Eu sei que você já ouviu a frase “preenche aqui com seu RG, CPF, telefone e endereço”. Já parou pra pensar em como essas informações são valiosas? Não são só números, são indicadores universais que apontam pra você. São dados tão importantes que em setembro de 2018 entrou em vigor a Lei Geral de Proteção de Dados Pessoais, conhecida como a Lei LGPD.
É engraçado ver que as pessoas se estressam quando as empresas de telemarketing ligam pra elas o dia inteiro, mas não se incomodam com o fato de a pessoa do outro lado da linha saber, além do seu telefone, o seu nome completo, o RG e o endereço.
Tem gente que até fala que “essas companhias têm um banco de dados enorme, com dados de pessoas do Brasil inteiro”. Como é que isso não soa assustador? Se você não compartilhou essas informações com quem está te ligando, como é que eles sabem?
Quando te ligam oferecendo coisas, menos mal. Mas se suas informações chegaram a empresas que você nunca ouviu falar, surge a dúvida: quem mais teve acesso aos seus dados? O que podem fazer?
Neste artigo, a gente vai falar como a Lei LGPD te protege de compartilhamentos indevidos.
O que é a Lei Geral de Proteção de Dados
A Lei LGPD é uma medida que visa garantir a segurança, proteção e sigilo de informações pessoais. Assim, toda empresa que faz essa coleta precisa seguir algumas normas que garantam a privacidade da pessoa a quem os dados pessoais se referem (e pertencem).
Estamos falando de números de documentos, endereços (físicos e de e-mails), informações profissionais ou os mais sensíveis — como biometria, filiação política, origem racial e étnica etc.
O Ministério Público Federal defende que uma padronização na maneira como elas são usadas por quem as pede (falaremos sobre isso daqui a pouco) promove “a proteção aos dados pessoais de todo cidadão que esteja no Brasil”.
O Artigo 3º diz que a lei também abrange estrangeiros presentes em território brasileiro, mesmo que a empresa que coletou os dados não atue no Brasil e não tenha servidores ou bancos de dados aqui. Ou seja, o parâmetro da LGPD é o indivíduo, não as companhias.
Objetivo da Lei LGPD
A gente não vai ficar falando juridiquês aqui, até porque isso só complica as coisas (e basta olhar pro nosso nome e ver que a gente quer justamente o contrário).
Mas permita-me explicar pra que serve a LGPD a partir de seus fundamentos, mostrados nos itens do Artigo 2º:
- Respeito à privacidade;
- A autodeterminação informativa;
- A liberdade de expressão, de informação, de comunicação e de opinião;
- A inviolabilidade da intimidade, da honra e da imagem;
- O desenvolvimento econômico e tecnológico e a inovação;
- A livre iniciativa, a livre concorrência e a defesa do consumidor; e
- Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A lei LGPD parte desses princípios pra devolver aos cidadãos o controle de todas as suas informações pessoais coletadas pelas empresas.
Todas as pessoas precisam saber que os seus dados são individuais e intransferíveis, ou seja, são seus independentemente de quem os conheça.
Talvez você se pergunte “mas por qual motivo eu daria essas informações assim, de mão beijada?” ou então “como é que meus dados vão parar nas mãos dessas organizações?”. É sobre isso nosso próximo tópico.
Como essas informações são coletadas
A gente vive na era da informação, de modo que os dados são o principal ativo das empresas. Por isso, vemos melhorias constantes nas tecnologias de Bancos de Dados, computação em nuvem e Big Data.
Com o avanço da IoT (internet das coisas), que disponibiliza cada vez mais periféricos conectados que nos dão mais comodidade e segurança, vários desses periféricos solicitam nossos dados.
Mas não é só ela (a IoT). As redes sociais e aplicativos de celular, por exemplo, são outra frente dessa “coleta” de informações pessoais.
Isso porque, quando uma empresa conhece melhor o cliente/usuário, pode mostrar anúncios personalizados pra aumentar a taxa de cliques
Por exemplo: um consultório de estética especializado em peles negras não quer que o Facebook mostre seus anúncios pra pessoas brancas. O mesmo pra lojas de roupas masculinas, que não querem anunciar pra mulheres.
Com a internet (e o acesso aos dados), surgiu o Marketing Estratégico, que permite fazer campanhas exclusivamente pro público-alvo.
Assim, acaba sendo bem mais barato do que anunciar pra todo mundo e torcer pela sorte de bastante gente se identificar. Percebe a importância de informações pessoais?
Ainda têm os formulários online, que a gente preenche em pesquisas, compras no e-commerce, inscrições em eventos ou pra receber um e-book “gratuito”.
Formulários Físicos
Não pense que a única maneira de obter dados pessoais é online. Sabe quando você está caminhando e alguém te para, diz que está fazendo uma pesquisa, faz algumas perguntas e pede alguns dados? Você tem todo o direito de perguntar o porquê.
Outra situação é quando você está saindo de um estabelecimento quando um dos funcionários pede pra preencher uma pesquisa de satisfação. Você para e pensa “o feedback é a melhor forma de aperfeiçoar um serviço, ou seja, eles querem dar a melhor experiência aos clientes. Vou responder”.
Não há problema algum, pois realmente uma das formas de descobrir como agradar um cliente é perguntando (e ouvindo o que não o agrada). Mas ao olhar o formulário, você vê os campos “nome, telefone e e-mail”. Opa, precisa realmente disso pra saber sua opinião?
Precisar não precisa, porém, é uma estratégia pra, além de colher seu feedback, pegar seus dados pro envio de ofertas e promoções. É o Marketing, gente.
Mas como é que você sabe se eles não vão usar seus dados pra outra coisa? Perguntando. A Lei LGPD obriga as empresas a serem transparentes, independentemente se usam formulários digitais ou físicos.
“Consentimento” é a palavra mais importante para a Lei LGPD
O uso de dados pessoais é benéfico quando aplicado corretamente. Toda essa preocupação era por não saber como as empresas gerenciavam tudo.
Agora, essa questão foi resolvida: elas devem deixar explícito por que querem os dados “x”, “y” e “z” e como vão usá-los.
Todo site que você entra pela primeira vez te mostra um aviso sobre “cookies”. Grosso modo, cookies são rastros digitais que você deixa pela internet. Por isso, as empresas sabem que você não só acessou uma loja virtual como adicionou produtos ao carrinho de compras e não concluiu o pagamento.
Mas só deixar aquele aviso no rodapé não significa que seus dados estão seguros. Por isso, a Lei LGPD determina que o site explique exatamente o que vai fazer com suas informações, e isso deve ser facilmente acessado por qualquer pessoa. Nada de letrinhas miúdas.
Você leu e se sentiu à vontade? Prossiga, preencha seus dados. Esse é o primeiro nível de consentimento.
O segundo nível é quando as políticas da empresa mudam, afetando a maneira como ela mexe com suas informações. Você precisa ser notificado. Então, se não gostar da nova proposta, é só solicitar a remoção de todos os seus dados. Simples assim? Tem que ser. Agora é lei.
“E se me enganarem?”
Apenas dar às pessoas uma sensação de controle pra sair bonito na foto não é suficiente. Por isso, mesmo que você tenha concordado com as políticas de uma empresa, seu consentimento pode ser anulado se comprovarem que não foram transparentes com você.
Tudo bem que, normalmente, a gente só percebe o tamanho do estrago quando ele acontece, mas caso você entre numa disputa judicial com a outra parte, saiba que a lei te ampara.
O problema é que quando a situação chega a esse ponto, o nível de estresse é absurdo, podendo causar problemas à sua saúde mental.
Por isso, nasceu a Autoridade Nacional de Proteção de Dados Pessoais — ANPD, em 2019. É um órgão da administração pública federal que fiscaliza o que as organizações andam fazendo com as suas informações. A gente vai falar sobre ela agora.
Fiscalização na Lei LGPD
Seu fornecimento consentido de informações pra determinada empresa não te obriga a ligar ou mandar e-mail todos os meses perguntando “e aí, como vocês estão guardando meus dados?”.
Quem se encarrega de acompanhar de pertinho é a ANPD. Mas, calma aí! É um órgão só pra acompanhar milhões de empresas brasileiras? Sim.
Com essa demanda gigantesca e impossível de acompanhar, a lei LGPD exige que todas as empresas tenham um cargo especificamente pra prestar contas à ANPD: é o Data Protection Officer, ou DPO.
Porém, como tudo ainda é muito novo, não existe um pré-requisito pra pessoa ocupar esse cargo, mas convenhamos: ela precisa ser, no mínimo, especialista em Segurança da Informação.
O DPO deve estar à disposição da ANPD pra consultas, contribuir com investigações e, ocasionalmente, elaborar relatórios que atestem a integridade dos dados de terceiros que a empresa trabalha.
A Lei LGPD já está em vigor?
A Lei Geral de Proteção de Dados foi aprovada em 2018 e sancionada em 2020. Mas só a partir de agosto de 2021 as punições passaram a ser aplicadas. As multas podem chegar a R$ 50 milhões.
Tá certo que essa Lei já passou por alguns adiamentos, inclusive alguns especialistas ouvidos pelo G1 falaram que as próprias sanções podem demorar pra acontecerem de verdade, apesar de já liberadas. O motivo é que o documento que define o cálculo da multa até o momento não foi publicado.
A expectativa é que haja um processo de adaptação e a ANPD, num primeiro momento, dê apenas advertências. De qualquer modo, a Lei já está em vigor e já passou da hora de as empresas que coletam dados pessoais se adaptarem.
Para quem vai o dinheiro da multa da Lei LGPD?
Você estava cadastrado em um site e soube pela mídia que houve um vazamento em massa. Então, automaticamente eles te devem uma indenização? Negativo.
A empresa será multada sim, porém o dinheiro vai pro FDD, que é o Fundo de Defesa de Direitos Difusos.
Pouca gente o conhece, mas ele é vinculado ao Ministério da Justiça e Segurança Pública e à Secretaria Nacional do Consumidor. Seu objetivo é “a defesa e a recomposição de danos causados a direitos difusos e coletivos nela elencados”, como definem.
O FDD, além de financiar projetos de reparação ao meio ambiente, ao patrimônio histórico, à ordem econômica e outros setores, busca reparar prejuízos a pessoas cujas informações vazaram, foram compartilhadas sem autorização ou algo do tipo que tenha prejudicado o titular.
“Disque Denúncia”
Se você acredita que seus dados foram utilizados de maneira incorreta, tentou contato com o DPO da organização e não foi ouvido ou não obteve uma resposta satisfatória, pode apelar à ANPD.
Basta clicar no botão “denúncia” no final desta página, que é da Autoridade, e seguir as orientações.
Como as empresas devem se adaptar à Lei LGPD
Toda organização precisa entender, de verdade, que não pode mais colocar um formulário no site e fim de papo. Seus parceiros comerciais, que gerenciam e guardam as informações de quem preenche o formulário, precisam estar de acordo com a Lei LGPD.
Uma campanha de obtenção de Leads (contatos de potenciais clientes) bem executada gera um volume massivo de dados, e seu gerenciamento pode ser complicado. Por isso, muitas empresas terceirizam esse trabalho. É essa empresa contratada que deve estar adequada à nova lei.
Isso não isenta a companhia que terceirizou em caso de vazamento de dados. Portanto, empresários, muito cuidado na hora de escolher a quem vão confiar esse trabalho, pois é de muitíssima importância.
Mas há quem escolha armazenar e cuidar internamente das informações. Nesse caso, o DPO deve ter atenção dobrada.
Esse profissional se responsabiliza pela privacidade de todos que estão ligados à empresa (funcionários, clientes e prestadores de serviços). Ou seja, ele não pode terceirizar a culpa em caso de invasões e utilizações indevidas.
E quanto às pequenas empresas?
O pequeno empreendedor nem sempre tem o respaldo jurídico necessário. Então o Sebrae se encarregou de ampará-los.
“Em março de 2021, tivemos a iniciativa de contribuir com uma proposta de adequação da Lei Geral de Proteção de Dados Pessoais — LGPD à realidade das micro e pequenas empresas, agregando sugestões das entidades parceiras” — propõe o Sebrae.
A orientação que a gente dá pra pequenos comerciantes que coletam dados de terceiros é que os administrem corretamente: elejam um bom DPO e terceirizem o armazenamento se não puderem garantir a segurança das informações.
Outra recomendação é deixar claro como o dono das informações faz a solicitação pra excluí-las. O número pra ligar, o endereço de e-mail que precisam enviar, o sinal de fumaça… O que for!
Mostre que sua empresa é prestativa e que cuida dos dados da forma correta.
Outras Orientações
Veja outras orientações pras empresas lidarem com os dados de clientes, funcionários, PJ e parceiros de negócios:
- Auditoria: observar o Artigo 5º pra saber como a Lei trata os objetos que a compõem e fazer uma ligação com os dados que a empresa administra;
- Gestão do consentimento: a pessoa proprietária dos dados deve concordar com o fornecimento das informações. Além disso, a revogação do consentimento deve ser simples e rápida;
- Término de tratamento: quando alguém solicitar a remoção de seus dados pessoais, a empresa deve, após comprovar a conservação das informações, elaborar documentos que atestem a remoção de todos os bancos de dados e servidores;
- Segurança dos dados: adoção de medidas de segurança pra impedir acessos inadequados e, claro, vazamento das informações;
- Cargo de DPO: garantir que a pessoa que ocupa o cargo de DPO tem o conhecimento necessário pra garantir a segurança dos dados;
- Implementação na Cultura Organizacional: todos os funcionários, inclusive cargos da diretoria, precisam entender verdadeiramente a importância dessas informações e todas as questões relacionadas ao cuidado delas;
- Prestatividade à ANPD: além de enviar relatórios ao órgão, a empresa deve contribuir com investigações;
- Plano de comunicação: caso aconteça um vazamento ou violação de segurança dos dados, a empresa deve informar à ANPD e à imprensa. Tentar encobrir só vai piorar as coisas e colocar a confiança dos clientes em jogo.
Profissionais de TI recomendados
Como a gente falou, ainda não existem requisitos pra uma pessoa ocupar o cargo de DPO. Mas como se trata de uma posição relacionada ao sigilo das informações, o profissional deve ser da área de TI.
Então separamos algumas opções de cursos de graduação pra exercer a profissão. Confira.
Sistemas de Informação
O profissional em Sistemas de Informação é apto a gerenciar o fluxo de informações que passam pela rede de computadores da empresa. Portanto, faz parte de suas tarefas garantir que a empresa possa trabalhar com todos os dados que possui.
Assim, medidas de segurança, como backups ou mudança de servidor, e outras rotinas administrativas não podem ser um problema. Da mesma forma, a consulta dos dados deve ser rápida e descomplicada, ou seja, o sistema não pode apresentar gargalos ou qualquer empecilho.
Sistemas para Internet
No começo deste artigo a gente falou sobre IoT, se lembra? A expansão da internet possibilita o surgimento de novos aparelhos que vão além do conceito de “comunicação por meio de uma tela”.
O curso tecnólogo em Sistemas para Internet prepara a pessoa pra criar sistemas de inteligência artificial, de computação em nuvem e, pra não estender, da internet em geral.
Isso se aplica ao DPO porque muitas empresas têm servidores totalmente na nuvem. O acesso aos dados, portanto, pode ser desenvolvido por uma pessoa especialista em Sistemas para Internet.
Ela configura e instala páginas pra internet e intranet, de modo que — por exemplo — a remoção dos dados de alguém possa ser feita pelo próprio titular.
Possibilitar que o próprio cliente remova seus dados sem precisar entrar em contato com a empresa é melhor pros dos lados: ele sente que não perdeu tempo e a empresa não precisou atribuir a tarefa a nenhum departamento ou encarregado. A experiência, portanto, fica mais fluida.
Computação em Nuvem
Como acabamos de falar, os sistemas e dados em nuvem estão crescendo. Tá todo mundo correndo pra ela por causa das facilidades de acesso, implementação e manutenção de sistemas e dados.
Um DPO tecnólogo em Computação em Nuvem atende a essa demanda e contribui pra adequação da empresa à Lei LGPD.
Então é fundamental o conhecimento técnico, mas também a capacidade estratégica e inovadora.
O novo padrão computacional ainda está se formando, então o DPO deve planejar a migração aos serviços de nuvem e interligar todos os setores da empresa pra que contribuam à nova cultura implementada.
Análise e Desenvolvimento de Sistemas
O resumo do curso de Análise e Desenvolvimento de Sistemas do Descomplica reflete bem o que se espera desse profissional no contexto da Lei LGPD. “Profissionais que integrem os fatores técnicos e práticos de forma inovadora e utilizem seu conhecimento especializado para promover a melhor experiência aos clientes e usuários”.
Não basta só saber criar um sistema. Ele deve trazer a solução requerida no contexto da LGPD, ou seja, tanto a empresa como o titular dos dados precisam ter uma boa experiência.
Portanto, um DPO capaz de criar essa solução é mais requerido no mercado, principalmente agora que as sanções pelo descumprimento da Lei começaram a acontecer.
A responsabilidade maior é sua
A Lei LGPD nos devolve o controle sobre nossos dados, mas nem ela, nem a ANPD e nem os DPOs serão suficientes se cada pessoa não entender o tamanho da relevância que seus dados possuem.
Não pense que é normal te ligarem de lugares que você não conhece oferecendo um prêmio por “boa relação com o mercado”.
Infelizmente, o que está fixo na mente da maioria das pessoas é que, hoje em dia, tudo está conectado e não há como fugir disso.
“Não tem jeito, eles sempre sabem o que você anda comprando, pra onde está viajando e o cartão de crédito que você mais usa”. Eles quem? Por que têm suas informações? Preocupe-se com isso, pois você é responsável pelos seus dados.
Todas as empresas que coletam dados pessoais (por meios eletrônicos e também impressos, vale ressaltar) precisam se atentar em três pontos: na segurança redobrada, na transparência e na remoção das informações quando os titulares exigirem.
O DPO, portanto, precisa ser um profissional bem capacitado.
Os cursos de Tecnologia da Faculdade Descomplica preparam o profissional pra exercer essa função com eficiência, então conheça todas as opções disponíveis.