A Lei Geral de Proteção de Dados, LGPD (Lei Nº 13.709, de 14 de agosto de 2018), foi sancionada durante o governo Temer e criou uma série de diretrizes sobre coleta, transmissão, utilização e exclusão de dados obtidos através de formulários de qualquer tipo, principalmente na internet. Ela basicamente regulamenta o tratamento dado às informações dos usuários.
A partir de agosto de 2020, todas as empresas, independente do porte, deverão se adequar às regras, tendo até dois anos para estar de acordo com a legislação. As sanções que a lei aplica em caso de descumprimento ou vazamento compreendem multas que podem chegar a 2% do faturamento.
Por que a LGPD foi criada?
Aqui no Brasil, a legislação foi apressada por acontecimentos nos Estados Unidos.
Imagine descobrir que dados que você forneceu para um teste psicológico de uma instituição renomada foram utilizados para propagandas eleitorais? O professor de Cambridge Aleksandr Kogan utilizou o Facebook para coletar dados de milhões de pessoas. Utilizando uma brecha nos termos e condições da rede social, que não restringia a venda de informações obtidas através de recursos da própria plataforma, ele vendeu dados como nome, endereço, email, e vários hábitos que traçavam perfis comportamentais para a Cambridge Analytica.
Com os dados em mãos, a empresa contratada pelo então candidato à presidência Donald Trump conseguia traçar perfis de possíveis eleitores e direcionar a sua propaganda, baseada em sua maioria em fake news para convencer os eleitores indecisos.
Apesar dos usuários terem consentido o compartilhamento daqueles dados ao aceitarem os termos e condições não havia uma transparência de como eles seriam utilizados.
Como resultado, Mark Zuckerberg teve que prestar esclarecimentos à Justiça e foi condenado a pagar uma multa de US$ 5 bilhões, além do cumprimento de outras obrigações durante 20 anos.
Alguns conceitos
Para o melhor entendimento, a Lei traz algumas definições iniciais:
· Dado pessoal é qualquer informação relativa a pessoa “identificada ou identificável”
· Dado pessoal sensível é informação relativa a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, saúde, vida sexual ou dado genético ou biométrico
· Dado anonimizado é relativo a um titular que não possa ser identificado
· Banco de dados é o conjunto estruturado de informações pessoais
· Titular é a pessoa a quem se referem os dados
· Controlador é a pessoa responsável por tomar as decisões referentes a tratamento de dados
· Operador é quem executa o tratamento em nome do controlador
· Encarregado é a pessoa responsável pela comunicação entre as três partes: o controlador e o operador (empresa), o titular e a Autoridade Nacional de Proteção de Dados
· Consentimento é a manifestação livre pela qual o titular permite o uso dos dados (o ônus da prova cabe ao controlador)
· Relatório de impacto à proteção de dados pessoais é a documentação do controlador descrevendo o processo de tratamento dos dados que podem gerar risco às liberdades civis.
Só consentimento não é o suficiente
Como foi dito, o escândalo do Facebook não se deu pela falta de consentimento e sim pela falta de transparência sobre o uso dos dados.
A LGPD proíbe qualquer uso dos dados do seu cliente que não foi acordado no momento da coleta, independente dela ter ocorrido dentro da própria empresa.
Caso a empresa utilize os dados cadastrais dos seus clientes para envio de ofertas, por exemplo, o usuário precisa ter concordado com esse uso no momento em que realizou o cadastro.
Outras práticas como ceder ou vender bases de dados de potenciais clientes para divulgações por telemarketing ficam expressamente proibidas.
A fiscalização será feita pela Autoridade Nacional de Proteção de Dados (ANPD), subordinada diretamente à Presidência nos primeiros dois anos após a implementação e depois, será transformada numa autarquia, com independência de atuação.
Como adequar minha empresa?
Primeiramente, é necessário fazer um diagnóstico da sua empresa. Saber os caminhos que as informações que os seus clientes forneceram percorrem dentro dela e verificar se eles estão alinhados com a LGPD.
É importante também ser transparente com o seu cliente, mantendo-o informado de todas as ações que serão realizadas utilizando as informações cedidas, e saber que você pode ser questionado por ele a qualquer momento sobre este uso.
A LGPD nada mais é do que uma forma de proteger o usuário para que seus dados não sejam utilizados de maneira indevida. Entendê-la sob a ótica do cliente não apenas facilita o seu cumprimento, como estabelece uma relação de confiança com ele.
No nosso post sobre as segmentações automáticas tratamos a forma como os usuários estão se tornando mais exigentes com o uso de seus dados e tendem a confiar menos em empresas interagindo excessivamente e baseando-se em dados os quais não se recordam terem compartilhado.
Você pode acessar a LGPD aqui.
O site da Lei apresenta explicações completas e didáticas, e pode ser acessado aqui.
Baixe o folder da LGPD disponível gratuitamente aqui.