A Lei Geral de Proteção de Dados, ou LGPD, é a lei brasileira que determina parâmetros para a coleta, trato e armazenamento de dados no país.

O objetivo da LGPD é garantir a segurança de dados sensíveis de usuários, que podem ser expostos em ataques cibernéticos e falhas na segurança de dados das empresas.

Porém, ainda restam muitas dúvidas sobre o funcionamento da lei. Se você quer entender o que são dados sensíveis e como as suas informações são tratadas pelas empresas, continue a leitura e descubra tudo o que você precisa saber sobre a LGPD.

O que é LGPD?

A Lei Geral de Proteção de Dados, ou Lei 13.709/2018, foi sancionada em 14 de agosto de 2018 e entrou em vigor em setembro de 2020. 

A partir disso, as empresas tiveram o prazo de um ano para se adequar às novas normas. Por isso, as multas passaram a ser aplicadas a partir de agosto de 2021.

Mesmo com o prazo de quase um ano, empresas e usuários seguem com dúvidas sobre o que é a LGPD.

Na prática, a lei exige que as empresas tenham transparência sobre os dados obtidos, bem como deixem claro para quê eles são usados e como a empresa protege as informações contra vazamentos.

Porém, é importante ressaltar que a lei se aplica a todas as empresas, não somente às de grande porte ou que são inteiramente digitais.

Os empreendedores e pequenas empresas também devem adotar medidas para a transparência e segurança das informações obtidas com seus sites, blogs e/ou lojas virtuais, além de documentos impressos.

O que são dados sensíveis?

Dados sensíveis são informações que podem identificar o usuário como pessoa física. Nome, número de telefone, número de RG, CPF ou outro documento de identificação, endereço residencial, dados bancários (número de cartão de crédito, número de conta-corrente, etc.) e outros.

Todos esses dados podem comprometer diretamente o usuário, seja pela exposição de informações sigilosas, como movimentações bancárias, ou até mesmo pelos prejuízos financeiros causados por golpes. Por isso, é responsabilidade das empresas que a segurança desses dados seja prioridade.

Em muitos casos, a criptografia é uma grande aliada para a proteção da privacidade dos usuários. A base de dados da empresa não pode ser lida e roubada por criminosos, pois os dados sigilosos não estão disponíveis sem a chave da criptografia.

Como funciona a LGPD?

Os dois pilares da LGPD são a transparência e a segurança dos dados fornecidos pelos usuários

Para isso, é necessário que o usuário concorde com a solicitação de dados e que a política de privacidade seja de fácil acesso. 

A transparência deve abordar os cookies e dados de identificação do usuário, que podem incluir endereço de IP (um código numérico que identifica cada dispositivo conectado à internet, seja celular, computador, etc), localização geográfica, e outros dados sobre acesso e perfil de usuários.

Além da transparência, as empresas são impedidas de fornecer esses dados a outras empresas sem a explícita autorização do usuário. 

A segurança dos dados deve ser feita desde o momento da coleta, com formulários e canais protegidos. No âmbito digital isso se dá com a segurança do código desenvolvido e a criptografia dos dados.

A lei também prevê que os dados coletados sejam anonimizados. Isso significa que, ao acessar o banco de dados, não é possível identificar quem é o titular do dado enquanto pessoa física.

Com a anonimização, a proteção de dados sensíveis é garantida. A LGPD determina isso para evitar a identificação e discriminação de indivíduos a partir de um vazamento de dados. 

Dessa forma, não é possível ligar uma pessoa física aos seus dados pessoais de identificação (como RG, CPF, telefone), bancários ou até mesmo questões pessoais como religião, opinião política, orientação sexual e características fenotípicas como a cor da pele.

Multas da LGPD

As infrações e multas da LGPD estão localizadas nos artigos 52, 53 e 54 da lei. A vigilância da lei é feita pela Autoridade Nacional de Proteção de Dados (ANPD), como previsto na Política Nacional de Proteção de Dados Pessoais e da Privacidade.

As multas variam de acordo com a gravidade da infração, gravidade dos danos causados, má-fé do infrator e se medidas corretivas foram adotadas.

A partir disso, a penalização pode ser em multas que vão de 2% do faturamento da pessoa jurídica até um valor máximo de R$ 50 milhões.

Outras penalizações se dão por sanções — como advertências, bloqueio de acesso e até mesmo a exclusão da plataforma na internet.

Como se regularizar com a LGPD

A LGPD parece ser uma lei difícil de seguir, mas muitos tópicos são de fácil execução, mesmo para pequenas empresas.

Em resumo, para estar em conformidade com a lei, você precisa seguir os seguintes passos:

  • Colete somente o indispensável: evite coletar dados desnecessários, que não serão utilizados ou que não são cruciais para o seu objetivo;
  • Limpe os dados antigos e desnecessários: exclua os dados que não estão mais em uso, desatualizados ou que foram coletados desnecessariamente;
  • Defina um local seguro de armazenamento: evite manter dados sensíveis em aplicativos e documentos de fácil acesso. Dê preferência para bancos de dados que utilizam criptografia e faça a anonimização dos dados;
  • Determine camadas de permissão: nem todos os colaboradores devem ter acesso a todos os dados armazenados. Determine uma hierarquia de cargos e limite o acesso a dados de usuários;
  • Respeite a privacidade de dados: implemente a anonimização dos dados de forma automatizada e criptografada. Esse procedimento deve ser feito por uma equipe de TI especializada, seguindo as práticas de Encriptação, Generalização, Supressão ou RDP (Random Data Perturbation).

Além do básico sobre transparência e segurança de dados, a empresa também deve estar em conformidade com o Relatório de Impacto da Proteção de Dados Pessoais (RIPD).

O relatório auxilia a empresa a identificar o que já corresponde a LGPD e o que precisa ser modificado.

De acordo com o artigo 5º, inciso XVII da LGPD, o RIPD é uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;”.

O RIPD é uma obrigatoriedade da LGPD, mas depende da proatividade da empresa em criar o relatório antes que ele seja requerido pela ANPD.

O artigo 3º, inciso IV determina que ficam isentos do RIPD somente aqueles que forem que não estejam no Brasil e que não façam uso compartilhado de dados com agentes de tratamento brasileiros ou não, desde que o país proporcione grau de proteção de dados adequados aos previstos na LGPD. 

Para a criação do RIPD, você pode seguir os nove passos orientados pela ANPD. Confira o documento de orientação.

Afinz e a segurança dos seus dados

Afinidade de verdade é estar com você em todos os momentos, e isso não exclui a segurança dos seus dados.

Prezamos pela privacidade e segurança dos nossos clientes e usuários das nossas plataformas digitais.

Para conhecer mais sobre a nossa política de transparência, você pode acessar:

Essas e outras informações podem ser acessadas a qualquer momento pelos links no rodapé.