Entenda tudo sobre a LGPD: Lei Geral de Proteção de Dados

Por: Victoria Salemi
Entenda tudo sobre a LGPD: Lei Geral de Proteção de Dados

Aqui você encontra:

LGPD é a sigla para a Lei Geral de Proteção de Dados. A Lei Federal 13.709/18 entrou em vigor em agosto de 2020 e determina regras para a coleta, o tratamento e o compartilhamento de dados pessoais por empresas e órgãos públicos.


Antes de começarmos, um aviso: este artigo tem objetivo meramente informativo. A Nuvemshop não presta consultoria jurídica e não se responsabiliza por quaisquer ações tomadas com base no conteúdo deste post.

Sancionada em agosto de 2018 e em vigor desde o segundo semestre de 2020, a LGPD (Lei Geral de Proteção de Dados) foi criada para proteger os cidadãos brasileiros da exposição de suas informações pessoais, inibindo o uso indevido destes dados.

Nesse contexto, muitas questões mudaram para os e-commerces ou outros tipos de empresa que coletem dados de seus usuários, seja para enviar campanhas de marketing ou para concluir uma venda.

Se você está confuso sobre o que precisa fazer para agir de acordo com a Lei Geral de Proteção de Dados, acompanhe a leitura, pois, ao longo deste artigo, você confere um resumo prático sobre a LGPD!

O que é LGPD?

LGPD (Lei Geral de Proteção de Dados) é o nome pelo qual ficou conhecida a Lei Federal 13.709/18. Essa é uma regulamentação sobre a forma como os dados pessoais são coletados, armazenados e compartilhados.

Baseada na GDPR — o Regulamento Geral sobre a Proteção de Dados da União Europeia, que entrou em vigor em 2018 por lá —, a LGPD surgiu como um complemento ao Marco Civil da Internet. Aqui no Brasil, ela foi sancionada em 2018 e entrou em vigor em agosto de 2020.

Após a sanção da lei, foi criada a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Esse órgão é responsável pela orientação e fiscalização das novas regras, pelo recebimento de denúncias em caso do mau uso de dados pessoais e, a partir de agosto de 2021, pela aplicação de multas em caso de descumprimento da LGPD.

A LGPD em resumo

De modo bastante resumido, pode-se dizer que a LGPD determina que:

  • As empresas não devem coletar mais dados pessoais que o necessário para realizar determinadas atividades;
  • Os usuários sempre devem dar seu consentimento ao fornecer esse tipo de informação e precisam ser notificados de forma clara sobre o motivo (finalidade) por que aqueles dados estão sendo pedidos;
  • Os detentores dos dados não podem usar as informações para outra finalidade que não a informada ao dono da informação;
  • Sempre que um usuário pedir acesso aos dados que uma empresa possui sobre ele, o negócio precisa fornecer estes dados em um prazo de até 15 dias;
  • As empresas precisam acatar os pedidos de exclusão dos dados pessoais de um usuário em até 15 dias.
Crie sua loja virtual e venda pela internet
Crie sua loja virtual e venda pela internet pelo seu computador

O que diz a LGPD?

A LGPD traz em seu texto as bases legais sobre como os dados pessoais devem ser tratados pelas empresas e órgãos públicos. Ao contrário do que muita gente pensa, ela não visa a limitar determinados tipos de atividade, mas a regulamentá-las, tornando as regras claras tanto para os negócios quanto para seus consumidores.

Além disso, é importante ressaltar que a lei se aplica extraterritorialmente. Ou seja, ela regulamenta dados coletados no Brasil, mesmo que eles sejam armazenados em outros países.

Esclarecidos esses pontos iniciais, vamos conhecer os conceitos e princípios fundamentais definidos pela Lei Geral de Proteção de Dados:

O que são dados pessoais de acordo com a LGPD?

A LGPD define alguns conceitos relacionados aos dados pessoais:

Dado pessoal

É a informação da pessoa identificada ou identificável. Um dado identificável é aquele que, sozinho, não é capaz de reconhecer um indivíduo, mas que pode ser cruzado com outras informações e identificar a pessoa. Aqui, estão incluídos aqueles dados mais comuns, como nome, RG, CPF e e-mail, por exemplo.

Dado pessoal sensível

Toda informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa.

Dado anonimizado

É a informação relativa a alguém que não possa ser identificada individualmente.

Banco de dados

É o conjunto de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Isso, portanto, vale para softwares que armazenem esse tipo de informação, para planilhas de Excel e até mesmo para um negócio que possua o bom e velho caderninho de telefones com os dados dos clientes.

Quem são os agentes envolvidos no tratamento de dados?

Para entendermos os princípios da LGPD, também é importante conhecermos os agentes envolvidos nessa relação:

Titular

É o dono dos dados pessoais coletados. No caso da relação com uma empresa, por exemplo, seria o cliente.

Controlador

É a empresa ou pessoa que coleta os dados pessoais. É o controlador quem decide como essas informações serão coletadas, armazenadas e utilizadas.

Operador

O operador é a empresa ou pessoa que, de fato, vai tratar os dados pessoais, de acordo com o que foi decidido pelo controlador. Vale ressaltar que, em muitos casos, controlador e operador podem ser a mesma pessoa ou empresa.

Encarregado (DPO)

O encarregado é o indivíduo que será o ponto de contato entre a empresa, os clientes que solicitarem seus dados pessoais e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Ele pode ser alguém interno ou, então, uma pessoa de fora, cujos serviços são contratados exclusivamente com esse fim, como um advogado, por exemplo.

Também pode ser chamado de DPO porque a LGPD se baseia no regimento da União Europeia e lá o encarregado é chamado de Data Protection Officer (ou “oficial de proteção de dados”, em tradução literal).

Quais são os princípios apresentados pela LGPD?

A LGPD traz dez princípios que devem reger o tratamento de dados pessoais. Apesar do nome “princípios”, vale ressaltar que eles não são opcionais, mas obrigatórios por se tratar de uma lei. São eles:

1. Finalidade

Os dados devem ser usados para propósitos legítimos e informados de forma específica ao usuário. Então, nada de usar textos genéricos para dizer ao cliente o que será feito das suas informações pessoais: seja preciso.

2. Adequação

As informações coletadas devem ser utilizadas única e exclusivamente para o fim declarado ao usuário no momento em que ele cedeu aqueles dados. Então, se precisar deles para outra coisa, será necessário perguntar novamente ao titular se ele está de acordo.

3. Necessidade

Não devem ser solicitados ao usuário mais dados que o necessário para determinada ação. Por exemplo, para que uma pessoa se cadastre em sua newsletter, você só precisa do nome e do e-mail. Então, não peça mais que isso.

4. Livre acesso

Sempre que quiserem saber, os titulares devem ter acesso a informações sobre quais, como e por quanto tempo seus dados pessoais serão utilizados pela empresa que os coletou.

5. Qualidade dos dados

Garante exatidão, clareza, relevância e atualização dos dados pessoais ao titular conforme a necessidade e para o cumprimento da finalidade de seu tratamento. Ou seja, pedidos de atualização ou modificação das informações por parte dos clientes precisam ser acatados.

6. Transparência

Os titulares precisam ser informados de forma clara e precisa, em local de fácil acesso — nada de letrinhas miúdas no rodapé do site —, sobre como seus dados serão tratados e por quem.

7. Segurança

Controladores e operadores devem garantir a segurança e proteger os dados pessoais dos titulares de acessos não autorizados — como vazamentos, por exemplo.

A partir deste ponto, podemos ressaltar também que o compartilhamento de dados com terceiros ou a compra de listas de contato sem consentimento dos titulares se torna ilegal.

8. Prevenção

As empresas e pessoas detentoras de dados são responsáveis por prevenir danos causados pelo tratamento desses dados pessoais. Aqui, estamos falando de sistemas de segurança da informação e também da conscientização das pessoas que tratam desses dados.

9. Não discriminação

O princípio da discriminação impossibilita o tratamento de dados para fins discriminatórios ilícitos ou abusivos. Por exemplo, uma empresa de crédito que tenha conhecimento sobre uma dívida de um usuário não pode fazer uso desse dado para ofertar um empréstimo a juros mais altos do que ofereceria a outro cliente que não tivesse a mesma dívida.

10. Responsabilização e prestação de contas

O último princípio da LGPD aponta que controladores e operadores passam a ser obrigados a demonstrar a adoção de medidas eficazes e devem ser capazes de comprovar o cumprimento das normas de proteção de dados pessoais.

O que muda com a LGPD?

A partir da LGPD, as empresas se veem obrigadas a informar os usuários sobre o que fazem com os dados pessoais deles e sempre pedir seu consentimento. Além disso, o cuidado com a segurança dessas informações deve ser redobrado. Por exemplo, se houver um vazamento, a ANPD deverá ser comunicada imediatamente.

A partir de agosto de 2021, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) poderá penalizar os agentes (controladores e operadores) que descumpram a LGPD. As punições podem envolver:

  • Advertência;
  • Multa de até 2% do faturamento da empresa — com limite de R$ 50 milhões;
  • Bloqueio dos dados pessoais a que a irregularidade diz respeito até que a infração seja regularizada;
  • Eliminação dos dados pessoais a que se refere a infração.

Como se adequar à LGPD na prática?

Agora que já entendemos do que trata da lei, hora de entender como adequar seu negócio à LGPD na prática. Antes de conferir o passo a passo, tenha em mente que esse é um processo longo — deve levar meses — e que vai exigir consultoria jurídica para garantir que sua empresa cumpra com todos os requisitos, ok?

1. Ler a lei com atenção

Para começar a se adequar a uma lei, nada mais lógico do que ler o texto dessa lei com atenção. Pode ser chato e difícil, mas você precisa conhecer diretamente da fonte o que precisa fazer. Caso tenha dificuldades, anote suas dúvidas e tire-as com um advogado posteriormente.

👉 Leia a íntegra da lei

2. Fazer um inventário dos dados pessoais que sua empresa possui

Depois de entender que regras precisará cumprir, será necessário fazer um levantamento de quais dados pessoais sua empresa já possuía antes de a LGPD entrar em vigor. Com essas informações organizadas, você deve se perguntar:

  • Se ainda precisa de todos eles — em caso negativo, apague o que não usa;
  • Se os titulares desses dados deram consentimento para as ações que são realizadas com eles — se ainda não, você precisará pedir, informando para que os dados serão usados.

3. Identificar que dados você precisa coletar em suas ações

Agora, pensando nos dados que você vai coletar futuramente, você deve identificar quais serão necessários para cada tipo de ação. A partir daí, solicite apenas o necessário para cada uma.

4. Entender como esses dados são tratados na empresa

Além disso, você precisará entender o que será feito com cada informação pedida aos usuários. Isso porque será necessário informar às pessoas com que finalidade seus dados serão utilizados.

Isso vale também para o caso de seu site ter o pixel do Facebook ou de outras empresas instalado para poder coletar dados de navegação de seus visitantes para as campanhas de remarketing, por exemplo. Você precisará informá-los sobre isso por meio de pop-ups ou de barras de avisos de cookies — que são essas informações sobre a navegação.

5. Oferecer uma política de privacidade condizente com a LGPD

A Política de Privacidade é um termo por meio do qual sua empresa comunica como coleta, gerencia, divulga e opera os dados dos usuários. Ou seja, com a Lei Geral de Proteção de Dados em vigor, é fundamental que as pessoas saibam exatamente como seus dados são tratados antes de fornecê-los.

Por esse motivo, você precisa disponibilizar esse termo para que as pessoas leiam e deem seu consentimento no momento em que preencherem qualquer tipo de formulário com seus dados.

👉 Não sabe como escrever seu termo? Conheça o nosso Gerador de Política de Privacidade

6. Readequar processos internos que lidem com dados

A partir da identificação realizada nos passos anteriores, hora de arregaçar as mangas e colocar o que você organizou em prática.

Crie os pop-ups com as informações sobre sua Política de Privacidade e explicitando para que cada dado é usado. Além disso, uma boa ideia é criar formulários em que o usuário precisa consentir (por meio do double opt-in, ou aquele quadradinho de seleção que ele precisa ticar ✔️) para receber comunicações da sua empresa, por exemplo.

Caso tenha uma loja Nuvemshop, você pode conferir como criar esse tipo de pop-up ou formulário neste tutorial.

7. Rever contratos que envolvam a transferência de dados

Apesar de a consultoria jurídica ser indicada ao longo do processo, este passo vai exigir o serviço de um advogado. Isso porque será necessário rever se algum dos contratos da sua empresa envolve a transferência ou o compartilhamento de dados pessoais. Caso algum deles trate disso, é bem provável que ele precise ser modificado.

8. Realizar treinamentos internos sobre o tratamento de dados

Além de organizar os dados pessoais que sua empresa possui, criar formulários, Política de Privacidade etc, é fundamental orientar as pessoas que trabalham com você sobre como essas informações devem ser tratadas.

Afinal, não adianta criar as condições necessárias para seguir a LGPD e sua equipe não colocá-las em prática.

9. Definir um encarregado (ou DPO)

Por fim, uma boa ideia é já definir quem será o encarregado em seu negócio. Desse modo, caso algum cliente peça informações sobre seus dados pessoais ou seja necessário prestar algum esclarecimento à ANPD, o responsável já saberá o que deve fazer e o processo se dará de forma mais ágil.

LGPD comentada: bate-papo com especialistas

Para que você entenda como se preparar, convidamos dois advogados especialistas no assunto para participar do NuvemCast, podcast da Nuvemshop. No programa, gravado em 2018, antes de a lei entrar em vigor, eles explicaram os principais termos da LGPD e como ela afetará os negócios.

Um deles é o Murilo Fidelis, advogado na Social Miner e pós-graduado em Direito Civil, Direito do Consumo e Processo Civil na Universidade Positivo do Paraná. O outro convidado é o Fernando Bousso, advogado, mestre em Direito das Tecnologias da Informação e Telecomunicações pela Queen Mary University of London e responsável pelas áreas de Tecnologia e Proteção de Dados Pessoais no Felsberg Advogados.

Ficou interessado? Então, dê o play, porque o programa está muito esclarecedor!

Esperamos que você tenha gostado desta edição. Você também pode escutar o NuvemCast no Spotify, YouTube ou direto no SoundCloud.

Resumo

Esperamos que este guia tenha esclarecido como a Lei Geral de Proteção de Dados (LGPD) impacta as empresas e o que deve ser feito para regularizar seu negócio.

Como o assunto é complexo, preparamos um resumo no formato de perguntas e respostas rápidas:

O que é LGPD?

LGPD (Lei Geral de Proteção de Dados) é o nome pelo qual ficou conhecida a Lei Federal 13.709/18. Essa é uma regulamentação sobre a forma como os dados pessoais são coletados, armazenados e compartilhados.

O que diz a LGPD?

Em resumo, pode-se dizer que a LGPD diz que:

  • As empresas não devem coletar mais dados pessoais que o necessário para realizar determinadas atividades;
  • Os usuários sempre devem dar seu consentimento ao fornecer esse tipo de informação e precisam ser notificados de forma clara sobre o motivo (finalidade) por que aqueles dados estão sendo pedidos;
  • Os detentores dos dados não podem usar as informações para outra finalidade que não a informada ao dono da informação;
  • Sempre que um usuário pedir acesso aos dados que uma empresa possui sobre ele, o negócio precisa fornecê-los em um prazo de até 15 dias;
  • As empresas precisam acatar os pedidos de exclusão dos dados pessoais de um usuário em até 15 dias.

O que muda com a LGPD?

A partir da LGPD, as empresas se veem obrigadas a zelar pelos dados pessoais que trata. A partir de agosto de 2021, a ANPD poderá penalizar quem descumprir a lei. As punições podem envolver:

  • Advertência;
  • Multa de até 2% do faturamento da empresa — com limite de R$ 50 milhões;
  • Bloqueio dos dados pessoais a que a irregularidade diz respeito até que a infração seja regularizada;
  • Eliminação dos dados pessoais a que se refere a infração.

Como se adequar à LGPD na prática?

De maneira bastante resumida, para se adequar à LGPD, é necessário seguir os passos abaixo:

  1. Ler a lei com atenção;
  2. Fazer um inventário dos dados pessoais que sua empresa possui;
  3. Identificar que dados você precisa coletar em suas ações;
  4. Entender como esses dados são tratados na empresa;
  5. Oferecer uma política de privacidade condizente com a LGPD;
  6. Readequar processos internos que lidem com dados;
  7. Rever contratos que envolvam a transferência de dados;
  8. Realizar treinamentos internos sobre o tratamento de dados;
  9. Definir um encarregado (DPO).

Ainda não vende pela internet? Experimente a Nuvemshop! Crie sua loja virtual hoje mesmo e ganhe 30 dias grátis para testar a plataforma. É fácil, rápido e sem a necessidade de conhecimentos técnicos.

Faça como +70mil lojas e
crie a sua Nuvemshop

Testar 30 dias grátis
Crie a sua loja na Nuvemshop

Quer mudar de vida vendendo pela internet?

Crie agora sua loja virtual com a Nuvemshop e venda de maneira profissional.

Criar minha loja

Nosso site utiliza cookies para te proporcionar uma melhor experiência. Ao acessar o site da Nuvemshop, você concorda com a nossa Política de Privacidade e Cookies