A Lei Geral de Proteção de Dados (LGPD) (Lei Federal n.o 13.709/2018) é uma legislação brasileira que tem como objetivo proteger os dados pessoais dos cidadãos e regulamentar o tratamento dessas informações pelas empresas. Sendo assim, para sites e lojas virtuais, a LGPD é de extrema importância, pois impõe regras claras sobre a coleta, o uso e o armazenamento dos dados dos clientes. Além disso, a lei busca aumentar a confiança dos consumidores ao garantir que suas informações pessoais estejam devidamente protegidas.
Regulamenta o uso, a proteção e a transferência de dados pessoais de pessoas naturais (pessoas físicas).
Violações podem levar desde a suspensão das atividades de coleta de dados pessoais a multas de até R$50 milhões.
Inspirada no GDPR.
Além de obrigar todas as empresas a investir em cibersegurança e implementar sistemas de compliance efetivos a fim de prevenir, identificar e mitigar violações de dados pessoais dos clientes.
As empresas agora precisam de um responsável pelos dados: eles serão responsáveis pela manutenção dos dados e responderão por qualquer irregularidade.
Os usuários poderão exigir que as empresas apaguem seus dados: informações pessoais de cada um diz respeito apenas a si mesmo. Isso significa que, mesmo que alguém forneça seus dados em troca de um e-book por exemplo, caso haja algum tipo de abordagem desconfortável pela empresa, poderá ser exigido que os dados sejam deletados.
Será necessário deixar claro o que será feito com os dados fornecidos: no caso do e-book, por exemplo, teria que ser explícito que os dados poderiam ser utilizados para envios de e-mails marketing ou newsletter. O usuário tem que concordar com o uso indicado dos seus dados.
Por que a LGPD é importante para empreendedores?
Que a LGPD é de vital importância devido às mudanças trazidas pela regulação dos dados, isso não se discute, mas implementá-la não é a tarefa mais fácil do mundo, exige atenção a detalhes e um bom tempo gasto para verificar processos, pessoas e documentos, e para facilitar esse momento nós criamos um Checklist para um negócio se adequar à LGPD.
Proteção da reputação da empresa e fidelização de clientes.
Pense que a onipresença dos dados e seu valor inestimável. Dados permeiam nosso cotidiano. Seja para receber promoções em lojas, comprar medicamentos, acessar serviços públicos ou realizar cursos, nossas informações pessoais e de consumo são constantemente compartilhadas. Na internet, a troca por serviços gratuitos em aplicativos e redes sociais também implica no fornecimento de dados.
Entendendo isso, empresas traçam perfis e preferências a partir desses dados, prevendo comportamentos e direcionando investimentos. O setor público também se beneficia, aprimorando políticas públicas e tomando decisões mais assertivas. O reconhecimento, filtragem e extração de informações permitem uma visão em tempo real de riscos e oportunidades.
Segurança jurídica e mitigação de riscos.
Evite coletar informações desnecessárias ou em excesso ao estrito cumprimento da tarefa de sua atribuição (princípio da necessidade). Atenção com e-mails que contenham dados pessoais. Não envie a mensagem para além das pessoas necessárias. Caso seja necessário compartilhar dados pessoais com terceiros (pessoas ou organizações), certifique-se de que existem as salvaguardas adequadas.
Princípios da Lei Geral de Proteção de Dados Pessoais (LGPD).
Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades
Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento
Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados
Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais
Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento
Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais
Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos
Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas
Bases legais
As bases legais são hipóteses que autorizam o tratamento de dados pessoais. Essas circunstâncias estão previstas no art. 7º, para dados comuns, no art. 11, para dados sensíveis, e no art. 23, que traz critérios adicionais, que complementam e ajudam na interpretação prática das bases legais.
Cumprimento de obrigação legal ou regulatória pelo controlador
Nesse contexto, o tratamento de dados pessoais é necessário para atender a uma determinação legal expressa ou uma obrigação de natureza regulatória estabelecida por um órgão regulador.
Exemplo: para cumprir obrigações trabalhistas e previdenciárias ou determinações da Lei de Acesso à Informação.
Consentimento para tratamento de dados
O consentimento, para fins de tratamento de dados pessoais, é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma determinada finalidade.
Existem exceções relativas ao CDC (Código de Defesa do Consumidor), de uso da administração pública acerca de políticas públicas, e com relação à tutela da saúde.
Exemplo: você baixa um aplicativo, informa seus dados pessoais e clica em aceitar os termos de uso e a política de privacidade.
Execução de contrato
Quando necessário para a execução de contrato ou procedimentos preliminares a ele relacionado. Então se para a execução de um serviço seu em específico você precisa do endereço da pessoa, é legítimo pedir esse dado, pois está embasado na base legal da execução de contrato.
Exemplo: para cumprir o contrato de fornecimento de telefonia móvel, a empresa precisa de alguns dos seus dados pessoais.
Interesses legítimos do controlador ou de terceiro
O tratamento é necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem os direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, especialmente se o titular for criança.
Exemplo: envio de propaganda sobre promoção de um produto para clientes antigos de uma loja de óculos.
Proteção ao crédito
Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Exemplo: avaliação do score de crédito da pessoa para concessão de um novo empréstimo.
Existem outras bases legais como tutela da saúde e execução de políticas públicas, mas elas não se encaixam no escopo desse ebook por não serem relacionadas a negócios.
Controlador
Já o controlador de dados é a pessoa física ou jurídica que decide como seus dados pessoais serão usados. Portanto é como se fosse o “chefe” dos seus dados, ele é o tomador de decisões.
Dentre suas tarefas:
Define como os dados serão coletados, armazenados e usados.
É responsável por garantir a segurança e a privacidade dos dados.
Encarregado de dados (DPO)
Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
As atividades do encarregado consistem em:
Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
Receber comunicações da autoridade nacional e adotar providências
Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares
O Encarregado é responsável por garantir a conformidade com a LGPD daquele negócio e também é o canal de comunicação para dúvidas e reclamações sobre proteção de dados.
Em resumo, a principal diferença entre o controlador e o encarregado é que o controlador toma as decisões sobre o tratamento de dados, enquanto o encarregado atua como um canal de comunicação e um especialista em proteção de dados.
Operador de dados
O operador é quem realiza o tratamento dos dados segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
Ele de fato opera os dados, é um funcionário da empresa que segue as regras da lei e do negócio.
Titulares
A Lei Geral de Proteção de Dados Pessoais (LGPD) garante aos titulares de dados diversos direitos, que visam dar-lhes mais controle sobre seus dados e proteger sua privacidade.
Os principais direitos dos titulares de dados, segundo a LGPD, são:
Confirmação da existência de tratamento: Saber se seus dados pessoais estão sendo tratados por alguma empresa ou organização.
Acesso aos dados: Obter uma cópia dos seus dados pessoais que estão sendo tratados.
Correção de dados incompletos, inexatos ou desatualizados: Solicitar a correção dos seus dados pessoais caso estejam incorretos ou incompletos.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD: Solicitar que seus dados pessoais sejam apagados ou anonimizados caso não sejam mais necessários para a finalidade para a qual foram coletados, ou estejam sendo tratados de forma irregular.
Portabilidade dos dados: Receber seus dados pessoais em um formato estruturado, de uso comum e legível por máquina, e transmiti-los a outro controlador, quando tecnicamente viável.
Eliminação dos dados tratados com consentimento: Solicitar a exclusão dos seus dados pessoais quando o tratamento for realizado com base no seu consentimento, salvo nos casos previstos em lei.
Revogação do consentimento: Revogar o seu consentimento para o tratamento dos seus dados pessoais a qualquer momento, quando o tratamento for realizado com base no seu consentimento.
Penalizações
Advertência, com indicação de prazo para adoção de medidas corretivas;
Multa simples 2 % do faturamento anual; limitado a 50 milhões de reais;
Multa diária;
Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
Eliminação dos dados pessoais a que se refere a infração;
Ações judiciais;
Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados;
Multas de outros órgãos. (Procon,Senacon, MPT, outros)
Lei do ecommerce
A Lei do E-commerce, oficialmente conhecida como Decreto nº 7.962/2013, regulamenta o comércio eletrônico no Brasil. Ela complementa o Código de Defesa do Consumidor (CDC), de 1990, trazendo disposições específicas para as transações online. Leia completo em https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm
O impacto da LGPD nos sites e nas lojas virtuais
A LGPD trouxe mudanças significativas no cenário da proteção de dados no Brasil, afetando diretamente os sites. Assim sendo, é essencial que as empresas se adaptem e estejam em conformidade com essa legislação, a fim de garantir a segurança e a privacidade dos dados pessoais dos clientes. Ao adotar medidas de proteção adequadas, como obter consentimento explícito, implementar segurança da informação e estar ciente dos direitos dos titulares dos dados, as lojas virtuais podem construir confiança e demonstrar compromisso com a proteção dos dados pessoais.
Para ajudar os empreendedores e donos de empresas a se adequarem à LGPD nós disponibilizamos um Guia de políticas de privacidade.
a) Consentimento explícito: A LGPD exige que os sites e lojas virtuais obtenham o consentimento explícito dos clientes antes de coletar e utilizar seus dados pessoais. Isso significa que é necessário informar claramente quais informações serão coletadas, para qual finalidade e com quem elas serão compartilhadas.
b) Segurança da informação: A LGPD estabelece que os sites e lojas virtuais devem adotar medidas de segurança adequadas para proteger os dados pessoais dos clientes contra acessos não autorizados, vazamentos e incidentes de segurança. Isso inclui a implementação de políticas de segurança da informação, o uso de criptografia e o armazenamento seguro dos dados.
c) Direitos dos titulares dos dados: A LGPD concede aos titulares dos dados uma série de direitos, como o acesso aos seus dados pessoais, a correção de informações incorretas, a exclusão dos dados quando não forem mais necessários, entre outros. Os sites e lojas virtuais devem estar preparadas para atender a essas solicitações de maneira adequada e dentro dos prazos estabelecidos pela lei.
d) Transferência internacional de dados: A LGPD também estabelece regras para a transferência de dados pessoais para fora do Brasil. Os sites e lojas virtuais precisam garantir que os países de destino ofereçam um nível adequado de proteção aos dados ou que sejam adotadas medidas adicionais de segurança para proteger as informações.
LGPD para negócios
A Lei Geral de Proteção de Dados (LGPD) (Lei Federal n.o 13.709/2018) é uma legislação brasileira que tem como objetivo proteger os dados pessoais dos cidadãos e regulamentar o tratamento dessas informações pelas empresas. Sendo assim, para sites e lojas virtuais, a LGPD é de extrema importância, pois impõe regras claras sobre a coleta, o uso e o armazenamento dos dados dos clientes. Além disso, a lei busca aumentar a confiança dos consumidores ao garantir que suas informações pessoais estejam devidamente protegidas.
Leia na íntegra: https://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
3 mudanças importantes trazidas pela LGPD
Por que a LGPD é importante para empreendedores?
Que a LGPD é de vital importância devido às mudanças trazidas pela regulação dos dados, isso não se discute, mas implementá-la não é a tarefa mais fácil do mundo, exige atenção a detalhes e um bom tempo gasto para verificar processos, pessoas e documentos, e para facilitar esse momento nós criamos um Checklist para um negócio se adequar à LGPD.
Proteção da reputação da empresa e fidelização de clientes.
Pense que a onipresença dos dados e seu valor inestimável. Dados permeiam nosso cotidiano. Seja para receber promoções em lojas, comprar medicamentos, acessar serviços públicos ou realizar cursos, nossas informações pessoais e de consumo são constantemente compartilhadas. Na internet, a troca por serviços gratuitos em aplicativos e redes sociais também implica no fornecimento de dados.
Entendendo isso, empresas traçam perfis e preferências a partir desses dados, prevendo comportamentos e direcionando investimentos. O setor público também se beneficia, aprimorando políticas públicas e tomando decisões mais assertivas. O reconhecimento, filtragem e extração de informações permitem uma visão em tempo real de riscos e oportunidades.
Segurança jurídica e mitigação de riscos.
Evite coletar informações desnecessárias ou em excesso ao estrito cumprimento da tarefa de sua atribuição (princípio da necessidade). Atenção com e-mails que contenham dados pessoais. Não envie a mensagem para além das pessoas necessárias. Caso seja necessário compartilhar dados pessoais com terceiros (pessoas ou organizações), certifique-se de que existem as salvaguardas adequadas.
Princípios da Lei Geral de Proteção de Dados Pessoais (LGPD).
Bases legais
As bases legais são hipóteses que autorizam o tratamento de dados pessoais. Essas circunstâncias estão previstas no art. 7º, para dados comuns, no art. 11, para dados sensíveis, e no art. 23, que traz critérios adicionais, que complementam e ajudam na interpretação prática das bases legais.
Cumprimento de obrigação legal ou regulatória pelo controlador
Nesse contexto, o tratamento de dados pessoais é necessário para atender a uma determinação legal expressa ou uma obrigação de natureza regulatória estabelecida por um órgão regulador.
Exemplo: para cumprir obrigações trabalhistas e previdenciárias ou determinações da Lei de Acesso à Informação.
Consentimento para tratamento de dados
O consentimento, para fins de tratamento de dados pessoais, é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma determinada finalidade.
Existem exceções relativas ao CDC (Código de Defesa do Consumidor), de uso da administração pública acerca de políticas públicas, e com relação à tutela da saúde.
Exemplo: você baixa um aplicativo, informa seus dados pessoais e clica em aceitar os termos de uso e a política de privacidade.
Execução de contrato
Quando necessário para a execução de contrato ou procedimentos preliminares a ele relacionado. Então se para a execução de um serviço seu em específico você precisa do endereço da pessoa, é legítimo pedir esse dado, pois está embasado na base legal da execução de contrato.
Exemplo: para cumprir o contrato de fornecimento de telefonia móvel, a empresa precisa de alguns dos seus dados pessoais.
Interesses legítimos do controlador ou de terceiro
O tratamento é necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem os direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, especialmente se o titular for criança.
Exemplo: envio de propaganda sobre promoção de um produto para clientes antigos de uma loja de óculos.
Proteção ao crédito
Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Exemplo: avaliação do score de crédito da pessoa para concessão de um novo empréstimo.
Existem outras bases legais como tutela da saúde e execução de políticas públicas, mas elas não se encaixam no escopo desse ebook por não serem relacionadas a negócios.
Controlador
Já o controlador de dados é a pessoa física ou jurídica que decide como seus dados pessoais serão usados. Portanto é como se fosse o “chefe” dos seus dados, ele é o tomador de decisões.
Dentre suas tarefas:
Encarregado de dados (DPO)
Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
As atividades do encarregado consistem em:
O Encarregado é responsável por garantir a conformidade com a LGPD daquele negócio e também é o canal de comunicação para dúvidas e reclamações sobre proteção de dados.
Em resumo, a principal diferença entre o controlador e o encarregado é que o controlador toma as decisões sobre o tratamento de dados, enquanto o encarregado atua como um canal de comunicação e um especialista em proteção de dados.
Operador de dados
O operador é quem realiza o tratamento dos dados segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
Ele de fato opera os dados, é um funcionário da empresa que segue as regras da lei e do negócio.
Titulares
A Lei Geral de Proteção de Dados Pessoais (LGPD) garante aos titulares de dados diversos direitos, que visam dar-lhes mais controle sobre seus dados e proteger sua privacidade.
Os principais direitos dos titulares de dados, segundo a LGPD, são:
Penalizações
Lei do ecommerce
A Lei do E-commerce, oficialmente conhecida como Decreto nº 7.962/2013, regulamenta o comércio eletrônico no Brasil. Ela complementa o Código de Defesa do Consumidor (CDC), de 1990, trazendo disposições específicas para as transações online. Leia completo em https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2013/decreto/d7962.htm
O impacto da LGPD nos sites e nas lojas virtuais
A LGPD trouxe mudanças significativas no cenário da proteção de dados no Brasil, afetando diretamente os sites. Assim sendo, é essencial que as empresas se adaptem e estejam em conformidade com essa legislação, a fim de garantir a segurança e a privacidade dos dados pessoais dos clientes. Ao adotar medidas de proteção adequadas, como obter consentimento explícito, implementar segurança da informação e estar ciente dos direitos dos titulares dos dados, as lojas virtuais podem construir confiança e demonstrar compromisso com a proteção dos dados pessoais.
Para ajudar os empreendedores e donos de empresas a se adequarem à LGPD nós disponibilizamos um Guia de políticas de privacidade.
a) Consentimento explícito: A LGPD exige que os sites e lojas virtuais obtenham o consentimento explícito dos clientes antes de coletar e utilizar seus dados pessoais. Isso significa que é necessário informar claramente quais informações serão coletadas, para qual finalidade e com quem elas serão compartilhadas.
b) Segurança da informação: A LGPD estabelece que os sites e lojas virtuais devem adotar medidas de segurança adequadas para proteger os dados pessoais dos clientes contra acessos não autorizados, vazamentos e incidentes de segurança. Isso inclui a implementação de políticas de segurança da informação, o uso de criptografia e o armazenamento seguro dos dados.
c) Direitos dos titulares dos dados: A LGPD concede aos titulares dos dados uma série de direitos, como o acesso aos seus dados pessoais, a correção de informações incorretas, a exclusão dos dados quando não forem mais necessários, entre outros. Os sites e lojas virtuais devem estar preparadas para atender a essas solicitações de maneira adequada e dentro dos prazos estabelecidos pela lei.
d) Transferência internacional de dados: A LGPD também estabelece regras para a transferência de dados pessoais para fora do Brasil. Os sites e lojas virtuais precisam garantir que os países de destino ofereçam um nível adequado de proteção aos dados ou que sejam adotadas medidas adicionais de segurança para proteger as informações.
Tags
Conteúdos recentes
Branding é estratégia para negócios digitais
15 de abril de 2024Checklist para um negócio se adequar à
28 de março de 2024LGPD para negócios
25 de março de 20247 franquias baratas de alimentação para você
21 de março de 20245 dicas para empreender com sucesso em
21 de março de 2024