Proteger os dados e a privacidade dos consumidores é um requisito básico e fundamental na administração de qualquer empresa. Em maio de 2018, o mundo viu a entrada em vigor da lei de proteção de dados europeia, chamada General Data Protection Regulation (“GDPR”, Regulamento Geral sobre a Proteção de Dados). Pouco tempo depois, em agosto do mesmo ano, uma lei semelhante, a Lei Geral de Proteção de Dados (“LGPD”) foi aprovada no Brasil. A LGPD exige que todas as organizações cumpram os requisitos relativos ao tratamento de dados pessoais e de dados pessoais sensíveis.
Embora a LGPD não seja tão abrangente quanto o GDPR, há muitas semelhanças entre essas legislações. Nesta página, explicaremos as noções básicas da LGPD, como ela se aplica aos clientes da HubSpot e como a HubSpot está auxiliando os clientes a se preparar para a vigência da lei. Atualizaremos esta página conforme o necessário à medida que novas diretrizes da LGPD entrarem em vigor.
Está com uma sensação de despreparo? Não se preocupe. A HubSpot tem inúmeros recursos que ajudarão os nossos clientes a lidar bem com esta lei de proteção de dados. O GDPR e a LGPD são parecidas quanto aos requisitos e às obrigações. Como já ajudamos os nossos clientes na preparação para o GDPR com as ações da HubSpot para o GDPR, a maior parte deles não terá de fazer muitas alterações em decorrência da LGPD. No entanto, é importante conferir os requisitos específicos da LGPD que relacionamos abaixo.
Em agosto de 2018, o Brasil aprovou sua lei mais abrangente de proteção de dados, a Lei Geral de Proteção de Dados, geralmente referida pela sigla LGPD.
A LGPD cria novos requisitos legais para o uso de dados pessoais no Brasil, tanto online quanto offline, nos setores público e privado. A LGPD regula os controladores e operadores de dados pessoais. Os controladores decidem como e por que coletar e tratar dados pessoais. Já os operadores são as pessoas jurídicas que tratam os dados de acordo com as instruções do controlador.
A LGPD cobre as atividades dos controladores e operadores de dados e cria requisitos para as organizações que tratam as informações dos titulares dos dados. A definição de “titular” é ampla, como “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”. A lei também contempla obrigações sobre questões como a indicação do encarregado da proteção de dados, fundamentos legais para o tratamento, avaliações de impacto à proteção de dados, transferências de dados e vazamentos de dados. A fiscalização da lei ficará ao encargo da Autoridade Nacional de Proteção de Dados (“ANPD”). Espera-se que a ANPD, quando devidamente regulada e tiver as nomeações de seus cargos efetivadas, defina importantes diretrizes e esclarecimentos sobre certas disposições da LGPD.
Além disso, em caso de violação da LGPD, a ANPD deverá notificar os operadores de dados. Caberá à ANPD determinar um prazo para a adoção de medidas corretivas, como a eliminação ou bloqueio dos dados pessoais.
Quando a LGPD entra em vigor?
A LGPD já está em vigor.
A entrada em vigor da LGPD este ano pegou muita gente de surpresa, pois esperava-se que a data de entrada em vigor fosse adiada devido à pandemia da COVID-19. No entanto, o Senado brasileiro reverteu sua decisão de adiamento. Isso fez com que a LGPD entrasse em vigor imediatamente após a assinatura do Presidente da República, o que já aconteceu. É importante observar que a aplicação de sanções da lei só poderá ocorrer em agosto de 2021. Ou seja, a ANPD, entidade responsável por fiscalizar a aplicação da lei, só poderá aplicar sanções e multas nos termos da LGPD a partir de 1º de agosto de 2021.
Semelhante ao GDPR, a LGPD tem uma aplicação ampla ao tratamento de dados pessoais, tanto online quanto offline. Tanto a LGPD quanto o GDPR são abrangentes em termos do escopo pessoal, material e territorial. As definições de dados pessoais são muito semelhantes entre as duas legislações, que definem a proteção a qualquer “informação relacionada a pessoa natural identificada ou identificável”.
A LGPD aplica-se a todos os setores da economia e tem aplicação extraterritorial. Em outras palavras, qualquer organização que coletar ou tratar dados pessoais sujeitos à LGPD não precisaria ter presença física no Brasil para que a lei fosse aplicada. Além disso, a aplicabilidade da LGPD não se limita ao porte de empresas e organizações. Há três aspectos principais à aplicação da lei. A LGPD aplica-se a qualquer pessoa natural ou jurídica, de direito público ou privado, que:
Embora haja expectativas quanto à aplicabilidade da LGPD, a lei se aplicará à maioria das organizações que trata, vende e/ou divulga produtos ou serviços no Brasil.
Antes de poder determinar se a LGPD de fato se aplica à sua organização, é importante entender o que a LGPD define como “dados pessoais”. Como já dito acima, a LGPD define dados pessoais como qualquer “informação relacionada a pessoa natural identificada ou identificável”. Portanto, se você for um cliente da HubSpot que preenche os critérios desse escopo e trata dados pessoais, conforme definido acima, a LGPD se aplicará a você.
Veja um exemplo de como a LGPD pode se aplicar à sua empresa:
Digamos que Victor seja um contato seu e more no Brasil. Ele é o “titular”, e sua empresa (digamos que ela se chame Acme S.A.) é a “controladora” dos dados dele. Se você for um cliente da HubSpot, então a HubSpot atuará como a “operadora” dos dados do Victor em nome da Acme.
Veja como Victor pode interagir com a sua empresa:
A seguir, você encontra situações em que a HubSpot pode atender à sua empresa com relação à forma como Victor pode interagir com sua empresa, a Acme Ltda. Este exemplo também está no Manual da HubSpot para o GDPR. A HubSpot tem diversos materiais sobre o GDPR, incluindo este manual e este artigo da Central de Conhecimento. Eles explicam os recursos e as funcionalidades do nosso produto e do nosso sistema que nós e nossos clientes usamos para cumprir o GDPR. Esses recursos também podem auxiliar no cumprimento da LGPD.
A LGPD concede determinados direitos aos titulares de dados. A intenção é proteger os dados pessoais deles, sem exigir cidadania ou residência no Brasil para que a pessoa se qualifique como titular nos termos da LGPD. Segundo a lei, os titulares têm o direito de receber um aviso adequado dos direitos que têm.
A LGPD permite que os titulares recebam os seguintes itens de um controlador com relação a seus dados pessoais:
A LGPD confere aos titulares o direito de se opor e restringir o tratamento de seus dados pessoais, e permite que as pessoas físicas solicitem a eliminação de seus dados pessoais. Além disso, o direito de acesso é reconhecido tanto pelo GDPR quanto pela LGPD. Portanto, as organizações devem conceder aos titulares acesso a seus próprios dados pessoais quando requerido. Ainda assim, há algumas diferenças entre o GDPR e a LGPD, inclusive quanto ao prazo de resposta de uma solicitação de acesso. Em geral, as organizações sujeitas ao GDPR precisam responder a solicitações de acesso em um prazo de 30 dias contados a partir do recebimento da solicitação. No entanto, a LGPD define um prazo de 15 dias, enquanto solicitações relativas ao exercício de outros direitos devem ser atendidas imediatamente. É importante observar que as solicitações dos titulares de dados nos termos da LGPD são um tópico da lei que ainda requer regulamentação da ANPD.
Diferenças entre a LGPD e o GDPR
O GDPR e a LGPD são legislações bem parecidas. No entanto, há algumas diferenças entre elas. Por exemplo, o GDPR reconhece seis finalidades legais para o tratamento, enquanto a LGPD tem dez. Por outro lado, a LGPD é mais flexível quanto à avaliação de equilíbrio de interesse legítimo. E mais: o prazo de comunicação de ocorrências de incidente de segurança é diferente entre as duas legislações. Nos termos do GDPR, os controladores precisam comunicá-las às autoridades fiscalizadoras no prazo de 72 horas, enquanto a LGPD prevê que essa comunicação deve ser feita à autoridade fiscalizadora e aos titulares em um prazo razoável. Por fim, uma grande diferença entre as duas legislações é que a LGPD obriga as organizações a indicarem um encarregado da proteção de dados, enquanto o GDPR não impõe essa obrigação a todos os controladores.
No momento, a fiscalização da ANPD só começa a partir de 1º de agosto de 2021, quando as disposições sobre as sanções administrativas da LGPD entram em vigor. Para organizações que infringirem a LGPD, há a previsão de sanções que podem incluir multas de até 2% do faturamento da pessoa jurídica no Brasil no ano fiscal anterior, limitada, no total, a R$ 50.000.000,00 por infração.
Considerando que a ANPD acabou de ser estabelecida, ainda há muitas dúvidas sobre como a autoridade funcionará na prática administrando essas sanções.
Há uma grande quantidade de semelhanças entre a LGPD e o GDPR. A HubSpot tem um vasto material sobre o GDPR, como este manual, que explica os recursos e as funcionalidades do nosso produto e do nosso sistema que nós e nossos clientes usamos para cumprir o GDPR e a LGPD.
Uma boa parte desses recursos, processos e políticas nos nossos produtos e sistemas (que são usados para cumprir o GDPR) podem ser usados da mesma maneira para cumprir a LGPD. Por exemplo, a forma como você lida com as finalidades legais e as solicitações de eliminação de dados (dois requisitos previstos nas duas legislações). Essas funcionalidades são explicadas abaixo e no manual para o GDPR, disponíveis para todos os clientes da HubSpot.
Analise nosso exemplo acima:
Digamos que Victor seja um contato seu e more no Brasil. Ele é o “titular”, e sua empresa (digamos que ela se chame Acme S.A.) é a “controladora” dos dados dele. Se você for um cliente da HubSpot, então a HubSpot atuará como a “operadora” dos dados do Victor em nome da Acme.
Veja como Victor pode interagir com a sua empresa:
Confira um resumo das funcionalidades disponíveis na HubSpot:
Finalidades legais: segundo a LGPD, é necessário ter um motivo lícito (chamado de “finalidade legal” na lei) para usar os dados de alguém. A HubSpot dividiu essas finalidades legais em duas categorias: de tratamento (isto é, armazenar dados no seu CRM ou fornecer um e-book que o titular solicitar) e de comunicação (isto é, enviar um e-mail de marketing ou pedir para um representante de vendas fazer uma chamada).
Pode ser necessário ter finalidade legal para se comunicar com seus contatos. Caso você não a tenha, analise a possibilidade de criar tipos de assinaturas, atualizar seu banco de dados atual com esses tipos de assinatura (com uma campanha de permissão ou outro método) e configurar seus formulários para estabelecer a finalidade legal daqui para frente.
Confira mais detalhes sobre como ativar as configurações para o cumprimento das obrigações previstas na LGPD no Manual da HubSpot para o GDPR.
Eliminação: segundo a LGPD, os titulares têm o direito de requerer que sua empresa elimine todos os dados pessoais armazenados sobre ele.
Em muitos casos, será necessário atender a essa solicitação imediatamente. O direito à eliminação não é absoluto e pode depender do contexto da solicitação. Portanto, ele nem sempre é aplicável.
Confira mais detalhes sobre como ativar as configurações para o cumprimento das obrigações previstas na LGPD no Manual da HubSpot para o GDPR e no artigo da Central de Conhecimento sobre o GDPR.
Cookies: a LGPD baseia-se no modelo de riscos, semelhante ao que é exigido das organizações para o cumprimento do GDPR. As organizações que tratam dados pessoais são incentivadas a implementar medidas de segurança correspondentes ao nível de risco de suas atividades de tratamento de dados. Portanto, você pode comunicar aos visitantes do seu site sobre o uso de cookies.
Na HubSpot, é possível obter o consentimento de um visitante para o rastreamento de cookies. Também lançamos a possibilidade de exibir diferentes versões do banner de consentimento em diferentes páginas do site.
Confira mais detalhes sobre o que considerar sobre a atualização das configurações de cookies e como ativar as configurações para o cumprimento das obrigações previstas na LGPD no Manual da HubSpot para o GDPR.
**Isenção de responsabilidade: este site não é um resumo completo da Lei Geral de Proteção de Dados (“LGPD”) nem um conselho jurídico para sua organização cumpri-la. Ele apenas apresenta informações básicas para ajudar você a entender melhor a LGPD e como ela pode se aplicar à sua organização. Estas informações jurídicas não são equivalentes a conselhos jurídicos, em que um advogado aplica a lei às suas circunstâncias específicas. Portanto, você deve consultar um advogado caso queira um conselho sobre a sua interpretação destas informações ou sobre a precisão delas. Não é recomendável que você confie nesta página como um conselho jurídico nem como um endosso de quaisquer entendimentos jurídicos. Embora a LGPD tenha influências do GDPR, as organizações que já cumprem o GDPR não necessariamente estão de acordo com a LGPD. Além disso, a aplicação e as regulamentação da LGPD ainda não foram finalizadas; portanto, a HubSpot continuará monitorando a evolução tanto da LGPD quanto de suas regulamentações. A HubSpot continuará atualizando esta página conforme o necessário.