Desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) está em vigor no Brasil. Seu propósito é garantir mais segurança, aos dados de pessoas físicas, garantindo os direitos fundamentais de liberdade e privacidade, mesmo nos meios digitais.
Com a LGPD, o titular dos dados terá o direito de saber quais informações as empresas têm sobre ele, como também solicitar detalhes dos dados armazenados e até mesmo requerer a exclusão deles do sistema.
Esses dados podem ser números de documentos como RG, CPF, PIS, endereço, ou aqueles considerados pela LGPD como mais “sensíveis” — por exemplo: origem racial ou étnica, filiação à organizações políticas ou religiosas, informações genéticas e de biometria ou de orientação sexual.
Vale lembrar que essas características são coletadas de diversas maneiras hoje em dia. É o caso dos apps de celulares que pedem acesso às informações de usuários e os formulários preenchidos em sites de empresas para receber newsletters ou ofertas. Isso também acontece ao participar de promoções em redes sociais e até ao preencher cupons de promoção no supermercado.
# Por que a LGPD foi criada?
O aumento dos casos de vazamento de dados nos últimos anos despertou a preocupação de governos, empresas e da sociedade em geral, levando à criação de mecanismos para mitigar a invasão de privacidade. Além disso, a perda financeira decorrente de ataques cibernéticos é um fator relevante a considerar. Segundo o levantamento mais recente da União Internacional de Telecomunicações (ITU), órgão da Organização das Nações Unidas (ONU), o Brasil registrou uma perda de R$ 80 bilhões de reais em 2019 devido a esses ataques.
A LGPD foi inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), criado em 2018, que estabelece normas para garantir a segurança da informação dos cidadãos europeus. Anteriormente, no Brasil, não havia uma legislação específica sobre proteção de dados, apenas disposições gerais no Código Civil, Código de Defesa do Consumidor, na Lei de Acesso à Informação e no Marco Civil da Internet. Portanto, a expectativa é que a nova Lei resolva os impasses relacionados ao uso e proteção de dados dos cidadãos e consumidores brasileiros.
# O que muda para as empresas?
Aqui na Sempre Tecnologia, por exemplo, estamos comprometidos em garantir a conformidade com a LGPD e proteger os dados de nossos clientes. Todas as empresas, independentemente do porte, incluindo PMEs (Pequenas e Médias Empresas), agora devem cumprir as exigências da LGPD. Uma das mudanças mais significativas é a necessidade de obtenção do consentimento explícito dos clientes para o uso de suas informações. Isso implica que as empresas devem explicitar claramente os propósitos para os quais as informações serão utilizadas. Normalmente, formulários em páginas da internet e notificações eletrônicas de empresas públicas e privadas solicitam o consentimento dos usuários. A diferença agora é que os termos devem ser ainda mais transparentes.
A LGPD estabelece que as empresas devem justificar a necessidade de informações pessoais solicitadas aos clientes ao contratar um serviço. O uso dos dados deve ser restrito às finalidades acordadas, e as empresas devem comprovar a necessidade do armazenamento dessas informações. Os clientes têm o direito de responsabilizar as empresas por vazamentos de dados causados por terceiros. As multas por violações da lei podem chegar a R$ 50 milhões ou até 2% do faturamento da empresa. A LGPD abrange documentos em formatos digital e físico, e a fiscalização é realizada pela ANPD, órgão federal criado em 2019.
Além disso, é relevante destacar que a LGPD possui exceções, não se aplicando, por exemplo: a empresas jornalísticas, artísticas, de segurança pública, do Estado, e aquelas voltadas para investigação e repressão de infrações penais.
# O que as empresas devem fazer para se adaptar?
Para se adequar à LGPD, será necessário mudar a cultura no que diz respeito à gestão dos arquivos, contratação de especialistas e investimento em segurança da informação. Entre as exigências da LGPD está a criação do cargo de DPO (sigla em inglês para Data Protection Officer), um profissional que deve ficar responsável pela segurança dos dados (de funcionários, indivíduos externos à organização ou ambos). Embora a lei não especifique a formação, é esperado que o DPO possua conhecimentos em legislação e na área de tecnologia da informação. Uma das responsabilidades desse profissional será prestar contas à Autoridade Nacional de Proteção de Dados (ANPD) por meio do envio de relatórios sobre os impactos das medidas de proteção de dados.
É recomendável que as empresas realizem um mapeamento e documentação dos dados que possuem, classificando essas informações. É importante verificar se os dados estão armazenados de forma segura, se foram coletados com consentimento e para qual finalidade. Além disso, os funcionários que lidam com dados de pessoas e clientes devem garantir o sigilo das informações seguindo boas práticas de segurança da informação.
# A LGPD aumenta demanda por profissionais de TI?
Os profissionais de TI desempenham um papel crucial na conformidade das empresas com a LGPD, gerenciando dados, monitorando riscos cibernéticos e implementando medidas de segurança, como criptografia. Com a lei, espera-se um aumento nos investimentos em soluções de segurança, como VPNs e firewalls. É essencial que esses profissionais dominem boas práticas de segurança e busquem atualizações constantes através de cursos e certificações.
_Via Serpro , LGPD Brasil , EBC 1 e 2, Guia de Boas Práticas LGPD, TECHTUDO_
