Aprenda sobre LGPD e compatibilidade com sites


O que é LGPD?

O que é LGPD e o que ela representa?


A LGPD ou Lei Geral de Proteção de Dados é uma lei de proteção de dados há muito esperada no Brasil. Após anos de debate e consulta, foi finalmente aprovada em 14 de agosto de 2018, sendo inspirado e muito semelhante ao Regulamento Geral de Proteção de Dados da UE (GDPR). A partir de agosto de 2020, a lei de proteção de dados do Brasil entrará em vigor e exigirá que as empresas cumpram requisitos estritos relacionados ao processamento de dados pessoais.

 

Enquanto é muito mais enxuto que a GDPR, a LGDP consiste em aproximadamente 30 páginas, em comparação com o almanaque de mais de 80 páginas da GDPR, a LGPD lembra muito o regulamento da União Europeia.

 

A LGPD concentra-se em especificidades nacionais, os princípios da lei de proteção de dados baseiam-se em responsabilidade, limitação de objetivos, minimização de dados, bem como segurança e privacidade por design. Quando você está comparando este documento à GDPR, ela definitivamente parece familiar.

Porque LGPD?


A LGPD é um novo padrão que adiciona os novos princípios e entrará em vigor em agosto de 2020, ecoando o prazo aproximado do período de implementação da GDPR. Será útil conhecer detalhes da nova lei de proteção de dados se sua empresa estiver operando ou planejando abrir uma filial no Brasil.

A quem a LGPD se aplica?


A LGPD se aplica a qualquer indivíduo ou empresa privada ou pública com atividades de processamento de dados pessoais que:

 

  • são realizados no Brasil;
  • são dados pessoais coletados no Brasil;
  • envolvem oferecer e fornecer bens ou serviços no Brasil ou se relacionar com indivíduos que estão geograficamente localizados no Brasil;

 

A LGPD possui escopo extraterritorial e será aplicada a empresas globais que atendem a esses critérios. Ao mesmo tempo, não importa onde essas empresas estão sediadas. Mas a LGPD é um padrão diferente que não se aplica ao processamento de dados coletados por:

 

  • Uma pessoa que está processando dados para fins pessoais;
  • Para fins jornalísticos, artísticos, literários ou acadêmicos;
  • Para segurança nacional, defesa nacional, segurança pública, investigação criminal etc .

 

A nova lei afeta empresas de todos os setores que fazem negócios dentro ou com o Brasil. Empresas financeiras, de tecnologia, saúde, seguros, companhias aéreas e hotéis estão entre as que provavelmente enfrentarão obrigações substanciais de conformidade.

Quais são as penalidades?


A LGPD não é tão punitivo quanto a GDPR, tanto no sentimento quanto nas sanções financeiras. A multa máxima sob a LGPD é de 2% da receita brasileira da empresa de até R$ 50 milhões (11,2 milhões de euros) por infração. Isso é comparado a 4% da receita global ou até 20 milhões de euros na GDPR.

O que são dados pessoais sob a LGPD?


A LGPD define dados pessoais como qualquer informação relacionada a uma pessoa física identificada ou identificável. Os dados anonimizados não devem ser considerados dados pessoais, exceto quando o processo de anonimização tiver sido revertido ou se puder ser revertido aplicando esforços razoáveis.

Princípios e base jurídica para o processamento de dados


A LGPD estabelece um conjunto de princípios gerais de processamento de dados pessoais, semelhantes à GDPR.

 

Um princípio chave é a limitação de propósitos, o que significa que o processamento deve ser “para fins legítimos, específicos e explícitos dos quais o titular dos dados é informado”. O princípio da necessidade também exige “limitação do processamento ao mínimo necessário para atingir seus objetivos”. Outros princípios fundamentais incluem acesso livre, transparência ao titular dos dados, qualidade dos dados. O princípio da “prestação de contas” exige demonstrar a adoção de medidas eficazes para garantir a proteção dos dados pessoais. Todos os princípios estão incluídos no artigo 6.

 

Embora a LGPD se concentre principalmente na privacidade dos dados, os dez princípios também exigem opções sérias de segurança de dados: as empresas devem adotar medidas técnicas e administrativas para proteger os dados pessoais contra acesso autorizado ou destruição ilegal.

 

Para as empresas, as principais bases legais para o processamento de dados incluem:

 

  • Consentimento, que inclui todos os propósitos particulares do processamento;
  • Cumprimento de obrigações legais, regulamentares ou contratuais;
  • Para “os interesses legítimos do responsável pelo tratamento ou de terceiros”, onde esses interesses superam, em geral, os direitos e liberdades do titular dos dados;

Quais obrigações a LGPD impõe às empresas?


 

  • Informar, corrigir, anonimizar, excluir ou fornecer uma cópia dos dados, se solicitado pelo titular dos dados;
  • Excluir dados após o término do relacionamento relevante;
  • Adotar medidas técnicas e administrativas de segurança de dados para proteger os dados pessoais contra acesso não autorizado, acidentes, destruição, perda, etc .;
  • Nomear um oficial de DPO responsável por receber reclamações e comunicações;
  • Notifique os titulares dos dados e as autoridades locais se houver violação;

Transferindo dados para fora do Brasil?


Com a LGPD, o Brasil se une à União Europeia e em muitas outras jurisdições (mas não os EUA) que limitam a transferência de dados pessoais fora de suas fronteiras. A regra padrão, nos termos do artigo 33 da LGPD, é que essa transferência seja proibida, sem algumas exceções enumeradas. Em alguns casos, a transferência de dados é permitida, incluindo:

 

  • O país ou organização receptora fornece um nível de proteção de dados comparável ao da LGPD;
  • O importador de dados não brasileiro está vinculado por contrato ou por política corporativa global a fornecer e demonstrar um nível de proteção de dados comparável ao da LGPD;
  • Cooperação jurídica internacional entre agências governamentais;
  • O titular dos dados deu consentimento específico à transferência;

Quem faz cumprir o LGPD?


O ex-presidente brasileiro Michel Temer vetou a disposição que criaria uma Autoridade Nacional de Proteção de Dados independente. Presumivelmente, essa nova agência emitiria mais orientações sobre a LGPD. Até a criação de um órgão regulador, é incerto como será realizada a aplicação da LGPD.

Precisamos de um responsável pela proteção de dados?


Sim, a LGPD cria o cargo de Chefe de Tratamento de Dados, que é o DPO (Responsável pela Proteção de Dados) responsável pela operação de processamento de dados. O DPO será responsável pelo seguinte:

  • Aceitar reclamações e comunicações dos titulares dos dados e da Autoridade Nacional
  • Orientar os funcionários sobre boas práticas e realizar outras tarefas, conforme determinado pelo controlador ou estabelecido em regras complementares.

 

A LGPD prevê que a Autoridade Nacional Brasileira possa estabelecer regras complementares sobre a definição e os deveres do DPO, incluindo as situações em que a nomeação de tal pessoa pode ser dispensada, de acordo com a natureza e o tamanho da entidade ou o volume de operações de processamento de dados.

A LGPD se aplica a empresas de PME (Pequenas e Médias Empresas)?


A LGPD não fornece nenhuma exceção para pequenas / médias empresas ou processamento em pequena escala.

O que devemos fazer em caso de violação de dados?


Se a violação de dados ocorreu, o controlador deve se reportar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados em um período de tempo razoável, que será definido posteriormente, se a violação provavelmente resultar em risco ou dano aos titulares de dados.

 

O aviso de notificação de violação deve conter o seguinte:

 

  • Descrição da natureza dos dados pessoais afetados
  • Informações sobre os titulares dos dados envolvidos
  • Indicação das medidas de segurança utilizadas
  • Os riscos gerados pelo incidente
  • Os motivos do atraso na comunicação (se houver)
  • As medidas que foram ou serão adotadas

 

Além disso, a ANPD pode verificar a gravidade do incidente e, se necessário para salvaguardar os direitos do titular dos dados, ordenar que o controlador adote medidas, como a ampla divulgação do evento nos meios de comunicação, bem como medidas para reverter ou mitigar os efeitos do incidente.

Como posso tornar minha organização compatível com LGPD?


 

A LGPD entrará em vigor em agosto de 2020, dando às empresas 15 meses para ficarem prontas. Nesse período, as etapas apropriadas devem ser realizadas, incluindo:

 

  • Um processo de diligência para identificar em quais atividades de processamento de dados pessoais, se houver, a empresa está envolvida (inclusive via fornecedores) que são cobertas pela LGPD;
  • Uma análise de lacunas para identificar onde qualquer uma dessas atividades de processamento de dados não atende aos requisitos da LGPD;
  • Um processo de remediação para fechar as lacunas identificadas;
  • Revisão, implementação e teste de políticas e procedimentos internos necessários para cumprir a LGPD;
  • Acordos de vendedores apropriados devem ser revisados ​​ou criados;

Como faço para tornar um site compatível com LGPD?


A Lei Geral de Proteção de Dados (LGPD) é baseada na abordagem baseada em risco, a mesma do GDPR. As empresas / organizações que processam dados pessoais são incentivadas a implementar medidas de proteção correspondentes ao nível de risco de suas atividades de processamento de dados. Portanto, as obrigações de uma empresa que processa muitos dados são mais onerosas do que de uma empresa que processa uma pequena quantidade de dados.

 

A LGPD concentra-se em especificidades nacionais, os princípios da lei de proteção de dados baseiam-se em responsabilidade, limitação de objetivos, minimização de dados, bem como segurança e privacidade por design. Quando você está comparando este documento ao GDPR, ele definitivamente parece familiar.

Meu site é afetado pela LGPD?


A LGPD se aplica a qualquer indivíduo ou empresa privada ou pública com atividades de processamento de dados pessoais que:

 

  • são realizados no Brasil;
  • dados pessoais são coletados no Brasil;
  • envolve oferta e fornecimento de bens ou serviços no Brasil ou se relaciona com indivíduos que estão geograficamente localizados no Brasil;

Você sabe quais rastreadores você tem no seu site?


Muitos sites usam tecnologias de rastreamento, incluindo cookies, pixels e tags, para anunciar, coletar estatísticas e realizar campanhas de marketing. Sob a LGPD, você é responsável por fornecer aviso e obter consentimento para cada uma dessas tecnologias. O consentimento deve ser fornecido pelo titular dos dados por escrito ou por outros meios que demonstrem a vontade do titular dos dados. O Controlador é responsável por fornecer que o consentimento foi obtido de acordo com os requisitos da LGPD. O consentimento deve ser específico para fins específicos.

 

Certifique-se de fazer uma auditoria na web do seu site e ver quais rastreadores você ativou e executou.

Você está obtendo consentimento da maneira certa?


Para obter um consentimento válido, você precisa seguir requisitos específicos. O consentimento deve ser informado, explícito, concedido livremente, específico e ter o direito de se retirar e ser redigido em uma linguagem clara e claramente visível.

  1. O consentimento deve ser afirmativo, específico e inequívoco
  2. Detalhes de destinatários e controladores de dados
  3. Objetivo de processamento e notificação de criação de perfil
  4. Duração
  5. Remoção de consentimento
  6. Link para reclamar, corrigir e transferir dados
  7. Ter a opção de recusar

Seus banners de privacidade são afirmativos?


Seus banners de privacidade devem identificar claramente cada parte para a qual o consentimento está sendo concedido. Não basta indicar o nome da categoria, como análises, mas deve incluir a identidade da organização, por exemplo, Google, que processa os dados.

Você facilitou a retirada do consentimento?


A frase de texto padrão incluída nos avisos sobre cookies é “ao usar este site, você aceita cookies” não será suficiente na LGPD, pois sugere apenas o consentimento implícito, é ambíguo e genérico. Agora você precisará de níveis granulares de controle com consentimentos separados para cookies de rastreamento e análise, bem como mecanismos para também sinalizar o consentimento do cliente.

Foram nomeados plugins de terceiros que processam dados?


Seus banners de privacidade devem identificar claramente cada parte para a qual o consentimento está sendo concedido. Não basta indicar o nome da categoria, como análises, mas deve incluir a identidade da organização, por exemplo, Google, que processa os dados.

Os visitantes podem entrar em contato com você para obter seus dados pessoais?


Seus clientes podem entrar em contato com sua empresa / organização para exercer seus direitos sob a LGPD (direitos de acesso, retificação, apagamento, portabilidade etc.). Sua empresa deve fornecer meios para que os pedidos sejam feitos eletronicamente. As informações de contato do responsável pela proteção de dados devem estar disponíveis ao público e suas tarefas devem incluir comunicação com os titulares dos dados e a autoridade reguladora.

Você tem evidências de consentimento válido?


Segundo a LGPD, as evidências de consentimento válido devem ser mantidas pelas empresas.

Você atualizou suas políticas de dados e privacidade?


Você precisará atualizar suas políticas de dados e privacidade. O princípio de precisão da LGPD exige que as organizações garantam clareza, relevância e atualizações oportunas dos dados pessoais para obter compatibilidade do processamento com os propósitos comunicados ao titular dos dados.

 

Você limpou suas listas de discussão?


É importante limpar seus bancos de dados de e-mail. Se você estiver coletando dados que não estão de acordo com os padrões da LGPD, o conteúdo necessário precisará ser validado. Isso significa que seus clientes devem receber e-mails com a opção de optar por não participar. Isso tornará seu negócio compatível com LGPD.

Você está coletando muita informação?


Embora possa ser fácil adicionar um campo extra no seu site para coletar informações sobre número de telefone, sexo e localização, você deve avaliar se precisa dele para processar a solicitação. O princípio de minimização de dados sob a LGPD exige que as organizações limitem a quantidade e o escopo dos dados pessoais que processam ao mínimo necessário para atingir seus objetivos. Apenas dados relevantes, proporcionais e não excessivos em relação aos objetivos do processamento de dados devem ser utilizados.