Home / Lei Geral de Proteção de Dados / LGPD Brasil: entenda a nova lei de proteção de dados.
LGPD Brasil - Lei Geral de Proteção de Dados.
Conheça os detalhes da LGPD Brasil e prepare-se para a lei.

LGPD Brasil: entenda a nova lei de proteção de dados.

Depois de 2 anos no Congresso e uma década de conversas, a LGPD Brasil foi sancionada em agosto de 2018. Com isso, o Projeto de Lei da Câmara 53/2018 deu origem à Lei Nº 13.709/18 – Lei Geral de Proteção de Dados, que altera a Lei nº 12.965/2014 (Marco Civil da Internet). Com o objetivo de regulamentar o tratamento de informações, a legislação brasileira visa assegurar a proteção dos dados dos cidadãos. Para isso, define obrigatoriedades que devem ser cumpridas por empresas e órgãos públicos em âmbito digital e também fora deste.

Centrada no intuito de permitir que os cidadãos tenham mais controle sobre seus dados, a LGPD Brasil foi publicada em 15 de agosto de 2018. A entrada em vigor é prevista em agosto de 2020. Se você já leu que o intervalo de preparação e adequação seria de 18 meses e ficou confuso com os prazos, atenção à Medida Provisória 869/18. De fato, o prazo inicial de vigor era para fevereiro de 2020. Porém, a MP de 27 de dezembro de 2018 estendeu o tempo total para 24 meses. Até a publicação deste texto, a vigência oficial estava mantida para agosto de 2020.

A lei, sancionada pelo presidente Michel Temer, é um reflexo da atenção mundial sobre a gestão da informação. Mundialmente, os assuntos segurança e volume exorbitante de dados são tratados como demandas em ascensão. De um lado, cada vez mais serviços e soluções digitais solucionam o dia a dia com agilidade e eficiência. Do outro, escândalos e vazamentos de dados levantam questionamentos sobre a atuação das corporações. Em meio a tudo isso, a pertinência da legislação e a necessidade de avanço da segurança e da gestão de riscos emergem como majestosamente. E sua empresa neste cenário, está atenta e adequada?

Termos e definições da LGPD Brasil.

Por ser uma lei, é natural que regulação exija o conhecimento de termos específicos. Não é que o mérito tenha relação com juridiquês ou interpretação legal. O ponto aqui é a existência de um vocabulário com terminologias próprias. Portanto, antes de continuar a aprofundar seus estudos sobre a LGPD, confira as principais definições do texto oficial.  

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, religião, política e outros aspectos críticos;
  • Dado anonimizado: dado relativo a titular que não possa ser identificado. Aqui, considera-se a utilização de meios técnicos razoáveis e disponíveis no tratamento;
  • Titular: pessoa natural a quem se referem os dados pessoais;
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • Agentes de tratamento: o controlador e o operador;
  • Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, etc.
  • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
  • Consentimento: manifestação livre pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • Bloqueio: suspensão temporária de qualquer operação de tratamento;
  • Eliminação: exclusão de dado ou de conjunto de dados;
  • Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
  • Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei. Adiante, leia mais sobre ANPD – Autoridade Nacional de Proteção de Dados.
Contexto geral da LGPD Brasil.

Os debates sobre a necessidade de uma regulação para a proteção de dados ocorrem desde 2010. Inspirada na GDPR, General Data Protection Regulation – lei europeia equivalente e antecessora -, a LGPD Brasil acompanha o panorama mundial de segurança e privacidade. Aliás, ao estabelecer uma lei focada na proteção de dados pessoais, o Brasil garante uma posição entre os 120 países que possuem uma regulação para o tema.

Entretanto, é importante ter consciência de que o assunto não é exatamente uma novidade. As questões de segurança e privacidade de dados já são temáticas tratadas pela TI e pela Gestão de Riscos. Além disso, o segmento de Segurança da Informação possui diretrizes, protocolos e certificações que englobam diversos dos fatores observados pela LGPD.

Claramente, a lei é um avanço nacional e um movimento importantíssimo para a imagem global do País. Mas entender que o tema já era tratado com rigor, auxilia no conhecimento de parâmetros que poderão favorecer os processos de adequação e cumprimento da lei. Nos tópicos a seguir, você poderá conhecer a LGPD Brasil em detalhes e também assimilar quais os impactos e as possíveis relações com a legislação.

Para facilitar seu entendimento e mergulho na lei, apresentaremos os aspectos primários em uma estrutura de perguntas e respostas. Aproveite esta etapa da leitura para absorver as informações gerais sobre a Lei Geral de Proteção de Dados.

O que é a LGPD Brasil?

A LGPD é a regulação brasileira sobre tratamento de dados pessoais gerenciados por organizações. Ou seja, a Lei Geral de Proteção de Dados regula a coleta, o armazenamento, o compartilhamento e o uso de dados pessoais.

A quem a LGPD Brasil se aplica?

A legislação abrange os órgãos públicos, todas as empresas estabelecidas em território nacional e também as organizações com sede no exterior. Sobre este terceiro grupo, o parâmetro de inclusão é oferta de serviços ou operações que envolvam dados no Brasil. Sobre a aplicabilidade extraterritorial, há igualdade com a GDPR, que também tem validade global com a proteção aos cidadãos da União Europeia. Inclusive, muitas empresas brasileiras já tiveram que se adequar ao General Data Protection Regulation. Afinal, ela está em vigor desde mais de 2018.

Não há distinção de setor econômico, área de atuação e dimensão da empresa para aplicação da lei. Todas as organizações, das corporações com milhares de colaboradores aos micronegócios, serão afetados pela Lei Geral de Proteção de Dados. O critério de validade da lei é aplicável a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.

Quando a LGPD Brasil não se aplica?

O tratamento de dados pessoais nas condições descritas a seguir NÃO são passíveis de aplicação da Lei Geral de Proteção de Dados.

  • Tratamento realizado por pessoa natural para fins particulares e não econômicos;
  • Tratamento para fins exclusivamente jornalístico, artísticos e acadêmicos.
  • Tratamento para fins exclusivos de segurança pública, de defesa nacional, de segurança do Estado e de atividades de investigação e repressão de infrações penais.
  • Dados provenientes de fora do território nacional e que não sejam objeto de comunicação. Uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência. Para esses, há a ressalva de que o país de proveniência proporcione grau de proteção de dados pessoais adequado.
Quais os fundamentos da LGPD Brasil?

A lei lista sete fundamentos que devem ser respeitados no tratamento de dados:

  1. privacidade;
  2. autodeterminação informativa;
  3. liberdade de expressão, de informação, de comunicação e de opinião;
  4. inviolabilidade da intimidade, da honra e da imagem;
  5. desenvolvimento econômico e tecnológico e a inovação;
  6. livre iniciativa, a livre concorrência e a defesa do consumidor;
  7. direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Quais as obrigatoriedades para o tratamento de dados?

A LGPD Brasil é fortemente pautada no fornecimento de consentimento pelo titular. Isso significa que o tratamento só pode ser realizado com conhecimento e aceite das pessoas naturais. Outras hipóteses que viabilizam o tratamento são: para cumprimento de obrigação pelo controlador; para a execução de políticas pela administração pública; para a realização de estudos por órgão de pesquisa (com anonimização dos dados pessoais); para a execução de contrato; para o exercício regular de direitos em processo judicial, administrativo ou arbitral; para a proteção da vida ou da segurança física do titular ou de terceiro; para a proteção da saúde; quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; para a proteção do crédito.

Em continuidade, é vedado o tratamento de dados pessoais mediante vício de consentimento. Na prática, o consentimento é para finalidades determinadas. Ou seja, não há abertura para autorizações genéricas. Outra obrigatoriedade fundamental no contexto do consentimento é que ele pode ser revogado a qualquer momento. Basta que o titular manifeste este desejo. Para isso, os agentes devem oferecem acesso a procedimento gratuito e facilitado. As organizações também são obrigadas a informar alterações das informações, o que abre precedente para que o consentimento possa ser revogado caso o titular discorde.

Além dos pontos acima, as obrigatoriedades da Lei Geral de Proteção de Dados são conectadas aos princípios da lei (listados a seguir).

Quais os princípios da LGPD Brasil?
  1. Princípio da finalidade. O tratamento de dados deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular. As empresas precisam estar atentas ao fato de que os dados não podem ser tratados posteriormente de forma incompatível com as finalidades.
  2. Princípio da adequação. É exigido que haja compatibilidade do tratamento dos dados com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
  3. Princípio da necessidade. O tratamento é limitado ao mínimo necessário para a realização de suas finalidades.
  4. Princípio do livre acesso. Os agentes devem garantir que os titulares possam consultar facilmente e gratuitamente a forma e a duração do tratamento.
  5. Princípio da qualidade dos dados. A lei afirma que deve ser garantido exatidão, clareza, relevância e atualização dos dados aos titulares.
  6. Princípio da transparência. As informações sobre o tratamento dos dados devem ser claras e acessíveis. Sendo que, há ressalva para observação de segredos comerciais e industriais.
  7. Princípio da segurança. As organizações são obrigadas a utilizarem medidas para a proteção dos dados. Tais medidas devem evitar acessos não autorizados, vazamentos e demais situações acidentais ou ilícitas.
  8. Princípio da prevenção. A adoção de medidas de prevenção também são uma obrigatoriedade da LGPD Brasil. De acordo com este princípio, as empresas devem agir proativamente para evitar a ocorrência de danos e violações.
  9. Princípio da não discriminação. É vetado que o tratamento seja realizado para fins discriminatórios. Por exemplo, usar informações sobre raça ou crença para priorizar e/ou vetar relações com a organização.
  10. Princípio da responsabilização e prestação de contas. A lei determina que os agentes demonstrem a adoção de medidas eficazes e capazes de comprovar o cumprimento e a eficácia dos requisitos de proteção dos dados pessoais.
Princípios da LGPD Brasil e mudança de mindset.

O cumprimento dos princípios da Lei Geral de Proteção de Dados depende de uma importante mudança comportamental. O hábito de acumular dados sem efetivamente uma razão e/ou uso predeterminados será inviável após o vigor da lei. As organizações, sejam elas privadas ou públicas, que arquivam dados pessoais sem finalidades definidas precisarão rever políticas e condutas. Como a LGPD Brasil vincula a coleta e o tratamento de dados pessoais orientados por uma utilidade, não há abertura para o acúmulo indiscriminado de informações.

Em conjunto com a relevância do tratamento e a limitação ao mínimo necessário de dados, há também a mudança de mindset sobre segurança. Os agentes serão oficialmente responsáveis por dados pessoais, incluindo dados sensíveis. Mesmo antes do vigor da lei, esta responsabilização existe como preceito de boas práticas. Porém, a partir de agosto de 2020, falhas de segurança da informação serão passíveis de aplicação das pesadas sanções da LGPD Brasil. Afinal, os agentes de tratamento ficam suscetíveis às sanções e penalidades da Lei Geral de Proteção de Dados.

Quais são as punições previstas?

O descumprimento das regras pode resultar em advertências, multas, bloqueios, suspensões e proibições parciais ou totais do exercício de atividades. Especificamente sobre as multas, que foram recebidas com certo temor pelo mercado, as sanções podem chegar a 2% do faturamento, com um limite de R$ 50 milhões por infração.

Quais as obrigatoriedades para o tratamento de dados de crianças e de adolescentes?

A LGPD Brasil possui uma seção específica para o tratamento de dados de crianças e adolescentes. Entre as principais definições, destaque-se a obrigatoriedade de consentimento por pelo menos um dos pais ou pelo responsável legal. O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.

Outro ponto importante abrange a simplicidade e clareza das informações sobre o tratamento, que devem considerar as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário. Logo, as informações devem ser dispostas com foco no entendimento pelos responsáveis e também pela criança.

Como funciona o término do tratamento de dados na LGPD Brasil?

Certamente, tudo o que você leu até agora já deixou mais do que claro de que os dados não ficarão eternamente sob a posse dos agentes. A LGPD dispõe inúmeras vezes sobre a importância do consentimento e de que ele é finito. Então, se a finalidade para qual o consentimento foi fornecido for concluída, os dados deixaram de ser necessários. O fim do tratamento também deve acontecer quando o prazo acordado for alcançado.

Outras situações que preveem o término do tratamento são:

  • Solicitação do titular de revogação do consentimento, a qualquer momento.
  • Determinação da autoridade nacional, quando houver violação da lei.
  • Cumprimento de obrigação legal ou regulatória pelo controlador.
  • No encerramento de estudo por órgão de pesquisa.
  • Na transferência a terceiro – portabilidade de dados quando consentido pelo titular.
Quais os direitos dos titulares na LGPD Brasil?

O 1° artigo da LGPD afirma que o objetivo da lei é proteger os direitos fundamentais da pessoa natural. Mas quais são exatamente os direitos protegidos na lei? Primeiro, há a definição direta de que toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade. Junto a isso, os titulares são resguardados pelo direito de fazer diversas requisições aos controladores, a qualquer momento. Entre as principais, estão: direito à confirmação da existência de tratamento; acesso, correção e atualização dos dados; anonimização, bloqueio, eliminação e portabilidade; informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; etc.

O que é DPO?

Um dos critérios da LGPD Brasil é a exigência de um profissional exclusivo para a proteção dos dados e responsável pelo cumprimento da nova lei. No texto oficial, este profissional é nomeado de encarregado. “Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD”. No mercado, ele é conhecido como DPO – Data Protection Officer. Para quem enxerga a área como uma oportunidade de profissionalização e/ou transição de carreira, a DARYUS Educação oferece o curso Privacy e Data Protection, requisito para certificação internacional do EXIN.

O que é ANPD?

ANPD é a Autoridade Nacional de Proteção de Dados, órgão central para interpretação e aplicação da LGPD Brasil. A criação desta entidade da administração pública federal foi inclusa na lei através da MP 869/18. Com autonomia técnica, o órgão é composto por Conselho Diretor, Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, órgão de assessoramento jurídico próprio e unidades administrativas e unidades especializadas necessárias à aplicação da lei.   

Em linhas gerais, a ANPD é responsável por zelar pela proteção dos dados pessoais. Em razão disso, a atuação do órgão envolve atividades como: edição de normas e procedimentos, deliberação interpretativa, requisição de informações aos agentes, implantação de mecanismos para o registro de reclamações, entre outros. Obviamente, à ANPD também caberá a fiscalização e aplicação de sanções. Neste âmbito, a entidade também é incumbida de comunicar às autoridades competentes as infrações penais das quais tiver conhecimento e aos órgãos de controle interno o descumprimento da lei pela administração pública federal.

A ANPD também terá atuação direta com os cidadãos. Como difundir o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais está entre as atribuições da ANPD, há a expectativa de disseminação de conhecimento e relação com a opinião pública. Existem mais atribuições e detalhes sobre a ANPD, que podem ser lidos no texto oficial da Lei Nº 13.709, mas apenas complementando, vale pontuar que ela irá articular sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos relacionados à proteção de dados pessoais.

Como deve ser a notificação de incidentes na LGPD Brasil?

Em segurança da informação, não existem garantias absolutas de que sistemas, ambientes e seus dados estejam totalmente seguros. Mesmo que todos os procedimentos sejam adequadamente realizados, incidentes sempre acontecerão. Portanto, mesmo com todas as medidas e precauções, a possibilidade de incidentes faz parte da rotina das organizações. A ciência desta realidade faz com que as avaliações de riscos incluam processos de detecção e tratativa de incidentes. Tais pontos são importantes no estabelecimento de um Sistema de Gestão de Segurança da Informação eficaz. Certificações profissionais que abordam gestão de segurança da informação, gestão de incidentes, proteção de dados e privacidade, podem colaborar significativamente na adequação da organização junto à LGPD.

Práticas de governança, gestão de riscos e compliance, apoiadas por processos de resposta a incidentes eficazes, representam boas práticas de segurança da informação, também claramente utilizadas no texto da lei, como você lê abaixo:

  • Obrigatoriedade de comunicação à ANPD e ao titular sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante.
  • Exigência de comunicação em prazo razoável, conforme definido pela ANPD. Aqui, cabe uma ressalva. Não há definição clara sobre o prazo na LGPD. Diferente do que acontece na lei europeia, na qual a nacional é balizada. Para seu conhecimento, na GDPR, o prazo é de 72 horas.
  • No comunicado, deve constar descrição dos dados pessoais afetados, informações sobre os titulares envolvidos, medidas técnicas e de segurança utilizadas para a proteção dos dados – observados os segredos comercial e industrial -, riscos relacionados ao incidente; medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. E mais, no caso de comunicação não imediata, é preciso informar os motivos da demora, no caso de a comunicação não ter sido imediata.
Qual a relação entre LGPD Brasil e GDPR?

Falar sobre LGPD e não abordar GDPR é praticamente inviável. Entender a relação entre as leis é importante para assimilar o contexto global. Resumidamente, GDPR é uma lei europeia de proteção de dados. Em inglês, General Data Protection Regulation. Em português, Regulamento Geral de Proteção de Dados. Esta legislação da União Europeia (UE) foi proposta em 2012, aprovada em abril de 2016 e está em vigor desde 25 de maio de 2018.

Anteriormente, o tema era centrado na Diretiva 95/46/CE e outras complementares. Mesmo não sendo a primeira do tipo, a GDPR é vista como pioneira no mercado e impulsionou uma onda de regulações. Tanto que, a lei europeia é fortemente associada à aceleração do processo da LGPD. Impulso este que não foi apenas inspiracional, visto que a GDPR também tem validade fora da União Europeia. Ou seja, todas as empresas do mundo que tratam dados de europeus, incluindo as brasileiras, são obrigadas a cumpri-la.  

Outra conexão direta é a necessidade de uma lei no Brasil para aprovação de relações com a EU. Isso acontece porque a lei europeia proíbe a transferência de dados para um País terceiro sem leis adequadas. Então, a Comissão Europeia avalia os países com leis de proteção de dados e lista-os como satisfatórios. Outros pontos comuns são:

  • Obrigatoriedade de consentimento e notificação de falhas;
  • Direito dos titulares ao acesso e correção dos dados;
  • Direito ao pedido de cancelamento do consentimento e eliminação dos dados;
  • Altas sanções. Na LGPD, de até 2% do faturamento da pessoa jurídica em seu último exercício, limitada aos R$ 50 milhões por infração. Na GDPR, de até 4% do volume de negócios global da empresa ou 20 milhões de euros (o que for maior).

Para ver mais comparações, leia sobre Lei GDPR e LGPD.

LGPD Brasil e GRC – Governança, Riscos e Compliance.

Como adiantado na introdução, a Lei Geral de Proteção de Dados tem vários pontos de conexão com a Segurança da Informação. Por conseguinte, é impossível falar sobre segurança e privacidade sem pensar em GRC – Governança, Riscos e Compliance. Muitos processos destas áreas vão exatamente de encontro aos requisitos da regulação. Por exemplo, a ANPD e demais órgãos do Sistema Nacional de Proteção do Consumidor poderão solicitar ao controlador um relatório de impacto à proteção de dados pessoais. Aferições como esta são cotidianas nas avaliações de impactos e levantamento de riscos.

Mais diretamente, é prevista a adoção das medidas de segurança da informação. Como o objetivo é a proteção de dados, itens como controle de acessos e mitigação de incidentes são primordiais. Tanto na fase de adequação à lei quanto no período de vigência após agosto de 2020, as empresas têm muito a absorver das boas práticas e de governança. Práticas de GRC (Governança, Riscos e Compliance) estabelecem procedimentos, normas e ações para o tratamento seguro e adequado de dados, logo a correspondência é amplamente vantajosa.

Ainda sobre os protocolos de Governança, Riscos e Compliance, a combinação com a LGPD se dá pelas certificações e padronizações favoráveis. Um dos melhores exemplos é a ISO 27001, que padroniza sistemas de gestão da segurança da informação. A norma internacional discorre sobre implantação, operação, monitoramento, análise, manutenção e melhoria da segurança. Claramente, critérios sinérgicos às demandas de adequação à LGPD. Para entender mais sobre como essas relações são viáveis e benéficas, confira um infográfico que mostra como a  ISO 27001 pode auxiliar na adequação à GDPR.

LGPD Brasil e security by design.

A relação entre GRC e LGPD tem outro ponto de contato importante: security by design. O conceito que ganhou muita força nos últimos anos, tende a ser exponencialmente expandido pela necessidade de adequação à lei. Abordar segurança, proteção de dados e privacidade desde a concepção do produto ou sistema é uma necessidade pulsante. Aliás, o conceito também pode ser visto como privacy by design. Mesmo tendo pontos focais diferentes – segurança no primeiro e privacidade no segundo – ambos reforçam a pertinência de incorporar tais critérios às estruturas primárias dos processos. Com proteção de dados desde a arquitetura, atender à lei torna-se algo natural e rumo à melhoria contínua.

LGPD Brasil e impactos para o Marketing.

Além da relação clara com Tecnologia da Informação, Gestão de Riscos e Cibersegurança, a nova lei também resvala em outras áreas corporativas. Uma esfera bastante impactada pela Lei Geral de Proteção de Dados é o Marketing. As disposições sobre tratamento de dados pessoais interagem diretamente com estratégias como captação de leads e fluxos de Inbound. Portanto, as empresas precisam priorizar a adequação às exigências da regulação para que os dados de clientes e potenciais consumidores possam ser corretamente usados para fins de comunicação e fidelização.

A expectativa é de que as empresas continuem a usar dados em suas estratégias e operações de Marketing. Porém, a diferença principal é que será necessário buscar métodos alinhados às obrigatoriedades da lei. Para os mais pessimistas, é pouquíssimo provável que Big Data e suas derivações e aplicações sejam eliminados da rotina do Marketing. Mesmo que a lei demande mudanças operacionais e a revisão de critérios de Planejamento Digital, o momento não é apocalíptico. Isso posto, novas dinâmicas precisarão ser criadas e implementadas para adequação da área à LGPD. Mas isso também representa oportunidades de evolução dos compromissos de transparência. Junto a isso, também amplia a entrega de valor que permeia as práticas atuais de comunicação.

Para facilitar a compreensão desta relação, confira o exemplo. De acordo com o que exige a lei, a coleta de dados pessoais de um lead demandará consentimento explícito. Como resultado, os usuários precisarão ser informados sobre a finalidade do uso de seus dados e deverão expressar o consentimento. Para que sua empresa possa enviar um e-mail como promoções de datas comerciais aos usuários, será preciso que eles deem aceite para este tipo de contato. Importante: como você leu nas obrigatoriedades, autorizações genéricas não são permitidas. Excluindo assim, opt-ins automáticos e seleções pré-marcadas.

Impactos corporativos da LGPD Brasil.

Os dois subtítulos acima dão um norte de como a lei traz obrigações e desafios para as empresas. Com o intuito de aumentar a proteção de dados e garantir o direito à privacidade, a LGPD reflete diretamente nas dinâmicas do universo corporativo. Mesmo antes da Era do Big Data, as empresas já manuseavam informações pessoais de clientes, funcionários, parceiros, fornecedores, etc. Entretanto, com a Era da Informação, este cenário sofreu um aumento exponencial no volume de dados e também nas possibilidades e oportunidades de uso.

Atualmente, negócios de todos os tamanhos têm a informação com um valioso ativo. Paralelamente, muitas dessas informações são os ativos mais valiosos de seus titulares. Usar tais dados para oferecer produtos e serviços com assertividade, criar campanhas de relacionamento ou ter um controle preciso das características de quem compõe a folha de pagamento possui relevância inquestionável. Complementarmente, as vantagens da gestão da informação não são apenas vantajosas para os negócios, pois os usuários também se beneficiam. A simplicidade de realizar uma compra em minutos através de dados salvos. A comodidade de receber conteúdo de interesse. A segurança de ter as coberturas trabalhistas mensalmente realizadas adequadamente. Enfim, não há dúvidas sobre o uso útil do dado nas organizações.

Além dos exemplos acima, a combinação de Big Data com Inteligência Artificial amplifica a importância do devido uso de dados pessoais e sensíveis. A promessa de avanços das análises preditivas e do amplo leque de aplicabilidades da ciência dos dados é promissora. Análises comportamentais robustas, gestão estratégica de migalhas digitais, uso de modelos de dados são exemplos de uma lista que aumenta todos os dias. É importante observar que a LGPD Brasil não anula o uso inteligente dos dados. Pelo contrário, ao instituir esferas de segurança e privacidade, a lei favorece a maturidade do mercado de tecnologia.

LGPD, Big Data e Analytics?

As empresas poderão manter e utilizar conceitos e ferramentas de Big Data e Analytics. Da mesma forma, os clientes continuarão se beneficiando de serviços automatizados e da eficiência e agilidade providas por estas tecnologias. O cuidado estará em respeitar as obrigatoriedades, que resguardam os titulares e propiciam a evolução da segurança da informação dos negócios. Como um dos principais dispositivos da Lei Nº 13.709/18 é a obrigatoriedade de consentimento, as relações irão progredir em transparência e no foco de oferta real de valor.

O Relatório de Impacto à Proteção de Dados Pessoais, que poderá ser solicitado a qualquer momento pela ANPD, será uma forma de visualizar como as empresas usam os dados pessoais em suas estratégias. O documento deverá conter os processos de tratamento, assim como as medidas, procedimentos e métodos de mitigação de riscos. Logo, será de grande valia para todos os envolvidos.

É fato determinado que a Lei Geral de Proteção de Dados impactará corporações que, em qualquer nível ou formato, tratam dados pessoais. Portanto, também é fato que estas empresas precisam prestar atenção e se adequarem dentro do prazo. É perceptível que aqueles negócios que apoiam seus serviços em Big Data e Analytics, ou que fazem amplo uso da ciência de dados, terão mais demandas e desafios no processo de preparação. Afinal, os cenários com alto nível de interação tecnológica são também aqueles com alto volume de dados e operações.

Quais as projeções para LGPD e Big Data?

Para o futuro, as projeções são de aplicação de dados em cada vez mais empresas. Apesar da Revolução Digital ter provocado mudanças significativas nas últimas décadas, ainda há muito espaço para que a evolução continue em saltos extraordinários. Dependendo do seu repertório e área de atuação, talvez pareça que os avanços já atingiram seu platô. Porém, as promessas são de intervalos ainda menores para que novas soluções impactem o mercado e nosso cotidiano. Consequentemente, a tendência é que a LGPD Brasil também avance em relevância.

Todos os novos negócios e/ou novos projetos que envolvam tratamento de dados pessoais precisarão ser arquitetados adequadamente. Portanto, a movimentação que vemos hoje na etapa de preparação para a vigência da lei tende a ser somente o começo de um processo muito mais amplo. Quanto mais complexa, robusta e completa é a tecnologia, mais camadas, mais processos e mais exigências. Junto a isso, é bastante comum que os avanços aconteçam em segmentos que necessitem de dados pessoais.

Uma análise rápida das empresas consideradas unicórnio, deixa cristalina a relação entre inovação, avanço e dados. Startups unicórnio, ou simplesmente unicórnio, são empresas cuja avaliação de preço no mercado supera US$ 1 bilhão. Basta olhar para negócios como Google, Uber e Facebook – 3 grandes unicórnios – para perceber a relação entre dados e disrupção.

LGPD Brasil e suporte especializado.

No geral, os critérios de consentimento e utilidade são bases cruciais para não descumprir a lei. Assim sendo, se o seu negócio usa táticas escusas, as implicações legais se tornarão um desafio significativo e permanente com a vigência da lei. Compra ou o uso não autorizado de mailings e ausência de controle sobre a gestão de dados pessoais dos públicos internos e externos deverão ser evitados. Em outras palavras, se sua empresa acredita que gestão de riscos é exclusividade de grandes empresas, podem existir problemas.

Adequar-se dentro do prazo e gerenciar o negócio em conformidade com aquilo que a LGPD Brasil exige é complexo, mas viável e alcançável. Para isso, contar com um parceiro especializado pode auxiliar na transição e na continuidade de uma gestão apropriada. Se sua empresa necessita de suporte, a DARYUS Consultoria possui expertise e experiência em Segurança da Informação, Governança e Gestão de Risco. Atributos mais do que oportunos para o contexto atual e as projeções da Lei Geral de Proteção de Dados.

Confira tambem

O que muda com a Nova Lei de Proteção de Dados

O que muda com a Nova Lei de Proteção de Dados?

A LGPD – Nova Lei de Proteção de Dados é um marco para a cibersegurança …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *