Toda empresa precisará se adaptar para atender a nova legislação até 2020.
Acompanhando a tendência global de proteção de dados, transparência e privacidade do usuário, o governo brasileiro aprovou Lei Geral de Proteção de Dados (LGPD) em 14 de agosto de 2018.
Inspirada pelo Regulamento Geral de Proteção de Dados da União Europeia (GDPR), que entrou em vigência em maio de 2018, a lei brasileira pretende controlar com maior rigor a coleta e o uso de dados. A partir da data de publicação, as empresas têm 18 meses para se adaptarem.
Na prática, é um avanço para a segurança da informação, já que no Brasil o terreno digital ainda carece de regras. Apesar do Marco Civil da Internet, que prevê deveres para a proteção de dados pessoais e comunicações privadas, armazenamento seguro e sigilo dos registros, não há na legislação brasileira um instrumento para garantir transparência no uso destes dados. Neste aspecto, a LGPD avança e muda a Lei nº 12.965, do Marco Civil.
A partir de fevereiro de 2020, as empresas que não cumprirem as regras da lei estarão sujeitas a multas que podem chegar a R$ 50 milhões.
Agora você deve estar se perguntando:
O que muda com a LGPD?
Em resumo, o titular da informação pessoal tem total direito de escolher o destino de seu dado. O princípio fundamental é que nenhuma empresa pode guardar qualquer informação sem consentimento expresso do dono. Desdobramentos práticos são o fato de que o usuário tem o direito de acessar seus dados e corrigi-los; e que nenhuma empresa poderá compartilhar qualquer dado sem nova permissão do seu dono.
Quem é afetado com a Lei 13.709?
Lembra daquelas ofertas por telefone, e-mail ou SMS que você não sabe porque recebeu? Na prática, caso a empresa não tenha sua autorização para manter seu contato e encaminhar comunicações, ela estará em desacordo com o regulamento.
Ou seja, basicamente qualquer empresa precisa de autorização do seu cliente, parceiro ou usuário corporativo para usar suas informações ou compartilhá-las. No exemplo acima, toda empresa que usa contatos para promover ofertas de produtos e serviços precisará solicitar ao seu cliente ou potencial cliente autorização para se comunicar.
Como as empresas devem se preparar?
As empresas têm 18 meses para se preparar para essa novidade. Mas uma recomendação importante: comece já a preparar o caminho para atender a LGPD. Para isso, é fundamental conhecer o texto final.
1. Obtenha o consentimento para usar os dados de seu cliente
Lembre-se que tanto o GDPR quanto a nova lei brasileira demandam claro alinhamento entre a empresa e o seu cliente. Portanto uma forma de começar a se preparar é entender quais são as suas necessidades ao coletar dados e como esses dados serão usados. A partir daí, estabeleça instrumentos para atender a norma.
Na prática:
• Crie um Termo de uso ou Política de Privacidade, torne o documento público e compartilhe-o em todo tipo de comunicação. Lembre-se que a informação deve ser acessível, portanto não use a má prática de esconder informações em textos confusos, longos ou com letras pequenas. Seja direto;
• Em todos os meios de coleta de dados – formulários online, pesquisas, cadastro de novos clientes etc. – apresente a informação/cláusula de consentimento de uso de dados;
• Seja claro sobre a finalidade de uso da informação. Lembre-se que o consentimento é para uso e não para compartilhamento daquela informação.
2. Comunique qualquer mudança em sua política de uso de dados
Vale frisar que especificar a finalidade de uso da informação é relevante. Em caso de alguma mudança, o usuário precisa ser comunicado e novamente consenti-lo.
Muitas empresas precisarão compartilhar dados de seus clientes com provedores de serviços terceiros. Por exemplo, um e-commerce que tem como parceiro de entrega de produtos uma transportadora. Necessariamente, os dados do seu cliente precisarão ser compartilhados. Embora aparentemente claro, é importante que seu cliente concorde.
3. Ofereça meio de revogação do consentimento
O usuário pode a qualquer momento mudar de ideia e não permitir que o seu dado seja utilizado para qualquer fim, mesmo que tenha aprovado o uso previamente. Facilite que o usuário revogue esse direito.
Do mesmo modo, o projeto prevê que no momento que uma relação contratual se encerre, os dados do usuário sejam excluídos.
4. Adote controles de segurança
Vale ressaltar que a Lei 13.709 não versa apenas sobre a coleta, mas sobre a proteção de dados. Não há privacidade e transparência sem tecnologia, e é uma consequência clara que todas as empresas que armazenam dados de clientes e outros usuários precisarão utilizar controles de segurança da informação para protegê-los.
A LGPD obriga a comunicação de incidentes de segurança. Essa é a primeira vez que uma norma define que os incidentes sejam comunicados ao usuário e a uma autoridade competente, e facilitará muito o mapeamento de eventos de segurança no Brasil.
Dica:
Assim como para atender ao Marco Civil da Internet, as empresas brasileiras que devem atender ao novo projeto de lei de proteção de dados precisarão adotar controles para gestão de logs, que são essenciais para documentar, relatar e comunicar incidentes. Igualmente, os controles para gestão de conformidades serão de grande importância para avaliar se as práticas corporativas com dados estão em acordo com as regras específicas da regulamentação.
Quer os dados estejam armazenados em uma rede corporativa, quer na nuvem, qualquer empresa precisará reavaliar quais produtos deverão ser adotados para mantê-los em segurança. Ou seja, para proteger o dado será necessário proteger o ambiente corporativo, promover uma política de segurança e educar os usuários que potencialmente têm acesso a informações sensíveis.
Vale também lembrar que nem todos os dados são iguais e por isso as estratégias de proteção devem ser diferenciais. Por exemplo, há regras específicas para o tratamento de dados sensíveis (relativos a raça, sexo, religião, estado de saúde).
Está preparado para a LGPD?
Ainda não, claro. Mas sua empresa tem 18 meses para promover essa mudança.
Mas 2020 não está tão distante. Comece agora:
• Entenda quais são os dados de usuários que a sua empresa coleta e armazena;
• Reavalie os seus documentos relativos a privacidade de dados e caso não tenha essa prática, considere redigi-los em acordo com as necessidades de coleta e segurança de dados;
• Prepare-se para proteger os dados. Os controles de cibersegurança são aliados cruciais para atender às demandas da Lei 13.709.
Com mais de 3.000 clientes, a Blockbit é a maior fabricante de soluções de cibersegurança do Brasil e pode auxiliar você a proteger o seu negócio das mais diversas ameaças, vulnerabilidades e ataques cibernéticos, sejam internos ou externos, genéricos ou direcionados.
Quer saber mais? Entre em contato com a gente pelo e-mail contato@blockbit.com, pelo telefone (11) 2165-8888 ou pelo WhatsApp (11) 5039-2127 e conheça nossas soluções.