem a respeito da LGPD é o que seria o tal “tratamento” dos dados.

Em resumo, é todo tipo de ação que você pode realizar com uma informação digital, incluindo todas estas atividades previstas na lei:

“Coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais.”

Ou seja: todas essas ações na empresa exigem atenção para as normas da LGPD. 

3. Direitos do titular dos dados

O objetivo central da LGPD é devolver ao titular o controle de seus dados pessoais.

Por isso, a lei determina os seguintes direitos ao cidadão:

  • Confirmação da existência de tratamento dos seus dados na empresa
  • Livre acesso aos dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei
  • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa
  • Eliminação dos dados pessoais tratados com o consentimento do titular
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
  • Revogação do consentimento a qualquer momento.

Lembrando que a empresa tem a obrigação de deixar claros seus procedimentos, critérios e finalidades ao tratar dados de cidadãos. 

4. Dados comuns x dados sensíveis

A LGPD também diferencia dados pessoais comuns de dados pessoais sensíveis:

  • Dados comuns: permitem somente a identificação da pessoa física
  • Dados sensíveis: podem servir como base para atos de discriminação, como informações sobre origem racial/ética, opinião política, convicção religiosa e orientação sexual.

Logo, os dados sensíveis exigem atenção redobrada no tratamento de dados da empresa, pois são altamente confidenciais.

Responsáveis pelos dados na empresa

A LGPD determina três principais responsáveis pelo tratamento de dados nas empresas:

  • Controlador: toma decisões sobre o processo de tratamento e normas aplicadas
  • Operador: executa o tratamento dos dados em nome do controlador
  • DPO (Data Protection Officer): também chamado de encarregado, é o responsável pelo compliance de dados dentro das organizações, que cuida de todo o processo e responde diretamente à ANPD.

5. Tipos de infrações à LGPD

A ANPD ainda não divulgou um regulamento detalhando as infrações à LGPD e suas penalidades, mas é fácil entender quais são as violações pelo conteúdo da lei.

Estas são as mais relevantes:

  • Coleta e tratamento de dados sem autorização do titular 
  • Uso dos dados para finalidades não informadas ao titular
  • Vazamento e exposição de informações pessoais por falhas de segurança internas 
  • Transmissão ou mesmo venda não autorizada de dados pessoais a terceiros 
  • Falta de transparência nas políticas de dados da empresa e recusa em fornecer acesso ao titular
  • Manutenção dos dados do titular no sistema mesmo após a solicitação de exclusão.

6. Papel da ANPD

A ANPD é o órgão público federal responsável pela aplicação da LGPD em todo o país. 

Seu papel é orientar, educar e fiscalizar as empresas para garantir o cumprimento da lei, além de buscar a mediação de conflitos e, em último caso, aplicar sanções a quem descumprir as normas.

Ela atua em conjunto com outros órgãos como Procon e Ministério Público, tendo autonomia técnica para decidir sobre casos ligados à LGPD. 

7. Requisitos para o tratamento de dados

Para estar em conformidade com a LGPD, a empresa deve atender aos seguintes requisitos:

  • Obter consentimento do titular para tratar dados
  • Facilitar o acesso do titular aos dados e informações sobre o tratamento
  • Implementar um programa de governança e privacidade 
  • Criar processos e políticas internas para a proteção de dados
  • Monitorar riscos e ameaças
  • Ter uma estrutura de segurança da informação compatível com o volume de dados tratados
  • Ter planos de resposta a incidentes e remediação.

Sanções previstas na LGPD

A LGPD prevê várias sanções administrativas para empresas que descumprirem as normas de proteção de dados.

As penalidades entraram em vigor no início de agosto de 2021 e devem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD)

São elas:

  • Advertência com indicação de prazo para adotar medidas corretivas
  • Multa simples de até 2% do faturamento ou até R$ 50 milhões por infração
  • Multa diária nas mesmas condições acima
  • Bloqueio ou exclusão dos dados pessoais utilizados até a regularização
  • Publicização da infração 
  • Suspensão do funcionamento do banco de dados por 6 meses prorrogáveis
  • Proibição parcial ou total do exercício de atividades ligadas ao tratamento de dados. 

A vigência das sanções aumentou ainda mais a preocupação das empresas com a LGPD, mas a ANPD já deixou claro que seu papel será mais educador do que sancionador.

As medidas extremas como multas milionárias e bloqueio total de bancos de dados só serão aplicadas em último caso, se todas as tentativas de conciliação e correção dos erros da empresa falharem. 

Isso porque a lei ainda é muito recente e a grande maioria das empresas não conseguiu se adaptar de fato às exigências. 

Segundo uma pesquisa publicada pela LGPD Brasil, 74% das empresas brasileiras não estão preparadas para a LGPD. 

O setor mais avançado no compliance é o financeiro, com 31,8% das organizações adaptadas, mas a média nacional é de apenas 15,2% dos negócios.

Nesse cenário, não faz sentido aplicar sanções pesadas, mas as empresas precisam ficar alertas e acelerar seu processo de conformidade.

5 medidas práticas para se adaptar à LGPD

Se você ainda não se adaptou à LGPD ou tem muitas dúvidas sobre as normas, é melhor agilizar o processo.

Veja algumas dicas para alcançar sua conformidade.

1. Mapeie os processos de coleta e tratamento de dados 

O primeiro passo para se adaptar à LGPD é mapear todos os processos que envolvem coleta e tratamento de dados pessoais na empresa.

Se você tem uma startup B2B, é claro que terá bem menos trabalho do que uma empresa B2C, já que estamos falando de informações pessoais de clientes.

Por exemplo, se você coleta dados de clientes para fins de marketing, terá que adequar esse processo às regras da LGPD, incluindo o consentimento, anonimização, comunicação do tipo de uso das informações, etc. 

2. Nomeie um DPO 

Outro passo essencial é nomear um encarregado de proteção de dados, ou DPO, que é uma figura central na adequação à LGPD. 

Ela será responsável por gerenciar o tratamento de dados, comunicar os usuários sobre o processo de coleta e tratamento, prestar esclarecimentos às autoridades de proteção de dados, informar sobre eventuais vazamentos e incidentes, entre outras funções.

Além disso, é fundamental que os controladores e operadores estejam 100% alinhados às práticas da lei e sejam supervisionados pelo DPO. 

3. Avalie o compliance dos parceiros e fornecedores

A LGPD também responsabiliza as empresas pela forma com que seus parceiros e fornecedores tratam os dados pessoais.

Por isso, é importante revisar os contratos e avaliar as políticas dos parceiros, para garantir que estejam em compliance com a lei. 

Lembrando que as informações só podem ser compartilhadas com terceiros mediante consentimento do titular. 

4. Crie um programa de governança e privacidade

Para atender aos requisitos de segurança da informação da LGPD, é importante que você crie um programa de governança e privacidade para a empresa.

Esse programa deve incluir políticas, documentos, processos e tecnologias para garantir a proteção dos dados pessoais utilizados no negócio.

Alguns exemplos são a utilização de formulários de autorização para uso dos dados, políticas de controle de acesso, ferramentas como antivírus e firewalls para evitar vazamentos e ciberataques, entre outras medidas.

Além disso, é preciso fazer testes contínuos para monitorar riscos e evitar ao máximo as ameaças mais comuns.

5. Abra um canal de comunicação com o titular

Um dos pontos mais importantes da LGPD é a transparência no tratamento de dados pessoais. 

Para atender a esse requisito, você precisa ter um canal de comunicação para que o titular solicite o acesso, correção, anonimização, portabilidade, exclusão e qualquer ação relativa a suas informações pessoais.

Logo, é preciso ter um banco de dados e um responsável para organizar essas solicitações e garantir que a empresa cumpra todos os requisitos da lei.

Como a LGPD se aplica a startups?

A LGPD tem um grande impacto nas startups e scale-ups, pois são empresas pequenas que lidam com um grande volume de dados.

Para escalar negócios, é preciso investir em Big Data, Business Intelligence, gestão data-driven, inteligência artificial e tecnologias baseadas na análise de dados em geral.

E tudo isso significa uma imensidão de dados pessoais sendo usados pela empresa o tempo todo.

Por isso, as startups precisam ficar muito atentas e buscar maneiras inteligentes de se adaptar à LGPD usando a tecnologia e a inovação.

Por exemplo, uma atualização dos termos de uso e políticas de privacidade já é suficiente para obter o consentimento dos usuários no ato do cadastro, deixando claro como suas informações serão armazenadas e utilizadas.

Outro ponto importante é o cuidado com as parcerias, pois startups costumam lidar com uma rede de parceiros e fornecedores, e eles também precisam estar em compliance com a LGPD.

Lembrando que é fundamental buscar a conformidade, não apenas por causa das sanções, mas também porque a startup depende de uma imagem positiva no mercado e um compliance em dia para receber investimentos e crescer. 

Tire suas dúvidas sobre a LGPD com a Comece Com o Pé Direito

É normal ter dúvidas sobre a LGPD e suas exigências, pois a lei é muito abrangente e até advogados têm levantado questionamentos sobre sua aplicação. 

Por isso, nós, da Comece Com o Pé Direito, estamos disponíveis para trocar experiências e ajudar você no processo de adequação — mesmo que você ainda não seja nosso cliente.

Somos especialistas em contabilidade para startups e scale-ups e entendemos os desafios que as empresas inovadoras enfrentam para se adaptar à nova lei.

Esperamos que as dicas tenham ajudado e que você consiga alcançar a conformidade com a LGPD o quanto antes.

Se precisar de uma força, fale com a gente e tenha uma consultoria mais direcionada.

Related Posts

Leave a Reply