Em vigor desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) representa uma vitória da sociedade civil, que encabeçou a luta por proteção de dados no Brasil, e também uma oportunidade para toda e qualquer entidade que colete dados pessoais de consumidores brasileiros adote medidas e processos que garantam a proteção das informações de seus usuários. 

Como uma organização referência no tema, passamos por um longo, minucioso e detalhado processo de adequação à Lei, já que coletamos dados de pessoas que interagem com nossos materiais, como por exemplo as cadastradas em nosso boletim informativo, e também de associados, colaboradores e beneficiários de processos judiciais. 

Para contribuir com a adaptação de outras organizações à nova legislação, descrevemos nosso próprio processo em um manual prático de adequação à LGPD para organizações da sociedade civil, um conteúdo aprofundado e com muitas dicas práticas para apoiar outras entidades do terceiro setor. Como para nós, do Idec, também é muito importante orientar empresas, uma forma de pautar mudanças concretas em práticas de mercado, preparamos também um manual prático de adequação à LGPD para micro e pequenas empresas.

Os materiais têm como objetivo simplificar a lei para pessoas que não dominam o tema e, assim, disseminá-lo cada vez mais e acelerar o processo de adequação de organizações e empresas brasileiras. Desconstruímos algumas fake news que podem fazer a LGPD parecer um bicho de sete cabeças ou uma ameaça, apresentamos seus princípios, bases legais e os direitos de titulares de dados e oferecemos um passo a passo para entrar em conformidade com a Lei.

MAS E VOCÊ, O QUE TEM A VER COM ISSO? 

Com a LGPD aprovada e em vigor, agora é preciso que ela seja aplicada e, consequentemente, que as instituições se adequem para que os direitos garantidos na lei sejam respeitados. É essencial que você tenha controle sobre o que é feito com seus dados pessoais, podendo decidir quem (como e por que) tem acesso à sua intimidade e privacidade. Ou seja, a partir de agora, quem pretender coletar e tratar suas informações deve ter sua autorização e explicar pra que precisa dos dados e como eles serão usados. Para te ajudar a entender o que pode e o que não pode, respondemos algumas perguntas que todo consumidor deve fazer para proteger seus dados. Confira: 

1. A LEI SE APLICA A QUAIS DADOS? 

Dados básicos como nome, data de nascimento, endereço físico e eletrônico (e-mail)  e telefone; números de documentos como RG, CPF, CNPJ e título de eleitor; dados financeiros como número de contas, pontuação de crédito, salário, PIS, NIS, FGTS, imposto de renda e benefícios sociais, como o Bolsa Família; e outras informações como ocupação profissional, escolaridade, fotos do rosto, dados de geolocalização, reconhecimento facial e biométricos, endereços de perfis em redes sociais etc. são dados pessoais e você deve desconfiar quando tentarem obter alguma dessas informações sem sua autorização e/ou explicar a finalidade da coleta do dado.

2. MAS COMO SABER QUE UMA EMPRESA OU ORGANIZAÇÃO ESTÁ "TRATANDO" MEUS DADOS?

Tratamento de dados é tudo aquilo que pode ser feito com qualquer uma das informações que citamos no tópico acima, desde o momento em que ela entra no seu banco de dados até ser excluída dele. Por exemplo: coletar, armazenar, transferir, formular, analisar, inserir em planilhas, realizar monitoramento ou publicidade a partir das informações etc. Tudo isso é tratamento de dados. Ou seja, na prática é praticamente impossível que uma instituição, seja qual for seu tamanho ou área de atuação, não faça tratamento de dados. 

Outra possibilidade de tratamento é o compartilhamento de dados, que se refere à comunicação, difusão, transferência internacional ou tratamento compartilhado de bancos de dados pessoais, com autorização específica, entre entes públicos ou privados. Nesse caso, ambas as instituições devem se responsabilizar pelos direitos de titulares. Por exemplo, se você é usuário do SUS e vai fazer um exame em uma clínica privada, conveniada com a UBS da sua região, em que informações básicas serão enviadas da UBS para a clínica para realização do procedimento e os resultados, considerados dados de saúde, serão enviados da clínica para a UBS. Neste caso, as duas instituições estão compartilhando seus dados e são responsáveis pela segurança deles.

3. QUAIS SÃO MEUS DIREITOS? 

Direito à confirmação de que há tratamento de dados. Você pode solicitar a informação e deve receber retorno imediato, em formato simplificado.

Direito de acesso aos dados que são armazenados. É seu direito solicitar uma lista com os dados que possuem sobre você. 

Direito de corrigir dados incompletos, inexatos ou desatualizados.

Direito de exercer a portabilidade dos dados pessoais que sua instituição armazena, podendo levá-los para outra instituição (dados financeiros, por exemplo), após realizar uma requisição ao encarregado de proteção de dados da instituição. 

Direito de requisitar a eliminação de dados pessoais tratados com base no consentimento, o que pode ser feito a não ser que a instituição justifique a manutenção do tratamento por conta de cumprimento de uma obrigação legal. Neste caso, os dados devem ser anonimizados e ter seu acesso vedado a terceiros.

Direito de ser informado sobre o compartilhamento de seus dados com entidades públicas ou privadas, independente de solicitar ou não essa informação. Lembrando que o compartilhamento com terceiros é vedado no caso de tratamento de dados para uso exclusivo do controlador.

Direito de ser informado sobre a possibilidade e as consequências de não fornecer o consentimento no momento da solicitação de dados, quando esta for a base legal que justifica a coleta dos dados.

Direito de revogar o consentimento a qualquer momento. 

4. E O QUE SÃO DADOS SENSÍVEIS? 

São informações sobre aspectos da vida de alguém que podem gerar situações delicadas, como algum tipo de discriminação ou exposição. A partir da Lei, consideram-se sensíveis os seguintes dados: orientação sexual; orientação religiosa; filiação política ou partidária; raça; dados de saúde, genéticos e biométricos.

Destacamos que a lei não menciona explicitamente orientação sexual ou identidade de gênero como dado sensível, mas, devido ao potencial discriminatório dessas informações, recomendamos tratá-las como dados sensíveis, conferindo maior nível de proteção.

5. E ANONIMIZAÇÃO DE DADOS? 

É um procedimento por meio do qual a ligação entre o titular de dados e as informações sobre ele é quebrada, impedindo sua identificação a partir dos dados retidos por uma instituição.

6. POR QUE PRECISO COBRAR QUE AS INSTITUIÇÕES SE ADEQUEM?

Na prática, se adequar à lei significa que qualquer empresa, organização ou mesmo órgãos do poder público que realizem coleta e tratamento de dados pessoais precisa fazer as mudanças de processos e de cultura organizacional necessárias para ficar em conformidade com a nova legislação. É lei, é obrigatório. 

A adequação é, sobretudo, um compromisso com a privacidade e proteção de dados que, quando bem sucedida, pode evitar incidentes e, consequentemente, sanções judiciais ou regulatórias. A proatividade no processo de adequação à Lei, sem esperar que aconteçam incidentes e violações, é um ato de comprometimento, por parte de organizações e empresas, com os princípios gerais de privacidade e proteção de dados pessoais e que deve ser valorizado por consumidores e parceiros igualmente comprometidos com esse tema.

7. QUANTO TEMPO LEVA PARA FAZER A ADEQUAÇÃO À LGPD?

Não é possível generalizar, porque cada projeto de adequação é único. Mas, com base na nossa experiência, é possível pressupor que em micro e pequenas organizações - ou seja, em instituições com poucos/as colaboradores/as, com um volume relativamente pequeno de dados ou fluxos pouco intensos de tratamento - o processo de adequação pode durar aproximadamente 3 meses, dependendo do risco envolvido nas suas atividades de tratamento. Em instituições maiores, esse tempo pode chegar a 1 ano.

De forma geral, definimos o processo de adequação em 7 passos: 

1. definir o principal objetivo da adequação
2. conscientizar e capacitar a equipe sobre a LGPD
3. contratar serviço de consultoria ou implementação
4. mapear fluxos dos dados
5. melhorar documentos e fluxos
6. redigir os documentos de proteção de dados
7. definir a pessoa encarregada de dados na instituição 

Em relação aos dados que foram coletados anteriormente à Lei, as instituições precisam obter o consentimento dos titulares novamente, com base na legislação. Por exemplo, se você assinou um boletim informativo antes da entrada em vigor da LGPD, agora é preciso que a empresa/serviço envie nova comunicação para obter seu consentimento, de acordo com as novas bases legais de tratamento de dados. 

8. O QUE ACONTECE COM QUEM NÃO SE ADEQUAR?

Muitas instituições andam assombradas com a multa de até 2% sobre o faturamento prevista na LGPD. Porém, é importante saber que a legislação tem sanções gradativas e limitadas ao porte da instituição. Esse limite é fixado em relação ao faturamento da Pessoa Jurídica em questão - e, para se ter uma ideia, é de 2 mil reais no caso de microempresas com faturamento de até 100 mil reais por ano. O caso das organizações sem fins lucrativos não está especificado na lei e deve ser regulamentado posteriormente.

Além disso, a quebra das regras da LGPD não implica uma multa imediata. Antes, são aplicadas penalidades mais leves, como: advertência com indicação de prazo para adoção de medidas corretivas, publicização da infração após apuração do que ocorreu, bloqueio temporário dos dados pessoais envolvidos na infração ou determinação de sua eliminação. O início da aplicação das sanções previstas na lei para as empresas que desrespeitarem suas regras é 1º de agosto de 2021.

9. QUEM FISCALIZA?

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública federal, integrante da Presidência da República, responsável por fiscalizar e regular a aplicação da LGPD. A ideia é que a entidade, enquanto representante do interesse público, faça a ponte entre a sociedade e o governo. A ANPD também terá o papel de orientar e apoiar outros órgãos do governo, organizações da sociedade civil e empresas em relação ao tratamento de dados.

Além da Autoridade, a LGPD determina a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), órgão consultivo e multissetorial que auxiliará a atuação da Autoridade. Após abertura de editais de convocação, organizações da sociedade civil, instituições científicas, tecnológicas e de inovação, confederações sindicais e entidades representativas do setor empresarial puderam participar indicando um nome para o Conselho. Agora, aguardamos que o Conselho Diretor da ANPD forme uma lista tríplice para cada vaga e, por fim, o ministro da Casa Civil analisará os nomes para nomeação final do presidente.

10. O QUE FAZER EM CASOS DE VAZAMENTOS DE DADOS?

A maior preocupação de um consumidor que teve seus dados colocados em risco em vazamentos de dados pessoais é a possibilidade de ficar mais suscetível a fraudes, como utilização indevida do seu nome, envio de boletos falsos, além do aumento de ligações abusivas. Por exemplo:  

• quando começam a ligar com mais frequência oferecendo serviços (que podem ser reais ou falsos, fique atento!);
• quando utilizam seus dados para algum cadastro em seu nome sem o seu consentimento;
• quando enviam boletos falsos, inclusive em nome de uma empresa conhecida, como operadores de internet (as técnicas estão cada vez mais elaboradas).

Seja qual for o tipo de vazamento, o primeiro passo é registrar um Boletim de Ocorrência (B.O.) online para se prevenir de fraudes. Veja o passo a passo para comunicar o vazamento e judicializar, caso tenha sido prejudicado pelo incidente.

>> Quer saber mais sobre a Lei Geral de Proteção de Dados e seus direitos?

Acesse nosso especial sobre o tema e inscreva-se na nossa lista de e-mails.