LGPD: um guia completo para entender a lei de proteção de dados

É provável que você já tenha ouvido falar na Lei Geral de Proteção de Dados, também conhecida pela sigla LGPD. O tema é recorrente nas conversas entre profissionais de diversos segmentos, e pode ser tornar um problema às marcas que não se adaptarem. 

Mas será que o mercado sabe como esta lei funciona na prática? E a sua empresa, está preparada para as mudanças impostas pela norma? O que pode acontecer com quem descumprir a lei?

Desde a data da sua publicação, têm surgido muitas dúvidas a respeito da LGPD. Pensando nisso, nós da HubSpot, que também temos interesse neste assunto, decidimos trazer os principais pontos de relevância da nova lei, montando um guia geral atualizado sobre o assunto.

Selecionamos as principais dúvidas sobre o tema e agora compartilhamos todas as respostas com você. Vamos lá?

Mas, afinal, o que isso significa? Basicamente, o propósito é proteger as informações pessoais da população. Isso se torna especialmente relevante em razão do momento em que vivemos, no qual tem ocorrido diversos vazamentos de informações pessoais por ocasião do uso ou tratamento indevido de dados.

Em 2021, por exemplo, o Brasil foi o líder de vazamentos de dados em todo o mundo. Nesse ano, milhares de pessoas foram completamente expostas, com informações pessoais caindo na web e ficando à mercê de pessoas mal intencionadas. Já pensou?

Quantas vezes você já recebeu ligações de empresas desconhecidas oferecendo produtos ou serviços? E você já parou para pensar como essas empresas tiveram acesso ao seu contato e informações pessoais? Pois é. Ninguém quer, certamente, passar por esse tipo de situação.

Sendo assim, a LGPD veio justamente para evitar o uso indevido de dados sem autorização dos titulares das informações. A norma foi inspirada no Regulamento Geral sobre a Proteção de Dados GDPR 2016/679 Europeu. Adiante falaremos mais sobre ele.

Além disso, em maio de 2020, o Projeto de Lei 1.179/2020, que suspendia normas de Direito Privado durante a epidemia da COVID-19, gerou novos questionamentos por parte dos empresários.

Depois, houve uma redação final que dizia que a lei começaria a vigorar em agosto de 2020 e os artigos que tratam das sanções entrariam em vigor apenas em agosto de 2021. Neste sentido, o artigo 65 especifica, claramente, os prazos de vigência de cada artigo:

“Art. 65. Esta Lei entra em vigor:  

I - dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e  

I.A - dia 1º de agosto de 2021, quanto aos arts. 52, 53 e 54; 

II - 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos.    (Incluído pela Lei nº 13.853, de 2019)

II - em 3 de maio de 2021, quanto aos demais artigos. (Redação dada pela Medida Provisória nº 959, de 2020).”

Neste contexto, quem se adequou previamente à LGPD saiu na frente. Muitas empresas, principalmente as que mantêm relações internacionais, já vinham se adequando desde 2018. E não é para menos, já que legislações semelhantes já eram uma tendência em outras regiões do mundo, como na União Europeia.

E foi mais ou menos isso que aconteceu. A Lei entrou em vigor em 18 de setembro de 2020, mas as suas sanções administrativas (artigos 52, 53 e 54) só entraram em vigência um ano depois, em 1 de agosto de 2021. Desde esta data, todos os detalhes propostos na redação ficaram válidos em todo o Brasil.

1 - Mais segurança para todos os envolvidos

O principal objetivo, assim como a vantagem de maior destaque, da Lei Geral de Proteção de Dados é, sem dúvidas, a obtenção de maior segurança. E isso é válido tanto para a empresa quanto para aqueles que fazem uso dos seus serviços.

Com a LGDP, os dados e informações do cliente ficam mais protegidos, o deixando com a sensação de que é seguro fazer negócios naquele local.

2 - Melhora da credibilidade

Por conta disso, a credibilidade das empresas que se adequam de verdade à LGPD também aumenta. Isso gera uma reação em cadeia superpositiva para os negócios, já que os clientes se sentirão mais seguros e propensos a fechar negócios com você.

Assim, há um aumento da fidelização da clientela e, consequentemente, da captação de novos clientes (e até mesmo de talentos para integrar o seu time de colaboradores).

3 - Aumento da competitividade

Por fim, temos como vantagem o aumento da competitividade, colocando a sua empresa em um espaço de destaque no mercado.

A consequência para isso é uma maior visibilidade do seu negócio, o que gera novas oportunidades de expansão e solidificação dos serviços prestados.

Na prática, quais são as principais mudanças trazidas pela LGPD?

Mas calma, se a sua empresa ainda não está pronta para as mudanças, não é tarde para começar. Mas as adequações precisam começar a ser feitas para ontem, ok? Afinal, a LGPD está em vigência há um bom tempo.

Ao longo dos próximos momentos do texto, separamos as principais informações que você deve conhecer sobre as novas normas e adaptações necessárias dentro da sua empresa.

Mas, espera aí. Antes de entender as principais mudanças trazidas pela LGPD, é importante trazer um conceito essencial para a compreensão do assunto: dado pessoal.

É considerado “dado pessoal” qualquer informação relacionada a um indivíduo que possa, conjunta ou isoladamente, definir a sua identidade. Assim, são dados pessoais informações como: nome, endereço, número de documentos, endereço de e-mail e telefones de contato.

É com base nesses conceitos que a lei determina regras e direcionamentos específicos quanto a controle, coleta e gestão de informações pessoais.

Coleta de Dados

Segundo a LGPD, a coleta de dados deve ser sempre autorizada pelo usuário. E isso não se restringe apenas à coleta, mas também ao armazenamento, reprodução, utilização, distribuição, processamento, arquivamento e qualquer outra forma de utilização desses registros.

A autorização do titular dos dados é imprescindível e, independentemente da situação, a empresa deve ter autorização para manter informações pessoais de clientes no seu banco de dados.

Controle pessoal dos dados

Além da autorização, a empresa deve estar ciente que os titulares dos dados podem, a qualquer momento, solicitar a retificação ou exclusão das informações, cancelando a autorização de uso dos dados.

O que se conclui é que a LGPD veio para trazer mais controle ao consumidor acerca do uso e destinação que é dada aos seus dados pessoais, criando a possibilidade de punir os responsáveis por qualquer dano causado pelo uso inadequado das informações dos seus clientes.

Dados sensíveis

São considerados dados sensíveis todas as informações que possam causar dano direto ao titular, por exemplo, religião, opinião política, informações de saúde, opção sexual, gênero, etnia, etc.

Com relação aos dados sensíveis, é necessário consentimento expresso, ou seja, o titular das informações deve concordar livremente com a coleta e utilização dos seus dados, sem que isso o impeça de acessar um serviço ou produto.

Vazamentos de dados

Em caso de descumprimento da lei, que poderá acontecer na etapa de coleta, controle e gestão de informações com vazamento de dados, a empresa fica sujeita à penalização.

A pena vai depender da gravidade da situação, podendo variar entre advertências a aplicações de multa de até 2% do faturamento da empresa. É importante destacar aqui que a multa tem um limite de R$ 50 milhões.

Quais são as diferenças entre a LGPD e GDPR?

GDPR é a sigla para General Data Protection Regulation, traduzida como Regulamentação Geral de Proteção de Dados. Ela é uma legislação europeia criada com o objetivo de proteger informações pessoais dos cidadãos em plataformas de armazenamento de dados.

A LGPD foi criada a partir da GDPR, que entrou em vigor na Europa em 2018 e tem essencialmente o mesmo objetivo de proteger dados pessoais.

O combate à exposição de dados sensíveis e a necessidade de garantir o direito à privacidade tornou-se uma demanda urgente em razão da evolução da tecnologia e das plataformas digitais. O ambiente online estava se tornando perigoso e gerando efeitos significativos em diversas áreas, inclusive no campo da política.

Afinal, quem não se lembra do episódio envolvendo o vazamento de informações do Facebook durante as eleições presidenciais americanas?

Muito embora as duas leis tenham relação direta entre si, existem algumas diferenças importantes entre elas, a começar pela previsão legal.

No Brasil, a LGPD é a primeira lei que trata do uso de dados pessoais. Já na União Europeia, o tema já tinha previsão legal na Diretiva 95/46/CE, sendo que a GDPR veio para esmiuçar o assunto e adaptar à realidade que vivemos hoje.

Mesmo as empresas que já se adaptaram a GDPR, devem considerar a necessidade de adequação à LGPD, pois as normas, muito embora semelhantes, têm algumas características e abordagens que lhe são próprias. Confira a seguir as diferenças e dados essenciais de cada uma delas.

Territorialidade

A LGPD e a GDPR são leis semelhantes quanto o assunto é territorialidade. Elas são aplicáveis a todas as empresas que prestam serviços ou oferecem bens a cidadãos localizados no Brasil e na União Europeia.

Dessa forma, empresas brasileiras que trabalham com clientes localizados na União Europeia, são obrigadas a respeitar a GDPR e vice-versa.

Assim, a LGPD tem ampla aplicabilidade, ou seja, ela se aplica às operações:

• realizadas no Brasil;
• associadas à oferta de bens e serviços dentro do território nacional ou que envolva dados de pessoas localizadas no Brasil;
• dados pessoais que são coletados no Brasil.

Por isso, a lei se aplica a todas as atividades de processamento de dados que forem realizadas fora do país e que tenham alguma relação com cidadãos brasileiros ou que estejam localizados no Brasil.

Solicitação de acesso

Em ambas as normas, é garantido ao indivíduo o direito de acesso aos seus dados pessoais. Isso significa que o titular do dado pode solicitar, a qualquer momento, das empresas que coletaram seus dados a realização de portabilidade, correção ou exclusão das informações.

Lembrando que esta exclusão deve ser definitiva e não pode, em hipótese alguma, ser mantida em qualquer banco de dados sem a autorização expressa do usuário.

A diferença entre as duas leis está atrelada aos prazos:

• na LGPD, o prazo para que a empresa ofereça o acesso é de 15 dias;
• na GDPR, as empresas têm 30 dias para responder à solicitação do usuário.

Consentimento

Nas duas normativas, o consentimento é aspecto essencial e imprescindível para que as organizações empresariais acessem e processem dados pessoais. Ou seja, sem autorização/consentimento, não é possível processar informações pessoais, sob pena de sanção legal.

Marketing

Eis aqui outra diferença entre as duas normas. No que diz respeito ao uso de dados para marketing direto, a GDPR tem uma previsão específica, enquanto a LGPD não trata diretamente do tema.

• A GDPR permite que o titular das informações se oponha quanto ao processamento dos seus dados para fins de marketing. Essa oposição pode ser feita a qualquer momento;
• a LGPD não traz previsão relacionada ao marketing direto, o que sugere uma autorização implícita para uso das informações. Entretanto, a empresa deve seguir as demais regras de consentimento, transparência e respeito aos direitos dos titulares dos dados.

Base Legal

Neste contexto, a base legal para o processamento dos dados pessoais é mais ampla na LGPD do que na GDPR.

A norma europeia exige o consentimento explícito do titular, a necessidade de contrato, a execução de políticas públicas, a obrigação legal, o interesse vital e o interesse legítimo.

Enquanto a norma brasileira, além de todos acima mencionados, adiciona ainda a proteção da saúde em procedimentos realizados por profissionais do setor de saúde, a proteção ao crédito, o exercício de direitos em processos judiciais e a realização de estudos por órgãos de pesquisa.

Violação de dados

Outra diferença entre as duas normas diz respeito ao prazo para notificação quando existir a violação ou o vazamento de dados.

A GDPR determina que a notificação deve ser feita no prazo de 72 horas. A LGPD, por sua vez, não informa o prazo para realização da notificação à autoridade que supervisiona a aplicação da lei. A norma apenas aponta que a etapa deve ser feita em “prazo razoável”.

Sanções

Outro ponto semelhante entre as duas leis diz respeito à sanção:

• na GDPR, a empresa que violar dados, poderá receber multa de 10 a 20 milhões de Euros ou de 2% a 4% do faturamento anual total do exercício financeiro anterior. Será aplicado o que for maior;
• na LGPD a questão das multas ficou mais simples. No Brasil, a multa será de até 2% da receita anual, limitando-se a 50 milhões de reais por violação.

Como será feita a fiscalização do cumprimento da lei?

Para fiscalizar as empresas, foi criada a Autoridade Nacional de Proteção de Dados. A ANPD será responsável pela fiscalização do cumprimento da LGPD.

De acordo com a legislação que cria o órgão, ele tem obrigação de zelar pela proteção dos dados pessoais, criando as diretrizes para Política Nacional de Proteção de Dados Pessoais e da Privacidade e de aplicar sanções nos casos em que o tratamento de dados for feito em desacordo com o que determina a lei.

Também será criado o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão composto por 23 representantes do poder público e civil, que serão responsáveis pela fiscalização ao nível nacional.

Na prática, se acredita que o próprio mercado vai ser um dos principais responsáveis pela fiscalização do LGPD. Isso porque, a partir das negociações entre as próprias empresas, a adequação será exigida como forma de segurança.

O que acontece com uma empresa que não cumprir as regras?

Como mencionado anteriormente, as multas para quem descumprir as normas da Lei Geral de Proteção de Dados — e caso isso culmine no vazamento de dados da clientela — é de até 2% do faturamento daquela empresa. Esse valor pode chegar às cifras de R$ 50 milhões. As penalidades também podem ser cobradas diariamente.

No entanto, nem sempre as infrações das empresas levam a esse tipo de penalidade. Há situações em que podem ser implementadas:

• advertências;
• comunicação da infração de maneira pública;
• proibição da atuação da empresa por um certo período, entre outros.

E, claro, isso não é tudo. As empresas que caírem na malha fina da LGPD também perdem em competitividade, credibilidade e, consequentemente, em espaço e posição no mercado. Não é isso que queremos, não é mesmo? Por isso, é fundamental se adaptar às novas regras.

Como sua empresa pode se adaptar à LGPD?

1. Obtendo consentimento;
2. armazenando dados com propósito;
3. atualizando as listas de e-mail marketing;
4. adaptando o remarketing e anúncios segmentados.

Antes de estabelecer qualquer ação dentro da sua empresa, é importante avaliar e mapear o contexto atual do negócio. Por isso, se você é empresário ou está envolvido nessa necessidade, a dica é criar um Comitê de Segurança da Informação.

Este grupo será composto por profissionais responsáveis pela análise atual dos procedimentos internos adotados com relação ao recebimento e tratamento de dados.

Isso vai permitir criar um entendimento claro acerca da situação atual da empresa, que servirá como ponto de partida para a delimitação das ações que serão tomadas.

Afinal, você precisa saber onde ficam armazenados, quem tem acesso e como são compartilhados os dados pessoais de acordo com os processos. A partir desta análise, fica mais fácil avaliar o que precisa ser adaptado à LGPD. A seguir, especificamos as ações a serem feitas.

Obtenha consentimento

Depois de mapear os seus processos, você deve partir para aplicação das regras conforme determina a legislação. O primeiro passo diz respeito ao consentimento, que é o principal ponto da Lei de Proteção de Dados.

Estabeleça como será feita a coleta de dados e a obtenção do consentimento do titular dos dados. No artigo 8º, a LGPD dá um norte de como este consentimento deve ser obtido:

“Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.

§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.

§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.

§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.”

Por isso, coloque avisos em suas Landing Pages, estude sobre a relação entre a LGPD e conceitos como cookies e cache e seja sempre transparente na abordagem feita ao leitor ou usuário do seu site e dos seus serviços. Aproveite para conhecer, também, um pouco mais sobre first, second e third party e descobrir como esses dados são obtidos.

Armazene dados com propósito

Outro ponto de atenção diz respeito ao propósito de armazenamento. Afinal, será que você realmente precisa armazenar os dados? Se não for necessário para a sua empresa ou para o escopo do negócio, talvez seja interessante dispensar o armazenamento das informações

Avalie com cautela as necessidades de manutenção de dados pessoais de clientes, analisando custos, benefícios e riscos que este investimento trará para a sua empresa.

Vale relembrar o mapeamento que foi feito, entendendo melhor o posicionamento do seu negócio, os índices de cancelamentos de clientes e a eventual relação entre essas questões e o armazenamento.

Atualize listas de e-mail marketing

Esta é uma ação importante e que deve ser tomada com o máximo de brevidade pelas empresas que mantêm campanhas de e-mail marketing ativas e envios de newsletter.

Se a sua lista não foi criada alinhada com a LGDP, você deve solicitar o consentimento dos destinatários para dar continuidade ao envio de informações. Caso você não tenha esse consentimento, será necessário providenciá-lo o quanto antes. Como? Confira algumas dicas:

• você tem usuários da sua lista de e-mail marketing que não pediram para estar lá? Solicite autorização para continuar enviando os e-mails, se a autorização não for dada, retire estes usuários da sua lista;
• o consentimento para recebimento de e-mails passa a ser obrigatório. Atente-se para o fato de que permissões nulas ou genéricas não atendem às normas legais.

Adapte o remarketing e anúncios segmentados

A LGPD impacta diretamente na forma como o marketing online é feito. Isso porque ele é baseado principalmente no comportamento online dos usuários, justamente com o propósito de entender suas preferências e oferecer anúncios que façam sentido de acordo com aquele perfil.

A partir da entrada em vigor da lei, algumas práticas devem ser adaptadas. Para isso, as empresas devem adequar a captação de dados pessoais exclusivamente para finalidade de interesse legítimo da empresa, garantindo segurança na exposição do titular dos dados.

Isso se traduz em processos transparentes, informações claras aos titulares dos dados, processos restritos e controle sobre quem acessa as informações, inclusive em caso de automação.

Em empresas de maior porte, pode ser essencial investir em ações e estratégias de compliance, o que contribui para a segurança jurídica das operações.

Em linhas gerais, é fácil perceber que não existe um roteiro ou fórmula a ser seguida. A sua empresa terá que entender qual é a realidade na qual está inserida e traçar uma estratégia alinhada com as suas especificidades. Por isso é tão importante mapear os processos, conhecer como é feito o fluxo dos dados e de que forma a adequação deverá ser estruturada.

DPO: quem é e qual sua importância nas empresas depois da LGPD?

DPO é a sigla utilizada para se referir ao Data Protection Officer, em tradução livre, Oficial de Proteção de Dados.

O DPO nada mais é do que o profissional responsável pela proteção de dados dentro de uma empresa. A ele, cabe a função de supervisionar as estratégias e a implementação do plano de proteção de dados, garantindo a conformidade com os requisitos e diretrizes da Lei Geral de Proteção de Dados.

Desta forma, o Oficial de Proteção de Dados vai garantir a controle sobre as ações e políticas internas, permitindo que a empresa aplique a legislação e garanta a proteção dos dados dos seus clientes/usuários.

Por isso, é imprescindível que o DPO conheça a lei de forma aprofundada, além de conhecer e ter experiência em governança e em segurança da informação.

De acordo com a LGPD, estão obrigadas a contratar esse profissional as empresas que têm um volume expressivo de dados pessoais ou sensíveis. Isso significa que a contratação de um DPO não é obrigatória em todas as empresas, mas algumas devem providenciar a contratação.

Como você pode ver, manter a segurança jurídica da sua empresa é extremamente importante, principalmente em um cenário no qual os dados são tão valiosos. Mas não é apenas de segurança jurídica que se fala quando o assunto é LGPD.

Garantir ao seu cliente segurança e transparência é o principal objetivo da lei, que também se apresenta como uma oportunidade para estreitar laços entre você e os seus clientes ou futuros clientes.

Ao adotar boas práticas, você não está apenas cumprindo a lei, mas também está mostrando para o mercado que ele pode confiar nos seus processos e na seriedade com relação ao tratamento e relacionamento mantido com os seus clientes. Isso vale ouro.

Por isso, a nossa dica — que também é uma política dentro da HubSpot — é: siga as melhores práticas exigidas pela LGPD e GDPR e fique atento às melhores estratégias para garantir a segurança na proteção das informações pessoais do seu usuário. Fazer isso o quanto antes vai trazer menos problemas futuros.

Além de manter uma postura em consonância com a legislação, evitando exposição de dados de terceiros, você encontra na lei uma oportunidade de melhorar os seus processos e garantir o sucesso e segurança do seu cliente.

Você gostou deste guia sobre a LGPD? Então, aproveite para saber ainda mais sobre a Lei Geral de Proteção de Dados e fique por dentro de mais um conteúdo com dicas exclusivas que vão ajudar na gestão e planejamento do seu negócio.