LGPD – Lei Geral de Proteção de Dados: tudo que você precisa saber

Em 2023, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira multa por descumprimento da Lei Geral de Proteção de Dados (LGPD). De acordo com o que está documentado no Diário Oficial da União (DOU), a empresa penalizada – a Telekall Infoservice – cometeu infrações ao artigo 7º da LGPD e ao artigo 5º do Regulamento de Fiscalização. O valor total da multa foi de R$ 14.400,00.

Segundo o DOU, a empresa também violou o art. 41 da LGPD, que trata da obrigatoriedade de nomear um encarregado pelo tratamento de dados pessoais. Essa multa representou um marco na aplicação da lei e, ainda que seu valor tenha sido baixo e ela tenha servido muito mais como caráter educativo, uma coisa é certa: estar em conformidade com a legislação é uma obrigação das empresas.

A seguir, entenda como a Lei Geral de Proteção de Dados Pessoais afeta o seu negócio virtual, os princípios que a norteiam e como garantir adequação a ela.

O que é LGPD?

A LGPD, ou Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), foi sancionada em agosto de 2018 e entrou em vigor em setembro de 2020. Ela foi inspirada na Regulamentação Geral sobre a Proteção de Dados (GDPR) da União Europeia (UE).

Para você entender, a GDPR disciplina a forma como se dá o tratamento de dados pessoais, seja por pessoas, empresas ou organizações que se encontram no território da UE. Ela vale também a todos aqueles que possuem relação com entes integrantes da UE.

Por sua vez, a LGPD segue a mesma linha, pois todas as empresas que coletam, armazenam e processam dados pessoais de indivíduos/organizações no Brasil precisam estar em conformidade com a legislação. Seu objetivo central é a proteção de dados, assegurando também a garantia aos direitos fundamentais de liberdade e privacidade.

Esclarecendo, a Lei Geral de Proteção de Dados Pessoais:

• Estabelece princípios e bases legais para o tratamento de dados;
• Define os direitos dos titulares dos dados;
• Determina as obrigações das empresas em relação à proteção e privacidade dos dados;
• Cria a Autoridade Nacional de Proteção de Dados (ANPD), responsável por zelar pela proteção dos dados pessoais e por regulamentar e fiscalizar o cumprimento da Lei.

Entenda ainda que a LGPD vale para qualquer operação de tratamento de dados pessoais de pessoas físicas ou jurídicas, sejam elas de direito privado ou público.

A quem ela NÃO se aplica?

Conforme a Lei nº 13.709/2018, a LGPD não se aplica a dados pessoais coletados por pessoa física para fins particulares e não econômicos, ou que tenham a finalidade vinculada a propósito jornalístico, artístico, acadêmico, de segurança pública, defesa nacional, segurança do Estado ou atividade de investigação e repressão de infrações penais.

LGPD: Lei Geral de Proteção de Dados e sua importância

Estar em conformidade com a LGPD é um dever das empresas. Apesar de ser uma obrigação, é importante reconhecer sua importância tanto para as organizações quanto para seus clientes. Confira:

Mais transparência

Segundo a Lei, as empresas devem ser claras e honestas sobre como coletam, utilizam e compartilham os dados pessoais de seus clientes. Essa transparência contribui para a criação de relações mais saudáveis e de longo prazo com os clientes, além de melhorar a imagem e a reputação da organização no mercado.

Mais segurança

Cumprir com os requisitos da Lei LGPD significa, para as empresas, implementar medidas de segurança adequadas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Para isso, as organizações precisam utilizar tecnologias avançadas, como criptografia e firewalls, além de políticas rigorosas de controle de acesso e monitoramento.

Maior controle de informação aos usuários

Um dos principais objetivos da LGPD é garantir que os titulares dos dados tenham maior controle sobre suas informações pessoais. Sendo assim, eles têm o direito de:

• Acessar, corrigir e excluir seus dados;
• Saber como e para que as informações estão sendo utilizadas.

Saber que possuem esse controle dá um certo poder aos usuários, pois eles passam a ter mais confiança de que suas informações pessoais estão sendo tratadas com respeito e responsabilidade.

Quais são os princípios da LGPD?

De acordo com o Laboratório Nacional de Computação Científica – LNCC, do Governo Federal, a LGPD possui 10 princípios que devem ser observados pelas empresas ao tratar dados pessoais. Os princípios são:

• Finalidade: o titular dos dados deve saber para que seus dados serão utilizados.
• Adequação: a empresa somente pode coletar os dados necessários para a finalidade indicada.
• Necessidade: tratar apenas os dados estritamente necessários para atingir a finalidade desejada. Ou seja, evite excessos.
• Livre acesso: os titulares devem poder acessar, facilmente, seus dados a qualquer momento. Também têm o direito de ter conhecimento de como esses mesmos dados estão sendo utilizados.
• Qualidade: as informações devem ser exatas, claras, relevantes e atualizadas de acordo com a necessidade do tratamento.
• Transparência: o titular tem o direito de ser informado quando um dado é coletado. Ele também precisa ser informado com transparência no caso de risco ou incidente de vazamento ou exposição de dados.
• Segurança: a empresa tem responsabilidade de adotar medidas técnicas e administrativas para proteger os dados contra invasão, perda, difusão e destruição.
• Prevenção: além de investir em sistemas adequados e processos internos, as equipes devem ser treinadas. Um ponto importante dentro desse princípio é a restrição de acesso, pois cada colaborador deve acessar apenas as informações necessárias para executar suas tarefas.
• Não-discriminação: os dados dos titulares não podem ser usados para fins discriminatórios, abusivos ou ilícitos. Esse princípio é especialmente importante no tratamento de dados sensíveis, que exigem um nível ainda maior de proteção (no próximo tópico explicamos quais são esses dados).
• Responsabilização e Prestação de contas: a empresa deve ser capaz de prestar contas sobre o cumprimento da LGPD.

Quais dados são considerados sensíveis pela LGPD?

Para a Lei Geral de Proteção de Dados Pessoais, são dados sensíveis todos aqueles que podem ser motivo de discriminação quando revelados. Conforme o LNCC, são as informações referentes a:

• Sexo
• Raça
• Informações relacionadas à saúde
• Orientação sexual
• Religião
• Posicionamento político

Importante: note que dados sensíveis são diferentes de dados pessoais. Enquanto os primeiros podem ser motivo de discriminação, os segundos são informações que ajudam a identificar uma pessoa, como: nome, CPF, endereço, data de nascimento, telefone, entre outros.

Como a LGPD impacta empresas e usuários?

A LGPD exige que as empresas foquem nas práticas de gestão e proteção de dados. Isso significa adotar uma abordagem proativa, o que implica em uma série de medidas e ajustes nos processos internos.

Por exemplo, as organizações devem monitorar e, sempre que necessário, reestruturar seus processos internos de coleta, armazenamento, tratamento e compartilhamento de dados. Também devem implementar políticas claras de privacidade e manter contratos com fornecedores e parceiros em dia, especialmente no que diz respeito ao uso dos dados.

Outro ponto fundamental é que a LGPD exige que as organizações sejam transparentes em relação ao tratamento de dados pessoais. Desse modo, elas devem sempre informar os titulares dos dados sobre as informações coletadas, a finalidade, e com quem esses dados podem ser compartilhados.

Do mesmo modo, devem dar aos titulares o poder de exercer seus direitos de acessar, retificar e excluir os dados quando desejarem. Para os usuários, isso significa mais segurança, autonomia e confiança ao interagir com empresas.

LGPD e o tratamento de dados pessoais: o que mudou?

Na verdade, o que a LGPD fez foi garantir os direitos fundamentais de proteção e transparência relacionados aos dados pessoais. Ou seja, ela não criou o conceito de privacidade, mas, sim, o reforçou e regulamentou.

Como as empresas precisam estar em conformidade com a lei, podemos dizer que ela contribui para um ambiente de negócios mais seguro, ético e competitivo. Antes dela, as organizações muitas vezes não adotavam processos com relação aos dados, e seus clientes tampouco sabiam, ou podiam confiar, que suas informações estariam seguras.

Com a LGPD, a segurança e a proteção de dados são fundamentais. Para garantir um pilar sólido, a tokenização e a autenticação multifator são duas práticas que ganham destaque:

Tokenização

A tokenização é o processo de substituir dados sensíveis (que são os dados pessoais reais), por um código alfanumérico único. Assim, no lugar de usar os dados originais em sistemas e processos, os tokens são utilizados. Com isso, as informações reais dos usuários são protegidas contra acessos não autorizados.

Transações financeiras costumam adotar a tokenização para proporcionar uma camada adicional de segurança ao processo. Para saber mais, confira um artigo sobre o tema:

• Tokenização nos pagamentos: como funciona e por que utilizar

Autenticação Multifator

A autenticação multifator é um método de autenticação que requer que o usuário forneça duas ou mais provas de identidade para ter acesso a um aplicativo, site ou qualquer outro sistema, ou a alguma informação. Pode ser, por exemplo, a senha e o reconhecimento facial.

Conhecida também pela sigla MFA, ela dificulta o acesso não autorizado, pois mesmo que hackers tenham conhecimento de uma das formas de autenticação, não conseguirão acessar o sistema.

Leia também:

• MFA: Como a Autenticação Multifator pode ser importante para o seu negócio

Certificado LGPD: o que é e como obter

O certificado LGDP serve para atestar que a sua empresa está em total conformidade com a Lei Geral de Proteção de Dados Pessoais. Contudo, a própria ANPD esclarece que não existe nenhuma exigência legal de selo ou certificação. Em outras palavras, ter a certificação LGPD é opcional. Veja o que diz a Autoridade Nacional de Proteção de Dados:

(…) para fins de cumprimento da LGPD, também não há exigência legal de selos de conformidade à LGPD ou de homologações de software ou aplicativos. Tais instrumentos, se oferecidos por entidades privadas, não constituem garantia oficial de conformidade à legislação de proteção de dados pessoais.

Para os defensores do documento, o certificado é uma maneira de garantir que a empresa  está com seus processos e medidas em dia, e que segue os princípios da lei. Para os clientes e o mercado, é uma maneira de passar uma imagem de comprometimento com a privacidade, a segurança da informação e o respeito aos dados pessoais.

Como garantir conformidade com a LGPD?

Já que adequar-se à LGPD é uma obrigação das empresas (além de trazer benefícios e segurança para organizações e seus clientes), veja como estar dentro da Lei:

Realizar mapeamento de dados pessoais

Mapeie todos os dados pessoais coletados e processados pelo seu negócio. Nesse sentido, busque saber:

• Quais são os dados coletados: por exemplo, e-mail, nome, telefone, histórico de navegação, dados de pagamentos, etc.)
• Onde eles são armazenados: servidores locais, serviços de armazenamento em nuvem, bancos de dados internos, arquivos físicos ou qualquer outro meio de armazenamento;
• Para quais finalidades os dados são usados: marketing, vendas, atendimento ao cliente, análise de comportamento, entre outros;
• Quem tem acesso aos dados e em quais circunstâncias: mapeamento de quem na organização tem acesso aos dados em questão. A definição de níveis de acesso e a implementação de controles de acesso são essenciais para proteger os dados contra acessos não autorizados.
• Por quanto tempo os dados são mantidos: de acordo com a LGPD, os dados pessoais são mantidos apenas pelo tempo necessário para cumprimento da finalidade pela qual eles foram coletados.
• Quais são as medidas de segurança implementadas: por exemplo, criptografia, controle de acesso, políticas de senha, treinamento de funcionários, MFA, entre outras.
• Quais são os processos de resposta a incidentes: estabeleça procedimentos claros para responder a incidentes de segurança e vazamentos de dados.

Providenciar adequações técnicas

Quanto às adequações técnicas, o foco deve ser em estar em compliance com padrões mundiais, como CIS (Center for Internet Security), NIST(CSF) e ISO 27001.

Ao se adequar a eles, além de estar preparada para a LGPD, a empresa eleva a cyber security,tanto em nível de hardware quanto em nível de software, e também facilita o processo de internacionalização.

Prevenir vazamento no tratamento de dados

É imprescindível usar um cofre para armazenar as credenciais de acesso aos serviços externos e internos, e ter logs a nível de rede e de aplicação de tudo o que está acontecendo na empresa.

É preciso ainda centralizar, analisar e organizar os logs para identificar possíveis ameaças.

Um SIEM (Software de Gerenciamento de Informações e Eventos de Segurança), pode ajudar nesse monitoramento, enquanto um DLP (Data Loss Protection) pode prevenir o vazamento de dados.

Leia também:

• Segurança cibernética: por que ela é tão importante para os negócios
• Phishing: descubra o que é e como proteger seu negócio dessa ameaça virtual

Garantir que fornecedores também estejam adequados à LGPD

As empresas que prestam serviços também devem estar de acordo com a Lei de Proteção de Dados e garantir a confidencialidade das informações armazenadas.

Na Transfeera, por exemplo, já adequamos nossa operação, rodando 100% em cloud e com infraestrutura segura de acordo com os melhores padrões do mercado. Também usamos um firewall de aplicação web na frente de todos os serviços expostos para a internet, monitorando e prevenindo ataques que possam prejudicar nosso sistema.

Buscar consultoria jurídica

Contar com uma consultoria jurídica é essencial para estar em conformidade com a LGPD, adequando os termos e os contratos. Por exemplo, é necessário adaptar termos de uso, termos de privacidade, política de segurança da informação, política de segurança cibernética, política de cookies, dentre outros documentos.

O Acordo de Confidencialidade, também conhecido como Non Disclosure Agreement (NDA), é um documento que pode ajudar a empresa a proteger as suas informações e/ou dados confidenciais, que, em virtude de relação comercial, são compartilhadas com terceiros.

Para exemplificar o formato desse documento, elaboramos, em parceria com a VP Advogados Associados, um template que contém a estrutura e as cláusulas básicas para estabelecer a confidencialidade.

Vale esclarecer que a elaboração de qualquer instrumento jurídico deve ser pautada nas especificidades de cada relação e no interesse das partes. Por isso, é sempre recomendado buscar por um especialista jurídico que possa orientar melhor as partes na elaboração deste documento.

Solicitar o consentimento do cliente

Outra exigência da LGPD é a solicitação do consentimento dos clientes para o tratamento de seus dados pessoais. Na prática, quer dizer que as empresas devem fornecer informações claras sobre como os dados serão usados e garantir que os clientes possam revogar seu consentimento a qualquer momento.

Explicar cookies, lista de desejos e mais

As empresas devem informar aos usuários quanto ao uso de cookies e outros mecanismos que coletam dados dos usuários, como fingerprints. Além disso, devem deixar claro aos visitantes dos sites os tipos de cookies usados (essenciais, de desempenho, de funcionalidade e de publicidade), para quais finalidades são utilizados e como podem ser controlados por meio das configurações do navegador ou de ferramentas específicas fornecidas pelo site.

Definir como o cliente pode retirar a autorização de uso de dados sensíveis

Conforme comentado, os usuários devem ter o direito de retirar, quando desejarem, seu consentimento para o uso de seus dados pessoais. Dessa maneira, é imprescindível que as organizações definam processos claros de como isso ocorrerá,por exemplo, clicando em algum link, acessando as configurações de privacidade no perfil, etc.

É  importante destacarque, uma vez que o titular dos dados tenha feito a solicitação, ela  deve ser tratada com seriedade.

Determinar responsáveis para casos de crise e vazamento de dados

Infelizmente, mesmo tomando todos os cuidados e medidas, um vazamento de dados pode ocorrer. Nesse caso, a prontidão e a eficiência na resposta a incidentes são cruciais para minimizar os danos e manter a confiança dos clientes.

Por conta disso, as empresas devem ter um plano de resposta a incidentes para que consigam lidar rapidamente com crises e vazamentos de dados. Para tanto, uma equipe deve ser designada como responsável por gerenciar esses incidentes, incluindo a identificação e contenção do vazamento, a avaliação dos riscos e impactos, e a comunicação com os titulares dos dados afetados e com a ANPD.

Penalidades previstas pela LGPD em caso de descumprimento

Mesmo que o seu negócio não tenha como atividade principal o tratamento de dados pessoais, ele está sujeito às regras da LGPD. Ou seja, não está livre das sanções previstas pela lei brasileira de proteção de dados.

Dessa forma, caso a empresa não esteja em conformidade com a LGPD e cometa algum tipo de infração à lei, poderá sofrer:

• Advertência;
• Multa simples, de até 2% do faturamento da empresa no seu último exercício, que pode chegar a R$ 50 milhões de reais;
• Multa diária;
• Publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais relacionados à infração, até sua regularização;;
• Eliminação dos dados pessoais relacionados à infração.

Conclusão: a importância da LGPD para a proteção de dados no Brasil

A LGPD é uma legislação importante,que exige um compromisso sério das empresas para garantir a proteção dos dados pessoais. Cumprir com suas exigências é uma questão de obrigação, não só para evitar penalidades e prejuízos reputacionais, mas também para contribuir para um ambiente digital mais seguro e confiável para todos.

Então, agora que você já sabe como se adequar à LGPD, lembre-se de que é preciso contar com fornecedores que também levem a proteção de dados a sério. A solução de pagamentos da Transfeera está em conformidade com a Lei Geral de Proteção de Dados!

Entenda de que forma a Transfeera implementa a LGPD nas transações

Toda a operação da Transfeera está sujeita à Política de Privacidade e a todos os protocolos de Cyber Security. Para completar, possuímos SIEM centralizador de todos os eventos de segurança, realizamos testes de recuperação de desastre, pentest e testes de segurança automatizados, e temos firewall de aplicação na frente de todos endpoints públicos.

E não acaba aí: aqui na Transfeera, utilizamos as medidas de segurança mais modernas do mercado como forma de garantir a integridade e proteção dos dados. A tecnologia SSL (Secure Socket Layer), de 256 bits criptografa o trânsito dos dados que passam por nossos servidores, garantindo que eles não sejam interceptados por terceiros.

Além desses pontos (existem ainda outros elencados aqui), é importante destacar que adotamos a autenticação multifator, adicionando uma camada de proteção à etapa de login. Somado a isso, nossa solução tem controle de acesso, o que significa que cada usuário autorizado pela empresa terá acesso apenas às informações necessárias para realizar suas tarefas.

Automatize pagamentos e recebimentos com a Transfeera! Conheça nossa plataforma!