Você também pode acompanhar o artigo Como fica o compartilhamento de dados com a LGPD? por áudio. É só clicar no player abaixo!
Os dados são o novo e maior ativo da sociedade digital, tanto que uma lei foi criada para nortear sua extração e uso. Trata-se da LGPD sancionada em agosto de 2020 e que ainda gera diversas questões. O compartilhamento de dados pessoais, prática comum entre empresas, é a principal delas.
Afinal, podemos ou não compartilhar as informações dos nossos clientes? É legal utilizar dados fornecidos por empresas parceiras? Precisamos da autorização individual nesses casos? São apenas algumas das dúvidas que rondam a cabeça dos empresários.
Preparamos esse artigo com o objetivo de respondê-las, tornando as novas diretrizes de compartilhamento de dados mais claras e descomplicadas. Entenda!
Direto ao ponto:
Qual a finalidade da Lei Geral de Proteção de Dados?
Embora pareça à primeira vista que ela veio somente para complicar um pouco mais a rotina empresarial, seu objetivo é nobre. A Lei Geral de Proteção de Dados (LGPD) foi criada para proteger os direitos fundamentais de liberdade e proteção da privacidade dos indivíduos, brasileiros ou residentes no país.
Foi criada com base nos preceitos da GDPR, lei de proteção de dados europeia lançada em 2019. Engloba diretrizes e normas para o uso, tratamento, armazenamento e compartilhamento de dados pessoais em meios manuais e digitais.
O artigo 5 da Lei 13.709/18 considera dado pessoal toda a informação que torna uma pessoa natural identificada ou identificável. Em outras palavras, é todo dado que pode reconhecer ou categorizar um indivíduo, conforme a seguinte distinção:
- dados sensíveis: informações de caráter privado, que remetem a questões biológicas e psicológicas do indivíduo, como crenças, origem racial, informações genéticas etc;
- dados não sensíveis: informações que identificam ou permitem a identificação de uma pessoa natural.
Existem ainda os dados anonimizados, que são informações de um titular que não permitem identificá-lo. Um exemplo do seu uso é percebido nos institutos de pesquisa, que realizam a coleta de dados e os tratam em formato estatístico.
Como funciona o uso compartilhado de dados?
Precisamos definir o conceito conforme os parâmetros da LGPD. Nela, o compartilhamento de dados ocorre quando informações pessoais são difundidas, comunicadas, transferidas ou interconectadas.
Essa manipulação dos dados pode ocorrer por meio dos controladores, pessoa física ou jurídica responsável pela tomada de decisão sobre os dados, ou pelos operadores, que são os agentes que executam o tratamento dos dados a pedido do controlador.
Nesse grupo entram também os órgãos públicos e entidades privadas. Para que se possa realizar o processo com legitimidade é preciso que o uso e compartilhamento atenda a pelo menos um dos princípios de tratamento de dados da LGPD.
O compartilhamento de dados pode ocorrer em diferentes situações e modelos de negócio, em um simples processamento da folha de pagamento, envio de SMS comercial ou na cobrança de um devedor.
Em alguns casos esse uso compartilhado — ou compartilhamento — é previsto e amparado pela LGPD. Já em outros, pode ser considerado crime contra a integridade dos indivíduos. As empresas devem, portanto, reconhecer em quais situações podem fazê-lo e como se ajustar para não cometer erros.
Em quais situações o compartilhamento de dados é permitido?
A lei estipula que a comunicação ou compartilhamento de dados deve acontecer somente com o consentimento do titular, deixando claro a ele de que forma eles serão utilizados.
Contudo, existem situações previstas que dispensam tal autorização, as quais a lei chama de hipóteses para o tratamento de dados. São elas:
- os dados em questão estão atrelados ao cumprimento de obrigações legais ou regulatórias;
- o compartilhamento de dados é essencial na execução de políticas públicas;
- na realização de estudos e pesquisas, desde que os dados pessoais sensíveis permaneçam anonimizados;
- os dados estão vinculados a um exercício regular de direito. Nessa hipóteses estão incluídas a execução de contratos e processos judiciais, e administrativos;
- a segurança física do titular dos dados ou de terceiros requer o uso compartilhado dos dados, ou em outras hipóteses de proteção à vida;
- os dados são necessários para a tutela da saúde pública, em procedimentos realizados pela área da saúde ou da autoridade sanitária;
- quando o compartilhamento dos dados visa a proteção ao crédito;
- existe o legítimo interesse do controlador dos dados, ou seja, as informações têm relação direta com a proteção dos interesses de uma pessoa física ou jurídica;
- ou ainda, o titular tornou os próprios dados públicos.
Embora existam essas possibilidades, a lei deixa bem claro que o uso, tratamento e compartilhamento de dados deve continuar atendendo aos interesses e proteção do cidadão.
Devem obedecer, portanto, aos critérios de segurança da informação e de revogação do consentimento, ou seja, o titular dos dados deve ter o direito ao acesso, atualização e conhecimento sobre o destino do compartilhamento.
E quando não é permitido?
O compartilhamento de dados entre empresas e órgãos do governo não é permitido. Uma exceção é quando o titular já tornou seus dados públicos, ou quando a execução da atividade pública exigir o partilhamento em casos específicos e amparados na lei.
Também não é permitido compartilhar dados sensíveis de saúde visando fins econômicos. Planos de saúde privados ou de assistência farmacêutica podem fazê-lo, mas não estão autorizados a utilizar tais informações para excluir ou gerenciar beneficiários entre planos e modalidades.
Por último, se o controlador ou o operador durante a atividade de compartilhamento de dados pessoais causar dano patrimonial, moral ou individual ao titular será obrigado a repará-lo.
Quem violar a legislação nesse sentido estará sujeito a diferentes sanções administrativas que serão aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), incluindo multa de até 2% do faturamento.
Como as empresas podem se adaptar à LGPD?
Após algumas tramitações legais, o governo alterou a data limite para as empresas se adequarem para agosto de 2021. Após essa data, as multas e punições previstas no regimento serão aplicadas normalmente.
Entretanto, o empresário não precisa aguardar o prazo para se ajustar, imaginando que a lei cairá em desuso. Aproveite esse momento para colocar sua gestão e procedimentos em conformidade. Uma maneira de realizar isso é seguindo os passos a seguir.
Entenda as necessidades da empresa
Cada segmento utiliza dados de maneira distinta, estão expostos a riscos distintos. Não há como pegar um projeto genérico e aplicá-lo a qualquer empresa e você precisa estar ciente disso.
Depois de adquirir conhecimento acerca dos aspectos e parâmetros da LGPD, ajuste essas questões ao seu modelo de negócio.
Conscientize sobre a importância da LGPD
Se os funcionários não entenderem a importância da lei, não se esforçarão para cumpri-la. Todos na empresa, da cúpula ao operacional, precisam conhecer a nova lei e como ela vai afetar a dinâmica de cada setor.
Essa etapa pode ser feita com treinamentos, workshops ou em uma reunião geral. Mostre como a lei pode ser desafiadora, mas também como pode gerar inovação, profissionalização e a expansão do negócio.
Execute um mapeamento dos dados
Descubra o caminho que a informação percorre dentro da empresa. Qual a origem do dado, por onde entra, quais áreas se abastecem dele, quem teve acesso e como é armazenado.
Essa etapa pode ser uma das mais interessantes e levá-lo a perceber a relevância dos dados para o negócio e até oportunidades para aproveitá-los melhor dentro da empresa.
Levante as vulnerabilidades
Mapeamento pronto? Verifique então possíveis problemas e riscos dentro de cada fluxo de informação. Na sequência, busque possíveis soluções para cada situação.
A resolução dessas lacunas dependerão de cada tipo de processo. Pode ser a criação de um adendo contratual, pedido de aceite do titular ou a inserção de uma nova ferramenta dentro da operação. Busque por novas ideias no mercado ou dentro da própria empresa.
Elabore um plano de ação
Até aqui você já entendeu quais dados necessita, como eles alimentam sua empresa, seus riscos atuais e como corrigi-los. Agora, faça um planejamento para colocar essas correções em prática.
Comece resolvendo as questões que representam maior risco e estabeleça prazos para resolver cada uma delas. Marketing, vendas, crédito e cobrança são geralmente áreas com maiores vulnerabilidades e que devem ser priorizadas.
Implemente as mudanças
É hora de confeccionar termos, documentações, aditivos contratuais e a política de privacidade do site. Coloque também em produção os novos procedimentos e fluxos de informação propostos lá na fase do levantamento.
Também é hora de buscar novos parceiros relacionados ao compartilhamento de dados. Prefira aqueles que já estão estruturados com as normas da LGPD.
Monitore sem cessar
Com o programa já em funcionamento a empresa deve eleger um encarregado pela gerência e execução da LGPD, conhecido dentro da lei pelo nome de DPO. Esse profissional precisa acompanhar se as adequações deram certo, se necessitam de ajustes ou novas implementações.
É preciso acompanhar também as novas diretrizes da ANPD que surgirão ao longo do tempo. Caso contrário, a empresa pode voltar rapidamente para uma situação de desconformidade e risco.
Quais cuidados ter ao contar com um parceiro no compartilhamento de dados?
O uso compartilhado de dados é um ponto que requer atenção constante, mesmo após a adequação da empresa. Isso porque a Lei de Compartilhamento de Dados oferece punições tanto para o controlador quanto para o operador no caso de inconformidades.
Quem utiliza bancos de dados compartilhados ou tem o fornecimento de dados dentro do escopo de trabalho, precisa não somente se adequar à LGPD, mas também seguir os critérios internacionais de segurança da informação, de modo a prevenir incidentes tanto para si quanto para seus clientes parceiros.
No caso aqui da Assertiva, esse desafio foi totalmente cumprido. Somos detentores das certificações ISO 9001 — relacionada a qualidade e padronização de serviços — e da ISO 27001, que normatiza a segurança da informação, incluindo as diretrizes da LGPD.
Nossas bases legais para deter, fornecer e tratar informações de titulares em todo território nacional são os direitos de proteção ao crédito e de execução de contrato. Quem utiliza nossos serviços e base de dados, portanto, pode ficar tranquilo.
Essa foi uma visão geral e informativa da LGPD voltada ao compartilhamento de dados. Esperamos que tenha trazido maior transparência e ajudado você a encontrar os meios certos para se adequar. O assunto ainda requer muito estudo e empenho, mas estamos aqui para auxiliá-lo no que for possível.
Restou alguma dúvida?
Não era nossa intenção, mas acontece. Ainda mais em um tema ainda novo e complexo como a LGPD. A boa notícia é que temos uma equipe de consultores disposta a esclarecer qualquer dúvida sobre o uso de dados, certificações e claro, sobre nossos serviços. Clique aqui para conversar com a gente!