Privacidade de dados: tudo que sua empresa

precisa saber sobre a LGPD

blog.socialminer.com

AddThis Sharing Buttons

Share to FacebookShare to WhatsAppShare to TwitterShare to Email AppShare to Mais...

No dia 28 de janeiro comemoramos o Dia Internacional da Privacidade de Dados.

Dados E,
apesar de ter sido criada lá em 2006, pelo Conselho da Europa, a m de conscientizar o
público sobre a importância da proteção das informações pessoais, o assunto nunca
esteve tão em alta.

Por que? Bom, você já parou para pensar em como as coisas mais simples do dia a dia
envolvem o compartilhamento de dados? E isso vai desde o login nas redes sociais até
uma compra no cartão de crédito.

São situações onde o consumidor con a às empresas seus dados pessoais. Entregam o
CPF, o número do cartão de crédito, senhas, endereço, email, telefones… a lista não tem
m. Mas raramente as pessoas param para pensar no que acontece depois que aquela
compra é nalizada ou a página do Facebook é fechada.

Por exemplo: vamos supor que um usuário se cadastra em uma página num dia e, de
repente, passa receber anúncios online de outras marcas, as quais ele nunca viu, quem
dirá compartilhou seus dados com elas.

Será que aquele site, para o qual ele deu suas informações em primeiro lugar, não faz
cookie pool – uma prática de compartilhamento de base que fere os direitos de
privacidade dos consumidores?

Pois então. A verdade é que, até 2018, o Brasil ainda não contava com uma legislação
que garantisse os direitos de privacidade de dados dos seus consumidores. Mas isso
mudou com a aprovação da Lei Geral de Proteção de Dados (LGPD).

Baseada na General Data Protection Regulation (GDPR) – regulamentação da União

Européia com o mesmo m, que entrou em vigor em maio de 2018 – a lei, sancionada
em agosto do referido ano, aparece para proteger os cidadãos brasileiros da exposição
de dados pessoais e para inibir o uso indevido e sem autorização dessas informações.

Índice [ocultar]

1 E o que sua empresa tem a ver com isso?

2 O início de tudo – um panorama histórico
3 A importância das leis de proteção de dados
4 A dinâmica das leis
5 E quais são os princípios da lei?
6 E quais são os direitos dos usuários?
7 E eu, como empresa: o que preciso fazer para lidar com dados dentro da lei?
8 A importância do consentimento
9 Direitos de acesso do titular
10 Tratamento de dados de crianças e adolescentes
11 Posso manter os dados para sempre?
12 Penalidades – por que é tão importante que a empresa esteja operando dentro
da lei?
13 Checklist para iniciar o processo de compliance com a nova lei
14 Conclusão: quando a lei começa a valer e como me preparar

E o que sua empresa tem a ver com isso?

Bem, se seu negócio lida com dados pessoais dos consumidores, é certo que a nova
legislação irá impactar na sua operação. Especialmente porque a ela prevê altas
penalidades para quem não estiver de acordo com seus princípios e boas práticas. Ou
seja, qualquer erro pode sair muito caro para o sua empresa.

Mas, calma! Antes de se desesperar e acionar seu advogado, que tal entender melhor o
que propõe a nova lei?
Nós explicamos os aspectos mais importantes e, mesmo sabendo que não dá para
esgotar o tema em um só post (são cerca de 60 páginas de legislação), dá para ter uma
boa ideia de como a regulamentação vai mudar a rotina do seu negócio e os pontos de
atenção para sua empresa.

Aliás, se você quiser ter esse conteúdo em PDF, para usar como referência, você pode
baixá-lo gratuitamente aqui.

Quero!

O início de tudo – um panorama histórico

Na Europa

Desde que o processamento de dados se tornou algo relevante na União Européia, lá

pela década de 1980, os estados membros do grupo começaram a discutir o assunto,
com frequência. Neste mesmo período, uma importante legislação, conhecida como
Data Protection Act (DPA), foi aprovada no Reino Unido.

O ato trouxe para o público a noção de que os dados são uma propriedade de cada
indivíduo e que as pessoas têm poder de decisão sobre eles. Essa consciência,
despertada a partir daí, foi tão importante que, alguns anos depois, em 1995, a União
Européia se baseou na lei para criar e aprovar uma diretriz geral para todos os países do
bloco.

O tempo passou, a tecnologia não parou de evoluir e, mesmo com a lei passando por
revisões para acompanhar esse movimento, diversos escândalos de vazamento de
dados continuaram a ser registrados. Foi então que a União Européia entendeu que era
necessário criar uma legislação única, com o objetivo de proteger e garantir segurança
jurídica para seus cidadãos.

Enquanto isso no Brasil…

Em paralelo, no Brasil, vez ou outra eram criadas leis voltadas para proteção de dados. O
Código de Defesa do Consumidor, por exemplo, cita a possibilidade de obtenção de
dados por parte das empresas. Já a Lei Carolina Dieckmann penaliza a invasão de
dispositivos.

Por sua vez, o Marco Civil, de 2014, pontua alguns dos direitos que são melhor
elaborados na nova lei. Mas o fato é que, antes da LGPD, o Brasil nunca tinha contado
com um documento que contemplasse todos os aspectos desses sistema, desde a
manipulação de dados e as questões de privacidade, até alternativas e cientes para
scalização desses processos.

Porém, com a chegada da GDPR e diante de tantos escândalos envolvendo o vazamento

de informações privadas, a verdade é que o Brasil se viu obrigado a criar uma legislação
para proteção de dados, entrando para o seleta lista de 100 países que contam com uma
norma adequada.

Essa é, inclusive, uma estratégia política. Especialmente porque o nosso país busca
conquistar uma cadeira na Organização para Cooperação e Desenvolvimento
Econômico.

A importância das leis de proteção de dados

Como a gente viu, a manipulação de dados faz parte da rotina de empresas e

consumidores. Uma relação de troca e con ança que, infelizmente, – seja por má fé ou
simplesmente por falhas operacionais – acaba sendo quebrada. E num cenário sem
regras ou penalidades bem de nidas, são os usuários desses serviços que acabam no
prejuízo, muitas vezes irreparável.

Daí a importância de leis como a GDPR e a LGPD, que trazem segurança jurídica para os
cidadãos e inibem o descuido, por parte das empresas, na manipulação e
processamento de dados. Isso porque um mesmo documento consegue regular a
atividade econômica digital, vetando práticas já mal-vistas ou mesmo ilegais, como o
cookie pool e a venda de base.

A regulamentação oferece, ainda, mais liberdade e transparência para que usuários

saibam quais dados estão sendo coletados, como e para que nalidade, permitindo até
mesmo que essas pessoas suspendam o compartilhamento e a autorização para o uso
dessas informações, a qualquer momento.

Além disso, a lei traz exibilidade, uma vez que pode ser adaptada de acordo com os
avanços tecnológicos e, melhor: abre, também, o mercado para parcerias internacionais,
uma vez que países que seguem leis similares restringem suas relações comerciais à
empresas de países que garantam a segurança de dados.

Inclusive, antes mesmo da aprovação da LGPD, quando ela ainda era um projeto de lei (a
PLC 53/2018) e a GDPR tinha acabado de entrar em vigor nos países da União Europeia,
a gente fez um webinar especial, dando detalhes sobre as duas regulamentações. Dá só
uma olhada:

A dinâmica das leis

Tanto a GDPR quanto a LGPD consideram três principais indivíduos, classi cados pela
lei de acordo com sua posição na relação dos dados.

Controlador Empresas que detém os dados e a quem competem as decisões acerca de

Controlador:
como os dados serão tratados.

Operador Organizações responsáveis por processar e tratar esses dados em nome do

Operador:
controlador.

Titulares: Indivíduos aos quais aquelas informações pertencem.

Titulares

Um exemplo: Vamos supor que você tenha um e-commerce e contrate os serviços da

Social Miner para cadastrar e se comunicar com o seus usuários. Nesse cenário, sua
empresa seria o Controlador dos dados fornecidos pelos usuários do seu site; a Social
Miner é o Operador, responsável por processar e tratar essas informações; e o seu
consumidor nal seria o Titular dos dados.

Ou seja, tanto sua empresa, quanto nós, da Social Miner, precisamos estar em acordo
com a nova lei.
lei E a gente já está, diga-se de passagem.

Sempre prezamos muito pela experiência do consumidor, sendo isso um dos pilares do
nosso negócio e da metodologia do People Marketing. E, desde que a GDPR entrou em
vigor, em maio de 2018, já adaptamos nossas políticas de privacidade e cookies para
garantir que tanto nossos clientes quanto os seus consumidores nais estejam
protegidos.

E, como já dissemos, o principal objetivo da GDPR e da LGPD é proteger os dados

pessoais.

Ok! Mas o que são considerados “dados pessoais”?

Bem, para essas leis, os dados pessoais são todos aqueles dados referentes à pessoa
natural identi cada ou identi cável. Ou seja, todas aquelas informações que permitem
que as empresas entendam que quem está por trás da tela do seu computador agorinha
mesmo é você, por exemplo, ou que consigam individualizar o usuário para alguma outra
nalidade.

É importante destacar que alguns dados não permitem atribuir uma identidade a um
usuário. No entanto, se essas informações anônimas forem complementadas com
outros dados, como endereço de e-mail, por exemplo, ou de alguma forma permita que a
empresa atinja o usuário de alguma forma individualizada, esta pessoa acaba sendo
identi cada e a lei passa a valer para esse usuário.

E quais são os princípios da lei?

Como a LGPD foi baseada na lei europeia, apresenta basicamente os mesmos princípios
e eles funcionam de forma complementar. Isto é: cada princípio traz implicações para os
outros.

Princípio #1: Finalidade

Dados coletados só podem ser tratados para ns legítimos e especi cados aos titulares.
Ou seja: as empresas não podem coletar informações e, depois, usá-las para outros ns.

Ex: Você tem um blog, onde pessoas podem se cadastrar para receber conteúdos, e
resolve criar um e-commerce de livros. Você não pode usar sua base de leads
cadastrados do blog para divulgar suas ofertas da loja virtual.

Princípio #2: Adequação

O tratamento dos dados deve ser compatível com a nalidade que foi informada para o
usuário. Então, as empresas não podem usar os dados dos seus usuários para qualquer
m que não tenha sido previamente informado.

Ex: Se seu usuário deu permissão para envio apenas de emails, você não deve usar suas
informações para enviar comunicações através de outros canais.

Princípio #3: Necessidade

Dados devem ter seu uso limitado ao necessário para realização das suas nalidades.
Isto é, as empresas devem coletar apenas aquelas informações estritamente
necessárias para prestação dos seus serviços.
Ex: Se o seu objetivo é disparar emails, não tem por que pedir informações como número
do telefone ou endereço.

Princípio #4: Livre acesso

Os titulares dos dados devem sempre ter acesso fácil e gratuito às suas informações,
serem informados sobre como esses dados estão sendo usados e por quanto tempo
eles serão tratados.

Ex: Um cliente, cadastrado na sua base há 6 meses, pode decidir revisar suas
informações e/ou excluir dados que não queira mais compartilhar com sua empresa.

Princípio #5: Qualidade dos dados

Este é um princípio que garante aos titulares que seus dados serão exatos, terão
informações claras, relevantes e atualizadas para tratamento.

Ex: Se seu cliente, cadastrado na sua base há algum tempo, notou que os dados estão
desatualizados, poderá solicitar alteração a qualquer momento.

Princípio #6: Transparência

O objetivo desse princípio é garantir aos usuários informações claras e de fácil acesso
sobre o tratamento dos seus dados e sobre quem são os responsáveis por tratá-los.

Ex: Se seu cliente receber um SMS da sua marca falando sobre uma promoção limitada
a região onde ele mora, pode questionar o motivo para que tenha recebido essa
mensagem e qual critério usaram para seleciona-lo para o envio.

Princípio #7: Segurança

De ne que as empresas que tratam de dados devem adotar medidas para proteger
essas informações de acessos não autorizados, de eventos acidentais ou ilícitos de
destruição, alteração, perda, comunicação ou difusão.

Ex: Seu cliente informou o número do seu cartão de crédito e o CCV para realizar uma
compra, é responsabilidade da empresa proteger esses dados para que esse usuário
não sofra fraudes.

Princípio #8: Prevenção

As empresas que tratam de dados devem adotar medidas para prevenir a ocorrência de
danos no tratamento dessas informações.

Na prática: Se sua empresa usa dados pessoais, deve ter meios de assegurar que não
ocorrerá invasões aos computadores, servidores e tomar outras medidas de segurança

Princípio #9: Não discriminação

De acordo com esse princípio, os dados não podem ser utilizados para ns
discriminatórios ilícitos ou abusivos.

Ex: Sabendo que, em São Paulo, o valor médio de um produto é de R$700 e, em Natal, o
mesmo produto custa R$500, a venda desse artigo por preços diferentes de acordo com
a região dos usuários que você consegue identi car é uma prática proibida.

Princípio #10: Responsabilização e prestação de contas

Este princípio fala que as empresas têm que se responsabilizar pelos dados e, para isso,
têm o dever de mostrar quem são os parceiros responsáveis pelo tratamento dessas
informações, tendo também o dever de determinar um encarregado pela tarefa.

Ex: Você deve possuir em sua empresa a documentação que comprove que o
tratamento de dados está sendo realizado de forma regular, em concordância com a lei.

E quais são os direitos dos usuários?

Além dos seus princípios, as leis de proteção de dados garantem também alguns
direitos aos titulares dessas informações. Portanto, de acordo com as novas normas, os
usuários que acessam um site e têm seus dados coletados e processados têm o direito
de:

1- serem informados que a empresa está realizado tratamento de seus dados;

2- ter acesso aos dados que são coletados;

3- corrigir dados incompletos ou desatualizados;

4- solicitar anonimização*, bloqueio ou eliminação de dados desnecessários a qualquer

momento;

*Não sabe o que é anonimização? A gente explica: basicamente, quando um usuário

acessa um site, ele pode estar compartilhando alguns dados de navegação com essa
página. Chamado de cookie, esse pacote de informações, em geral, é usado para
otimizar a experiência dos usuários nos sites.

No entanto, se ao cookie são associados dados que permitam identi car aquele usuário
– como um endereço de email, nome, entre outros -, no processo de anonimização, o
usuário pode pedir que essas informações de identidade sejam desvinculadas do seu
registro, tornando o usuário anônimo mais uma vez.

É importante lembrar que, para ser válido para lei, o processo de anonimização deve ser
irreversível;

5- solicitar a portabilidade dos dados. Ou seja, se desejar, o usuário pode ter os seus
dados transferidos para outra organização;

6- pedir a eliminação dos seus dados da base de uma empresa, com garantia de que
isso aconteça*;

*Há exceções previstas no art. 16, da LGPD, que diz:

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no
âmbito e nos limites técnicos das atividades, autorizada a conservação para as
seguintes nalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos
dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de
dados dispostos nesta Lei; ou
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que
anonimizados os dados.

7- ser informado sobre o compartilhamento de seus dados com outras entidades,

públicas ou privadas, caso isso seja necessário.

8- ser informado sobre a possibilidade de não consentir com o compartilhamento dos

seus dados com um site, dando ciência das consequências do não consentimento;

9- informar a empresa que trata seus dados que não quer mais estar na base, revogando
o seu consentimento.

10- solicitar a revisão de decisões tomadas por computadores com base em tratamento
automatizado de dados pessoais, solicitando informações claras sobre como aquela
decisão foi tomada, observados os segredos comercial e industrial, hipótese em que a
autoridade nacional poderá ser acionada para veri car tais questões.
Ex: Se um site de empréstimos validar automaticamente seu crédito a partir de
informações de banco de dados, você pode pedir que a análise seja refeita ou pedir
informações sobre como aquela decisão foi tomada.

E eu, como empresa: o que preciso fazer para lidar com dados dentro da
lei?

Tudo bem, deu para entender bem os princípios que regem a lei e ter uma boa ideia da
extensão dos direitos dos usuários. Mas quais são os requisitos que as empresas
precisam atender para que possam coletar e tratar dados?

Bem, caso você tenha curiosidade de consultar a lei, essas condições, em especí co,
estão dispostas no art. 7º. E quem avisa, amigo é: essa parte da lei é taxativa. Ou seja,
ela não admite que os dados sejam tratados de qualquer outra forma, diferente do que
foi especi cado no texto.

Então é bom car de olho em cada um dos requisitos. Nós explicamos um a um, dá só
uma olhada:

Requisito #1 Consentimento

O primeiro requisito que as empresas precisam cumprir para lidar com dados é, talvez, o
mais importante para e-commerces e sites, quando se trata de tratamento para ns de
marketing. Trata-se do requisito de “consentimento”, fornecido pelo titular das
informações que serão coletadas e tratadas.

Mas, não se engane. Não é tão simples quanto aquele conhecido “clicar no ‘ok’ signi ca
que você aceita nossos termos de uso”.

Agora, além de estar de acordo com todos os princípios da LGPD, as empresas precisam
deixar seus usuários bem cientes sobre o que ele está consentindo, incluindo que tipo de
dados serão coletado, como eles serão tratados, para quais nalidades e avisá-lo sobre
todos os seus direitos.

Um exemplo de boas práticas desse requisito – coisa que você pode ter visto em alguns
sites ultimamente – é aquele “aviso de cookies”.

Ele informa o usuário que, ao acessar aquele site, a empresa estará coletando um
pacote de dados, chamado de cookies. E mais: o aviso especí ca o objetivo da ação –
que, em geral, é de melhorar a experiência de navegação – e avisa para o titular dos
dados que, a partir do momento em que ele ceder algum dado pessoal (como seu per l
em redes sociais ou e-mail), terá essas informações vinculadas ao seus dados de
navegação.

É importante, ainda, reavaliar a política de tratamento de dados da empresa e ver se ela

está de fácil entendimento e se explica tudo de forma transparente ao titular.

Requisito #2 Cumprimento de obrigação legal ou regulatória

O segundo requisito diz respeito ao “cumprimento de obrigação legal ou regulatória” e,

nesses casos, garante ao Controlador o tratamento dos dados.

Um exemplo é o caso das empresas de telefonia que guardam dados de I.P e demais
conexões, que podem identi car um usuário, para ns de cumprimento da legislação.

Requisito #3 Administração Pública

A administração pública pode tratar dados quando essas informações forem

necessárias para execução de políticas públicas, previstas em leis e regulamentos ou
respaldadas em contratos, convênios ou outros instrumentos.

Requisito #4 Realização de estudos por órgão de pesquisa

É possível, ainda, o tratamento de dados para estudos, quando realizados por um órgão
de pesquisa. No entanto, é importante ressaltar que, em primeiro lugar, essas
instituições devem buscar anonimizar essas informações.

Requisito #5 Execução de contrato ou procedimento preliminar

Empresas podem tratar dados, da mesma forma, para “execução de um contrato ou em

procedimentos preliminares”, relacionados a um contrato, a pedido do titular de dados.

Um exemplo? Quando a pessoa vai pedir um empréstimo e a organização precisa dos

dados desse indivíduo para fazer uma avaliação de crédito.

Requisito #6 Exercício regular de direitos em processos

O “exercício regular de direito em processos” também autoriza o tratamento de dados.

Mas, o que é isso? Basicamente, dentro dos processos, as instituições acabam lidando
com dados pessoais de terceiros – seja para quali cação, para indicar bens que um
devedor possua, entre outros. Então a lei já traz essa hipótese, para garantir que, nesses
casos, seja possível tratar dados pessoais.

Requisito #7 Proteção da vida ou incolumidade física

Outra possibilidade é o tratamento de dados para a “proteção da vida ou da

incolumidade física” do titular ou de terceiro.

Por exemplo: imagine que uma pessoa passa mal e precisa ser internada às pressas.
Será necessário manipular seus dados para dar entrada no hospital, contatar seus
parentes, etc.

Requisito #8 Tutela da saúde

“Tutela da saúde” também entra como possibilidade para o tratamento de dados,

quando se tratarem de procedimentos feitos por pro ssionais da área da saúde ou
entidades sanitárias. Exemplos são as pesquisas para combate de epidemia de doenças
como a dengue, estudos e levantamentos sobre questões de saúde, entre outros.

Requisito #9 Atender interesses legítimos do controlador ou terceiro

O “atendimento de interesses legítimos* do controlador ou terceiro” também pode ser

utilizado como fundamento para legitimar o tratamento de dados, quando não
con itarem com direitos ou liberdades fundamentais do titular.

*O interesse legítimo é um termo utilizado no direito brasileiro para outras nalidades,

mas que foi incorporado a essa legislação pois também é usado na GDPR. Em analogia,
podemos dizer que esse termo é bastante genérico e visa ser exível para que a lei não
que defasada rapidamente.

Esse termo não é um carta branca para que empresas façam uso de dados como
quiserem. É, na verdade, para não causar empecilhos para que algumas instituições,
como bancos, que precisam manipular dados para efetuar transações com e ciência.

Um exemplo? No caso de uma transferência de valores de um cliente do banco X para o

banco Y. Se o banco Y precisasse pedir consentimento para o cliente do banco X toda
vez que precisasse efetuar essa operação, isso poderia causar inúmeros transtornos.
A nal, os bancos realizam centenas de milhares de operações bancárias, todos os dias.
O art. 10 disciplina essa matéria.

Requisito #10 Proteção de crédito

Por m, a outra hipótese – e, provavelmente, a mais temida pelos brasileiros – é para
“proteção do crédito”. Como, por exemplo, o envio de informações de um devedor para o
Serasa ou cartórios de protesto de título.

A importância do consentimento

O art.8º da LGPD trata do conceito e exigências relacionadas ao consentimento. São

esses os pontos que, em geral, vão exigir mais atenção dos websites na hora de tratar
dados.

#1 Consentimento por escrito ou outro meio

A primeira exigência é que o consentimento do usuário seja dado por escrito ou por
outro meio. E quando a legislação fala sobre “outro meio”, ela faz referência, também, ao
meio virtual.

Então é importante que empresas que lidam com dados – sejam elas mesmas ou
através de parceiros – tenham meios de comprovar que aquele usuário deu seu
consentimento, autorizando seu compartilhamento de dados, através de um canal de
opt-in, check-box, ok, entre outros.

#2 Ônus da prova

E porque a empresa precisa ter o registro desse consentimento? Porque ela vai ter o
ônus da prova. Ou seja: vai precisar comprovar que teve o consentimento daquela
pessoa para acessar aqueles dados e tratá-los.

Então é sempre importante que os sites contem com ferramentas digitais para
conseguir comprovar que aquela pessoa deu o opt-in para receber informações,
conteúdos e promoções.

#3 Vedado tratamento mediante vício de consentimento

A nova lei veda o tratamento mediante vício de consentimento. Essa exigência tem
relação com o princípio da transparência.

Portanto as empresas não podem, de maneira alguma, induzir a pessoa a erro ou coagir
o usuário para conseguir seus dados, ou seja, a pessoa precisa dar seu consentimento
por livre e espontânea vontade.

#4 Consentimento não genérico e especí co

Também em acordo com o princípio da transparência, outra exigência da LGPD é que o
consentimento não seja apresentado de modo genérico, ou seja, precisa estar bem
especí co com o que a pessoa estará consentindo.

Portanto, uma empresa não pode falar para o visitante do seu site algo como “a partir de
agora você cede os seus dados para que sejam tratados para todos os ns que
considerarmos apropriados”.

É preciso dizer, com clareza, que a empresa terá acesso aos dados para ns especí cos.

Um exemplo? “Vamos pegar os seus dados para poder fornecer ofertas adequadas,
poder te enviar os melhores produtos ou para personalizar a sua navegação no nosso
site”.

#5 Revogação a qualquer momento

A nova lei demanda que, para recolher e tratar dados, as empresas contem com
mecanismos que permitam que seus usuários possam revogar, a qualquer momento, o
seu consentimento para o compartilhamento de dados.

Isso signi ca que, a partir do momento que um usuário decida não mais estar na sua
base, ele tem a garantia de revogar de imediato sua autorização para que esses dados
sejam tratados.

#6 Informar a alteração de informação

Empresas que lidam com dados devem informar seus usuários sempre que houver
qualquer alteração de informação no processo. E isso seja na coleta, tratamento ou
nalidade para o uso dessas informações. É possível, ainda, a revogação do
consentimento no caso de não concordância do titular.

Um exemplo: se sua empresa estava tratando certos dados para nalidade X e, a partir
de agora, deseja tratá-los para outros ns, é preciso conseguir um novo consentimento
do titular dessas informações. E mais, você deve informar que ele ou ela tem o direito
de, a partir de então, não ter mais seus dados tratados por você.

E por que é importante seguir essas exigências?

Porque, caso o contrário, o consentimento pode ser considerado nulo. A lei, inclusive, já
prevê que o consentimento não será válido caso as informações tenham conteúdo
enganoso, abusivo ou ausência de transparência.
Direitos de acesso do titular

O art.9º da LGPD traz para o titular, ainda, os direitos de acesso facilitado às

informações.

Isso signi ca que os Controladores dos dados devem informar os titulares sobre:

 a nalidade especí ca do tratamento dos dados;

a forma e duração do tratamento;
a identi cação do controlador;
as informações de contato do controlador;
as informações acerca do uso compartilhado de dados pelo controlador e a
nalidade do compartilhamento;
as responsabilidades dos agentes que realizarão o tratamento;
e os direitos do titular, com menção explícita aos direitos contidos no art. 18 da Lei.

E como a empresa deve fazer tudo isso? O Processo não é tão simples quanto parece.
Além do aviso de cookies, você pode atualizar sua política de privacidade, criar uma
política de cookies e informar tudo isso ao seu visitante, para iniciar o processo.

Aqui na Social Miner, por exemplo, nós zemos essas alterações no mês de maio de
2018. Além disso, é importante mapear todos os dados que sua empresa coleta de
pessoas e fazer um check-up se todas as exigências da lei estão sendo seguidas.

Tratamento de dados de crianças e adolescentes

Quando falamos de crianças e adolescentes, a lei exige um cuidado maior com

manipulação destes dados. De acordo com o art. 20, para se colher e tratar dados de
crianças, menores de 12 anos, deve-se ter o consentimento de um dos pais ou
responsável legal. Aliás, os dados só podem ser coletados sem consentimento para
contatar os responsáveis.

Além disso, os tipos de dados, a forma como serão utilizados e procedimentos para
exercício de direitos devem ser divulgados; não é permitido se condicionar a coleta
dessas informações com jogos, apps, etc.

Outro ponto importante é que as informações sobre o tratamento dos dados devem ser
claras, de acordo com as características do usuário. Isso quer dizer que, se você está
falando com uma criança, você não pode usar jargões jurídicos ou uma linguagem de
difícil acesso e compreensão, por exemplo.

Posso manter os dados para sempre?

De acordo com o art. 15, o tratamento dos dados precisam ter data marcada para ser
interrompido. O que faz sentido, uma vez que as empresas precisam informar o prazo e
nalidade para manipulação dessas informações.

Portanto o tratamento precisa ser encerrado assim que a nalidade for alcançada ou os
dados não forem mais necessários; assim que alcançar a data limite para o m do
período de tratamento; quando o titular comunicar à empresa que não quer mais que
seus dados sejam tratados; ou se a autoridade nacional determinar esse encerramento.

Por outro lado, o art. 16 da LGPD determina também algumas exceções para que as
empresas possam continuar o tratamento de dados por prazo indeterminado. Por
exemplo, quando o controlador precisa cumprir alguma obrigação legal e, para tal,
precise tratar esses dados; no caso de estudos por órgão de pesquisa, garantida, se
possível, a anonimização; para transferência a terceiros; e para o uso exclusivo do
controlador, desde que os dados sejam anonimizados.

Penalidades – por que é tão importante que a empresa esteja operando

dentro da lei?

Como a gente falou, as novas leis de proteção de dados aparecem para dar mais
segurança para usuários de serviços que envolvem a coleta e processamento de dados.

Para reforçar sua importância, não só como um mecanismo de prezar pela boa relação
entre consumidores e empresas, mas como uma legislação que previne o vazamento de
informações pessoais e repara esses usuários quando são vítimas de dados, a norma
conta com penalidades que podem pesar – e muito – no bolso das empresas.

As empresas que não respeitarem a lei podem:

ter os dados irregulares bloqueados de uso até sua regularização ou eliminação

dos dados a que se referem a infração;
receber multas simples ou diárias de até 2% do faturamento da empresa, limitado a
R$50 milhões por infração;
multa diária, com base na limitação exposta acima;
ter sua infração amplamente divulgada.

Quem vai scalizar a aplicação dessas leis?

O capítulo IX do projeto da lei brasileira determinava a criação de uma autoridade e

agência, especi camente para mediar as relações que envolvam a privacidade e
tratamento de dados. Seria chamada de Autoridade Nacional de Proteção de Dados e
Conselho Nacional de Proteção de Dados.

No entanto, uma vez que a LGPD foi criada pelas casas legislativas e a Constituição
impede que o poder legislativo crie novas leis que causem impacto no orçamento da
União, o presidente Michel Temer vetou esta parte da lei e previu a criação dessa
instituição em paralelo, através da Medida Provisória de nº 869/18.

Checklist para iniciar o processo de compliance com a nova lei

1. Processar o mínimo possível de dados;

2. Armazenar dados num formato que seja difícil identi car os indivíduos;
3. Melhorar a transparência;
4. Autorizar que os visitantes controlem o processamento desses dados;
5. Buscar parceiros em conformidade com a Lei;
6. Armazenar os dados em formato que facilite a portabilidade das informações;
7. Melhorar continuamente a segurança no armazenamento e na transferência de
dados;
8. Usar Relatório de Impacto à Proteção de Dados Pessoais, quando necessário;*
9. Indicar um encarregado pelo cuidado com os dados, que pode ser uma pessoa
física ou jurídica.

* Documentação do controlador que contém a descrição dos processos de tratamento

de dados pessoais que podem gerar riscos aos direitos dos titulares e mecanismos de
mitigação desses riscos.

Conclusão: quando a lei começa a valer e como me preparar

Deu pra ver que, com a nova lei, os direitos do usuários de serviços que exigem o
tratamento de dados estão bem alinhados com uma tendência global, que visa proteger
a privacidade dos cidadãos e garantir que empresas tenham acesso e manipulem o
mínimo possível de informações.

E mais: a legislação reforça a importância de marcas investirem, cada vez mais, no seu
relacionamento com os clientes. A nal, é essa proximidade que vai garantir que a sua
empresa se destaque no mercado, ganhando o consentimento para interagir com seus
consumidores.

A gente sabe que muita coisa na regulamentação pode parecer repetida. Mas, a verdade
é que seus capítulos são complementares. Isso para formar uma legislação robusta e
redonda, que seja efetiva.
A GDPR está valendo desde 25/05/2018, para todas as empresas que tratam de dados
de titulares residentes na Europa. Já a LGPD foi sancionada em 14/08/2018. A partir de
então, as empresas tem 24 meses para se adequarem às determinações a partir desta
data.

E é melhor não deixar para colocar o que determina a lei em prática de última hora. Isso
porque, além de correr o risco de perder um alto investimento em aquisição de leads –
que, caso não estejam de acordo com a lei, podem ser eliminados – sua marca pode,
ainda, ter que arcar com altas penalidades e multas.

Posts relacionados

Responda o quiz e descubra se seu negócio está de acordo com a nova lei de
proteção de dados (LGPD)

People Marketing: como fazer um marketing autêntico, com foco em pessoas

E-book novo na área – O guia das métricas de retenção

On-site Message: o canal que converte até 4x mais

O que é Marketing de Conteúdo e como ele ajuda sua empresa a vender mais?
 E-book dá dicas de engajamento e ensina a calcular resultados

AddThis Sharing Buttons

Share to FacebookShare to WhatsAppShare to TwitterShare to Email AppShare to Mais...

Comments

comments