A Lei Geral de Proteção dos Dados (LGPD) já entrou em vigor há mais de uma ano — no entanto, muitas empresas brasileiras ainda não se adequaram aos seus requisitos e correm o risco de sofrerem as multas e penalidades previstas na lei.
A LGPD em vigor foi a resposta brasileira a um movimento que busca garantir proteção a um dos maiores bens do consumidor: seus próprios dados. Inspirada no GDPR (General Data Protection Regulation), a lei européia de proteção dos dados, a LGPD estabelece os direitos do cidadão e os deveres das empresas para proteger as informações pessoais destes.
O grande problema é que muitas organizações ainda enfrentam dificuldades para identificar pequenas violações que cometem e podem gerar penalidades com a LGPD em vigor. Para solucionar este problema, abaixo listamos as 6 violações mais cometidas pelas empresas e o que fazer para eliminar cada uma delas. Acompanhe!
Violação #1: Comprar listas de dados
A compra de lista de dados era uma prática muito comum antigamente. Em geral, as informações de contato eram os dados mais buscados pelas empresas. O objetivo era realizar o chamado “cold calling”, quando uma empresa tentava conquistar um cliente entrando em contato com uma pessoa que nunca sequer deu seus dados a ela.
Como era de se esperar, o “cold calling” se tornou muito mal visto e, atualmente, pode configurar uma violação em potencial com a LGPD em vigor. Isso porque a LGPD proíbe que uma empresa colete dados pessoais dos usuários sem que haja consentimento explícito para isso.
Ou seja, você só pode utilizar um dado pessoal para se comunicar com sua base caso eles tenham deixado claro sua permissão para que sua empresa faça isso. Ao comprar listas, portanto, não há consentimento e sua empresa pode acabar penalizada.
Violação #2: Não obter consentimento
A primeira violação nos leva à segunda: não basta apenas não comprar listas, também é preciso garantir que haja consentimento explícito para uso de cada dado pessoal. Em outras palavras, mesmo que sua lista de contatos tenha vindo de um formulário na sua página, preenchido pelo próprio consumidor, você deve garantir que ele ou ela saiba para que está dando suas informações e como elas serão usadas.
Este consentimento deve ser coletado sempre que você ou seus sistemas fizer coleta de dados do usuário. Isso inclui, por exemplo, quando alguém acessa seu website e o mesmo coleta cookies com informações sobre a navegação do visitante.
É importante também que este consentimento seja claro, ou seja, o consumidor deve entender com o que estará concordando.
Violação #3: Coletar dados sem base legal válida
A LGPD em vigor também estabelece que você precisa ter uma base legal válida para coletar e usar os dados do consumidor. Essa base legal pode tanto ser o consentimento, como falamos no tópico anterior, como uma legítimo interesse, obrigação legal, execução de contrato ou processo judicial.
Vale reforçar: caso seja solicitado, a empresa deve ter provas de que possui base legal para o uso dos dados. Além disso, no caso do consentimento, o consumidor deve ser informado claramente sobre qual é a finalidade de uso e por quanto tempo os dados serão utilizados.
Violação #4: Compartilhar dados ou coletar informações demasiadas
Da mesma forma que você não deve comprar dados de terceiros, também é proibido pela LGPD que você compartilhe os dados coletados com outros. Afinal, o consumidor deu consentimento para que sua empresa utilize as informações, e não um terceiro.
A coleta de dados também deve ser restrita àquelas informações estritamente necessárias para a operação do seu negócio. Por exemplo, se sua empresa não realiza contatos via telefone, não há necessidade de coletar o número de telefone dos consumidores.
Violação #5: Utilizar dados para outras finalidades ou não deletá-los após o uso
Se você coletou os dados dos usuários para realizar uma pesquisa, e eles concordaram somente com isso, não poderá utilizar esses mesmos dados para executar uma campanha de marketing e enviar ofertas aos consumidores. As informações só podem ser usadas para a finalidade informada ao usuário — caso queira utilizá-las para outros fins, deverá coletar um novo consentimento.
Além disso, a LGPD em vigor estabeleceu alguns direitos do cidadão em relação aos seus dados: caso um titular solicite, você deve ser capaz de deletar as informações que armazena dele ou dela. Essa solicitação pode ser feita a qualquer momento e sem nenhum prejuízo para o titular.
Mesmo que o titular não peça, sua empresa ainda precisa deletar as informações para as quais não possui mais base legal de uso.
Violação #6: Não proteger os dados contra vazamentos e ataques
Por último, é obrigação da sua empresa proteger os dados pessoais que os usuários confiam a ela de vazamentos e ataques ilegais. Em outras palavras, seu negócio deve investir em medidas robustas de segurança da informação para proteger sua infraestrutura de TI e os locais onde estão armazenados os dados.
Também é essencial que você garanta que seus fornecedores, especialmente aqueles que fornecem softwares na nuvem, sigam padrões rígidos de segurança, uma vez que você poderá ser responsabilizado caso algum dado coletado pelo seu negócio seja vazado pelo terceiro.
Bônus: o que acontece caso eu cometa alguma violação com a LGPD em vigor?
Para monitorar e autuar as empresas que violam os requisitos da LGPD em vigor, foi criada a Agência Nacional de Proteção dos Dados (ANPD). A ANPD pode tanto realizar auditorias sem aviso prévio quanto iniciar uma investigação a partir de denúncias dos consumidores.
Caso seja identificada alguma violação, as penalidades podem chegar a R$ 50 milhões ou até 20% do faturamento anual da empresa. Fora o prejuízo financeiro direto, também há os indiretos: a violação é publicizada pela ANPD, o que pode prejudicar a reputação do negócio.
Por isso, não perca tempo e corra para se adequar com a LGPD em vigor. Se quiser saber mais sobre o assunto, veja também nosso post sobre como se adequar à LGPD e garantir sua conformidade!
