A Lei Geral de Proteção de Dados Pessoais (LGPD) é uma legislação que tem o objetivo de proteger a liberdade e a privacidade de consumidores e cidadãos. Criada em 2018 e em vigor em 2021, ela demanda que empresas e órgãos públicos mudem a forma de coletar, armazenar e usar os dados das pessoas. Ou seja, terá impactos significativo nas áreas jurídica, administrativa e de segurança da informação das companhias. Na corrida por implementar todos os novos processos, muitas empresas e profissionais ainda estão com dúvidas sobre a LGDP. Veja, a seguir, cinco perguntas e respostas e veja como se preparar para as mudanças que vêm aí.
1. O que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais é uma norma federal aprovada em 2018. Ela estabelece regras para o uso, coleta, armazenamento e compartilhamento de dados dos usuários por empresas públicas e privadas. O principal objetivo é garantir mais segurança, privacidade e transparência no uso de informações pessoais. Com a nova legislação, o usuário terá o direito de consultar gratuitamente quais dos seus dados as empresas têm, como armazenam e até pedir a retirada deles do sistema.
Esses dados podem ser números de documentos como RG, CPF, PIS, endereço, ou aqueles considerados pela LGPD como mais “sensíveis” — por exemplo: origem racial ou étnica, filiação à organizações políticas ou religiosas, informações genéticas e de biometria ou de orientação sexual. Vale lembrar que essas características são coletadas de diversas maneiras hoje em dia. É o caso dos apps de celulares que pedem acesso às informações de usuários e os formulários preenchidos em sites de empresas para receber newsletters ou ofertas. Isso também acontece ao participar de promoções em redes sociais, e até ao preencher cupons de promoção no supermercado.
2. Porque a LGPD foi criada?
O aumento dos casos de vazamento de dados nos últimos anos fez com que governos, empresas e sociedade se preocupassem em criar mecanismos para evitar a invasão de privacidade. Outro fator relevante é a perda financeira causada por ataques cibernéticos. No Brasil, a perda foi de R$ 80 bilhões de reais, em 2019, como informa o levantamento mais recente da União Internacional de Telecomunicações (ITU, na sigla em inglês), órgão da Organização das Nações Unidas (ONU).
A LGPD foi inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR, na sigla em inglês), criado em 2018, que trata da segurança de informação dos cidadãos europeus. No Brasil, até o momento, não havia legislação específica sobre o assunto, apenas disposições gerais no Código Civil, Código de Defesa do Consumidor, na Lei de Acesso à informação e no Marco Civil da Internet. Por isso, a expectativa é que a nova lei resolva os impasses sobre o uso e a proteção de dados dos cidadãos e consumidores brasileiros.
3. O que muda para as empresas?
Todas as empresas, sejam PMEs (Pequenas e Médias Empresas) ou de grande porte, terão que atender às exigências da LGPD. Um das mudanças mais importantes é que a nova lei prevê o consentimento expresso dos clientes para o uso das informações. Isso significa que as companhias precisarão deixar claro para quê as informações serão usadas. Normalmente, os formulários nas páginas de Internet e avisos eletrônicos de empresas públicas e privadas perguntam sobre o consentimento dos usuários. A diferença neste quesito é que agora os termos deverão ser mais transparentes.
Por exemplo, se um indivíduo contrata um serviço de qualquer natureza e precisa fornecer informações pessoais para obtê-lo, será obrigatório justificar a necessidade disso. Fica vetado o uso dos dados para outras finalidades que não sejam as que foram acordadas e o armazenamento de informações das quais as empresas não possa comprovar a necessidade. A LGPD garante aos clientes o direito de responsabilizar as empresas caso seus dados sejam roubados por terceiros. Quem descumprir a lei pode ser multado em R$ 50 milhões por infração ou em até 2% do faturamento.
Vale ressaltar que as novas medidas englobam documentos em formato digital e também no papel. A fiscalização das normas será feira pela Autoridade Nacional de Proteção de Dados (ANPD), um órgão federal criado em 2019. É importante destacar também que a LGPD não se aplica em alguns casos, como, por exemplo, empresas jornalísticas e artísticas, de segurança pública, do Estado e de investigação e repressão de infrações penais.
4. O que as empresas devem fazer para se adaptar?
Para se adequar à LGPD, será necessário mudar a cultura no que diz respeito à gestão dos arquivos, contratação de especialistas e investimento em segurança da informação. Entre as exigências da LGPD está a criação do cargo de DPO (sigla em inglês para Data Protection Officer), um profissional que deve ficar inteiramente responsável pela segurança dos dados (de funcionários, indivíduos de fora da organização ou ambos). A lei não especifica a formação, porém deve ser alguém com conhecimentos em leis e na área de TI. Uma das atribuições desse profissional será prestar contas à ANPD com o envio de relatórios sobre os impactos da proteção dos dados.
É recomendável que a empresa faça um mapeamento e documentação dos dados que já possui e classifique essas informações. É importante, por exemplo, verificar se estão armazenados de maneira segura, se foram coletadas mediante consentimento e para qual finalidade. Além disso, aos funcionários que lidam com dados de pessoas e clientes devem assegurar o sigilo das informações seguindo boas práticas de segurança da informação.
5. A LGPD aumenta demanda por profissionais de TI?
Os profissionais de TI representam uma peça-chave no processo de adequação das empresas à LGPD porque são eles que, geralmente, já cuidam dos dados armazenados na nuvem ou em servidores das empresas. Também são os responsáveis por monitorar riscos de ataques virtuais e por tornar eficiente todas as operações de tecnologia. De acordo com a LGPD, obrigatoriamente, todos os dados terão de ser criptografados para que, em caso de vazamento, não possam ser lidos por terceiros.
Com a implantação da lei, a tendência é que haja maior investimento em soluções como VPN e dispositivos de firewall — ou outras opções de conexão e armazenamento seguro —, que já são utilizados por muitas empresas e que são administrados pela equipe de TI. Outra atribuição dessa área que será essencial para os gestores é o conhecimento em boas práticas de segurança e de processamento de dados confidenciais.