LGPD: segurança e respeito à privacidade é lei

Cuidar dos dados das pessoas é a essência da Lei Geral de Proteção de Dados.

Artigo de 20/ago/19 – atualizado em 30/set/19. Charles A. Müller.

Privacidade dos dados é um tema que cada vez mais ganha importância, tanto sob aspecto do Direito e Cidadania, quanto do Marketing, quanto da Tecnologia da Informação.

Muitas vezes somos surpreendidos por propaganda de pior espécie (spam) via SMS, telefonemas, WhatsApp, e-mail e outros meios, por gente ou empresas que nunca tivemos contatos e nem sabemos por que bytes eles têm nosso cadastro. Seja por vazamento ou por conta de empresas que, sem nos respeitar, cedem ou vendem estes dados (nossos) para terceiros.

Pior que spam é quando dados sigilosos nossos vazam (de empresas em que nos cadastramos) e caem nas mãos de golpistas, colocando as pessoas na condição de vítimas de vários crimes.

Diante desta realidade, cada vez mais se fala em legislação para obrigar empresas a adotarem medidas de respeito e segurança em relação aos dados de seus visitantes, leitores, consumidores, clientes etc. – enfim, de quem se cadastra em algum momento. E isto inclui sistemas offline, redes corporativas e também, principalmente, Internet.

Particularmente eu olho com receio iniciativas governamentais (estatais) para regular a Internet – precedentes podem ser abertos justamente contra nossa privacidade e liberdade. Realmente não me agrada que políticos, miltantes e burocratas venham impor o que pode e o que não pode funcionar na Internet. Não vou detalhar aqui, mas me preocupa a adoção de várias regras exageradas e projetos de lei ainda mais “estatalmente intrometidos” tanto na Europa, quanto no Brasil. Porém, no caso da proteção da privacidade de dados, reconheço que uma ação estatal, no sentido de colocar regras mínimas, se faz necessário.

No Brasil o tema de uma “lei de proteção de dados” já vem sido discutido desde meados da década de 2000, mas o tema ganhou força em 2014 na aprovação do Marco Civil da Internet. Somente em 2018, porém, é que foi aprovada a atual Lei Geral de Proteção de Dados Pessoais (LGPD), a Lei Federal 13.709 de 2018

Um fato internacional que impulsionou a necessidade dessa lei aqui, foi que em 2018 foi colocada em vigar (na Europa) a GDPR (General Data Protection Regulation) que considera a proteção de dados de cidadãos europeus e vale para o mundo todo – ou seja, se uma empresa brasileira cadastra algo de um cidadão europeu, ela precisa respeitar esta regulamentação.

É preciso que as empresas se preparem: a LGPD entrou em vigor (atualização: Setembro/2020).

Pontos Principais da LGPD

Eu havia preparado uma listinha com os principais pontos, mas acabei excluindo-a e vou citar (de forma resumida) a excelente lista elaborada pelo Blog da Comstor, que é bem didática:

1 – A lei foi criada para proteger os dados pessoais dos brasileiros compartilhados de forma digital, coletados, armazenados e manipulados pelas empresas. A partir do momento em que entrar em vigor, as empresas terão a obrigação de informar aos seus clientes como esses dados são tratados, pedir permissão para serem compartilhados e terão responsabilidade sobre seus vazamentos, se houver.

2 – A motivação (principal) para o LGPD foi justamente a regulamentação do GDPR (como citado acima), com pressão internacional sobre o Brasil.

3 – A lei protege todos os brasileiros ainda que a pessoa esteja fora do Brasil ou a empresa que a cadastrou não seja brasileira.

4 – Cada pessoa é dona dos seus dados pessoais. As empresas devem dar livre acesso das pessoas ao seu cadastro.

5 – Data Protection Officer: cada empresa deve ter uma pessoa responsável pela proteção de dados.

6 – Toda e qualquer responsabilidade de uma empresa deve ser repassada para suas empresas terceirizadas, as subcontratantes, uma vez que haja compartilhamento de informações pessoais.

7 – As punições da LGPD são pesadas: multas podem alcançar até 2% do faturamento da empresa no ano anterior até no máximo 50 milhões de reais e até mesmo a proibição total ou parcial das atividades da empresa, caso não tenha boas práticas comprovadas.

Dica: Para ver a lista em detalhes, visite a postagem completa no Blog da Comstor:
https://blogbrasil.comstor.com/7-pontos-para-entender-a-lei-geral-de-protecao-de-dados-no-brasil

Essência da LGPD: Respeito e Segurança

Este é o momento em que eu queria chegar após contextualizar a LGPD: sua essência. Este artigo aliás, é para opinar justamente sobre esta essência. Como profissional de marketing (e marketing basicamente é relacionamento e ação com o mercado) digo que são duas palavras: respeito e segurança.

Respeito, pois uma empresa está coletando informações das pessoas – que podem ser clientes, leitores, empregados etc. e o mínimo que se espera é que a privacidade das pessoas seja respeitada.

Mas, não adianta ter respeito, se não houver segurança – e daí entramos na esfera da Tecnologia da Informação. Em tempos de cada vez mais crimes na Internet, é inviável se pensar em banco de dados se não houver preocupação com invasões e vazamentos, especialmente quando gente da empresa vaza dados ou quando a empresa é vítima de ataques de hackers.

Você se lembra que os bons princípios do e-mail marketing são justamente permissão, periodicidade adequada e relevância? Então! Não por coincidência, o e-mail marketing se tornou uma grande ferramenta de relacionamento de marca e ao mesmo tempo um grande gerador de spam (quando se quebra o princípio da permissão). O assunto da permissão, profundamente ligado ao respeito, volta à tona quando se fala em LGPD.

Minha sugestão é reunir profissionais de Marketing, RH, TI e Jurídico da empresa (ou consultores contratados), estudar a LGPD e propor um Plano de Implantação da Privacidade de Dados, ou seja, de adequação específica da empresa à LGPD.

O ponto de partida deste planejamento que citei acima é mapear todos os pontos de contato da sua empresa com os públicos de interesse, tanto internos (como acionistas, parceiros e empregados) quanto externos (clientes, imprensa, comunidade) – etc. Ou seja, onde existe captação de dados, existe tratamento de dados e logo, existe impacto da LGPD. Quanto às pessoas de dentro da empresa, vale definir (e incluir no Plano) as políticas de uso de dados e recursos de computação e telecomunicações, inclusive deixando claras as propriedades de dados (da empresa e dos clientes) e as condutas aceitáveis.

Plano que deverá ser aprovado (e vivido) pela diretoria da empresa, devidamente comunicado (para público interno, inclusive terceiros envolvidos no tratamento de dados via tarefas delegadas) e depois publicado (no caso de site, para o público externo), na forma de uma Política de Privacidade

No princípio do Respeito:

1. Entender que as pessoas são donas dos seus dados e uma empresa até pode armazená-los e tratá-los – desde que sob permissão.
2. Permitir que as pessoas possam acessar seus próprios dados e oferecer meios para alteração, inclusão e exclusão – esta última significa também parar de fazer contato.
3. Se a pessoa permite à sua marca um cadastro, não significa que ela permita que você compartilhe este cadastro com terceiros, nem muito menos o venda – neste caso é preciso pedir permissão específica.
4. Defina uma Política de Privacidade, publique-a e cumpra.

No princípio da Segurança:

1. Todas as trocas de dados via site com as pessoas deve passar por HTTPS e não mais por HTTP. Ou seja, navegação segura (SSL), popularmente: páginas com “cadeado”.
2. Cada plataforma ou camada de software (de sistema operacional, servidor Web, banco de dados, publicação de site etc.) deve possuir seus métodos e ferramentas de segurança, o que envolve software (ou até hardware) e procedimentos. Planeje e implante. Lembre-se: tudo que está na Internet pode ser alvo de ataque. Tudo que está num computador, celular ou qualquer dispositivo com memória pode ter informação vazada.
3. Backup: prepare-se para uma perda de dados, gere cópia de segurança em local físico diferente do local original dos dados e claro, uma forma de recuperar estes dados.

 

 

Política de Privacidade? Cookies?

Lembra daquele textão que “quase ninguém lê”, mas, você publicava para se resguardar de algum processo? É a política de privacidade.

Então, este texto deve ser revisto sob o impacto da LGPD e ganhar outro propósito “que tratamento eu dou aos dados dos visitantes do site, de forma a oferecer respeito e segurança e como eu posso comunicar isto de forma transparente e sincera para meu público”?

Lembrando que não adianta escrever a política, é preciso praticá-la.

Vou até citar dois exemplos, um é deste humilde site pessoal e o outro de uma loja cujo proprietário é meu cliente de mentoria em meios digitais:

Política de Privacidade, Segurança de Dados e Conteúdo – SiteCharles.com
https://www.sitecharles.com/politica-de-privacidade/

Política de Privacidade e Segurança – LojaDasMães.com
https://www.lojadasmaes.com/pages/politica-de-privacidade-e-seguranca-1

Outro cuidado básico é com os cookies – não estou falando de biscoitos e sim de pequenos arquivos  de dados que um site grava no computador ou dispositivo do visitante.  Esses arquivos contêm informações que servem para identificar o visitante, seja para personalizar a página de acordo com o perfil ou para facilitar o transporte de dados entre as páginas de um mesmo site ou ainda para fins estatísticos (registrar de forma anônima a volta de um visitante ou informações sobre seu acesso, mas sem coletar dados pessoais individuais). Geralmente a coleta de dados de um cookie é anônima ou os dados pessoais não transferidos para o site. Se seu site usa ferramentas como o Google Analytics ou Hotjar ou Navegg ou se conecte à ferramentas de propaganda ou remarketing (Google AdSense, DoubleClick etc.) significa que existem cookies distribuídos.

O site deve informar ao visitante que utiliza cookies. Alguns fazem isso dentro da política de privacidade (nosso caso aqui no SiteCharles.com) outros colocam uma informação específica no rodapé ou lateral e outros vão mais longe, com um alerta flutuante para avisar. Vale também dar alguma informação ao visitante sobre como desativar os cookies (que é uma configuração realizada no próprio dispositivo navegador) ou avisar que sem alguns cookies não será possível navegar – aplicável em casos bem específicos e geralmente nestes há login – ou, como alguns sites fazem, ter um botão no site para desativar os cookies.

Vigência da LGPD (Atualização Set/2020)

Quando a LGPD foi criada (como Lei 13.709, de 14/Agosto/2018), a previsão para entrar em vigor era Fev/2020, data que recebeu várias alterações (Ago/2021, Abr/2020) até que a Medida Provisória 959 (Abr/2020) colocou a data de vigência para Maio/2021. O GovernoFederal considerou que, na situação de pandemia de Covid 19 várias empresas não conseguiriam se adequar a tempo. O Senado, contudo, em Ago/2020 aprovou a MP mas retirou este dispositivo de adiamento para 2021, determinando a vigência iniciar a partir do texto ser sancionado, logo, Set/2020.

Depois de toda essa novela, ficou então definida a data de vigência da LGPD: 18/Set/2020.

Contudo, a parte que trata das punições para as empresas que não cumprirem esta lei (o artigo 52 – da multa de até 2% do faturamento da empresa, limite em R$ 50 milhões e outras sanções administrativas) somente valerá a partir de 01/Ago/2021. Portanto, ainda há tempo para, urgentemente se adequar.

E você? E na sua empresa?

E você como cidadão ou cidadã, acredita que a LGPD trará mais segurança, respeito e privacidade aos seus dados pessoais?  E na sua empresa, como está a adequação à esta lei? Como vocês avaliam o impacto da LGPD nos negócios (comunicação, marketing, vendas) das empresas? Queremos saber… por favor deixe sua resposta na área de comentários ao final desta página.

Saiba Mais:

Guia de Boas Práticas*: Em 10/Abril/2020 o Governo Federal publicou um Guia de Boas Práticas da LGPD, oficial, neste link, disponível para download gratuito:

https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-lgpd

Veja também: texto integral da Lei* 13.709 de 2018 (LGPD):

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

* Os dois primeiros links acima podem estar ainda desatualizados sobre a data de vigência (que mudou para Set/2020 conforme explicamos no tópico atualizado acima).

Notícia da nova data de vigência:

https://www.serpro.gov.br/lgpd/noticias/2020/lgpd-entra-em-vigor