Para começarmos a entender as origens da LGPD (Lei Geral de Proteção de Dados), precisamos entender quais eram os problemas globais antes da criação da lei.
- Insegurança Jurídica:Leis esparsas, inconsistentes e obsoletas na Europa e inexistentes no Brasil.
- Disrupção Tecnológica x Privacidade: Economia Digital, Internet of Things (IoT), Inteligência Artificial, Big Data, Criptomoedas, COVID-19…
- Mercado: Necessidade de conquistar vantagem competitiva e transferir dados internacionalmente.
Para resolver estas questões, o Espaço Econômico Europeu criou a GDPR (General Data Protection Regulation) entre 2016 e 2018 e o Brasil criou a LGPD (Lei Geral de Proteção de Dados) entre 2018 e 2020.
Lei Geral de Proteção de Dados
A LGPD tem como escopo o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.
O objetivo da LGPD é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A LGPD pode ser aplicada a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados realizada no território nacional.
Agentes de Tratamento
Os agentes de tratamento são os responsáveis por aplicar os princípios da LGPD e pelo manuseio dos dados coletados. Basicamente, eles se dividem em 2 papéis:
- Controlador: é a pessoa natural ou jurídica, de direito público ou privado, que toma as decisões referentes ao tratamento de dados pessoais.
- Operador: é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
A responsabilidade acaba sendo compartilhada entre os 2 papéis. Tanto o controlador quanto o operador que, em razão do exercício de atividade de tratamento de dados pessoais, podem causar a outros dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, são obrigado a reparar os danos.
Riscos
No dia a dia das empresas, podemos ter algumas práticas que pode causar violação à LGPD:
- Funcionários trabalhando em redes inseguras e não pertencentes ao servidor da empresa
- Banco de dados não criptografados ou protegidos por senha
- Descuido com notebooks ou celulares da empresa em locais públicos.
- Armazenamento indevido de currículos pelo RH
- Servidor desprovido de senha ou mecanismos de segurança
- Roubo ou sequestro de dados
- Falta de gerenciamento de acesso de funcionários em dependências físicas e digitais da empresa
- Falta de uma cultura de integridade e privacidade na empresa: malwares, engenharia social, phishing…
Penalidades
As penalidades pelo descumprimento das normas da LGPD podem ser aplicadas isoladas ou cumulativamente e podem acarretar:
- Advertência: com indicação de prazo para tomar medidas corretivas
- Multa: até 2% do Faturamento Bruto da empresa (máximo 50 milhões de reais)
- Multa Diária: regularização do banco de dados
- Publicização da infração: mídia nacional e internacional
- Bloqueio dos dados: até a regularização
- Eliminação dos dados
- Suspensão do funcionamento do banco de dados: 6 + 6 meses
- Proibição parcial ou total da atividade da empresa
Como saber se a LGPD atinge meu negócio digital?
Como a LGPD ainda é uma novidade no Brasil, há certas dúvidas em relação à sua aplicação e extensão. Veja abaixo alguns pontos que a lei é aplicada.
Tratamento de dados pessoais
- Recebe documentos de clientes ou parceiros contendo dados pessoais
- Coleta, armazena ou elimina dados pessoais por meio de seus produtos digitais
- Recebe e armazena currículos para processos seletivos
- Processa dados de pagamento de clientes ou funcionários
Lei Geral de Proteção de Dados
- Possui um produto que usa cookies ou analytics;
- Possui um produto ou software que coleta, trata ou analisa dados pessoais;
- Envia e-mails promocionais de marketing ou newsletters aos seus clientes,
Privacy by Design
Privacy by Design é um framework utilizado para desenhar e programar softwares e aplicativos com altos padrões de segurança da informação, informação e transparência para o usuário sobre as atividades de coleta de seus dados pessoais e seus direitos. Para facilitar a sua aplicação, o framework foi dividido em 7 princípios:
- Proatividade, não reatividade: Softwares e sistemas devem antecipar e prevenir problemas de privacidade antes mesmo que eles aconteçam
- Privacy by Default: Softwares devem ser desenvolvidos para entregar padrões de privacidade em nível máximo, automaticamente como uma configuração padrão
- Funcionalidade Completa: A adoção do princípio do Privacy By Design não pode comprometer as funcionalidades do produto digital, que devem se manter íntegras
- Segurança de ponta à ponta: A privacidade deve ser protegida durante todo o ciclo de vida dos dados pessoais em um aplicativo, como nas etapas de captura, armazenamento e eliminação ao final do tratamento.
- Visibilidade e Transparência: As medidas de privacidade e segurança devem ser alocadas no produto digital em locais visíveis para o usuário e detalhadas em linguagem e design visual transparentes e fáceis de entender.
- Privacidade embutida no design: A privacidade deve ser embutida no design e na arquitetura da aplicação digital, e não adicionadas como um complemento.
- Respeito pela privacidade do usuário: Desenvolvedores e designers devem sempre prezar pelos interesses do usuário e ter em mente seus direitos de privacidade.
Como tornar seu produto privacy-friendly?
Abaixo selecionamos 5 dicas com exemplos práticos para mostrar como você pode aplicar os princípios do framework Privacy by Design no seu produto digital:
1) Políticas de Privacidade, Notificação de Cookies e Termos e Condições de Uso: Linguagem clara e acessível ao público alvo
2) Notificações em tempo real: Pop-up de privacidade no momento do preenchimento de formulários e coleta de dados pessoais.
3) Não pré-marcar caixas de consentimento.
4) Compatibilidade do produto com tecnologias de segurança da informação
5) Pseudonimização de caracteres digitados pelo usuário e do banco de dados
6) Jornada do usuário: Conectada com o design do produto para conduzi-lo aos campos corretos de preenchimento de dados pessoais e de exercício de seus direitos (opt-in, opt-out, links para as informações necessária, etc).
Este artigo foi escrito com base no webinar realizado pela Tuia em conjunto com a Distrito realizado no dia 26/10/2020, que teve convidada Isabela Tancredo, Analista de Privacy e Data Protection na Palqee Tecnologies e o tema “LGPD: O que é e como aplicar na interface do seu produto através do conceito Privacy by Design”
Acesse o webinar também no Youtube
Agora que você já aprendeu sobre a LGPD e como deixar o seu produto digital mais privacy-friendly, aproveite para conferir como melhorar a usabilidade do seu produto no post com as 10 regras de ouro da usabilidade.