Sujeitas à Lei Geral de Proteção de Dados – LGPD, as empresas brasileiras precisam investir em tecnologia para garantir o tratamento adequado das informações pessoais de seus clientes e impedir que os dados vazem ou sejam usados indevidamente.
Mais do que conhecer a legislação, qualquer negócio – independentemente do porte e da área de atuação – deve se responsabilizar pelas formas como vai gerenciar os dados obtidos por meio de cadastros, documentos fiscais, área jurídica, ações de marketing ou qualquer outra forma de relacionamento que exija a captura de dados pessoais.
O primeiro passo é ter certeza de que as soluções adotadas pela empresa para o tratamento de dados – conforme determina a LGPD – são as mais adequadas e seguras. Para isso, é essencial que a gestão seja feita por meio de softwares especializados, confiáveis, que criptografe as informações e facilite o controle e o acesso às informações.
As empresas de transporte de passageiros são altamente impactadas pela LGPD porque concentram dados dos clientes, como na venda de passagens, por exemplo.
Neste artigo, vamos mostrar tudo o que você precisa saber sobre a LGPD, as regras gerais, implicações em caso de descumprimento da lei e como os softwares de gestão que integram as áreas financeira, compras, contas a pagar, comercial e recursos humanos podem ser grandes aliados. Confira!
O que significa LGPD?
LGPD é a Lei Geral de Proteção de Dados (Lei 13.709/2018). Foi inspirada na General Data Protection Regulation (GDPR), em vigor na União Europeia. Com a LGPD, o Brasil também passou a contar com uma legislação específica para a proteção de dados dos seus cidadãos, assim como outros mais de 120 países.
A LGPD tem regras para evitar o vazamento e comercialização de informações pessoais e garantir a privacidade dos brasileiros, além de facilitar as relações comerciais, inclusive internacionais.
O que é a LGPD e qual o seu objetivo?
O objetivo principal da LGPD é garantir a proteção e a transparência no uso de dados das pessoas físicas e resguardar direitos fundamentais como liberdade, privacidade e segurança. Para isso, a lei traz regras rígidas e estabelece sanções no caso de descumprimentos.
A partir de diretrizes claras, a LGDP padroniza as práticas de proteção a dados pessoais, cria um cenário de segurança jurídica e vincula o trânsito e o tratamento dessas informações ao consentimento do próprio cidadão.
Por que a LGPD foi implementada no Brasil?
A Lei Geral de Proteção de Dados foi criada no Brasil para garantir a soberania aos titulares dos dados, regular a coleta e tratamento das informações, evitar o vazamento e comercialização de informações pessoais e criar uma estrutura de fiscalização.
A legislação foi implementada com base em valores como:
- Direito à privacidade e à proteção de dados pessoais.
- Práticas transparentes e seguras.
- Criação de regras claras para o tratamento de dados pessoais.
- Mais segurança nas relações jurídicas e mais confiança dos titulares dos dados no repasse de informações.
- Melhoria das relações comerciais.
Como funciona a LGPD?
A LGPD concede ao titular dos dados o controle sobre as informações. Por isso, toda empresa que precisa captar dados pessoais deve obter a permissão do usuário, de forma explícita, consciente e espontânea.
Ou seja, sempre que uma empresa solicita informações pessoais de um cliente, por exemplo, terá de informar quais as finalidades desses dados e de que forma eles serão tratados.
O aceite é dado pelo usuário e cabe à empresa dispor dos recursos necessários para garantir a transparência e a segurança das informações que irá receber.
Para quais atividades a LGPD é aplicável?
Aplicável a empresas de qualquer porte ou área de atuação e que utilizam informações dos clientes, a Lei Geral de Proteção de Dados vale para dados coletados de pessoas (brasileiras ou não) residentes no país.
Pessoas jurídicas que mantêm cadastros de seus clientes, por exemplo, devem seguir rigorosamente a legislação, assim como empresas com atuação no exterior.
Nestes casos, a regra é válida se os dados em processamento pertencerem a pessoas residentes no Brasil, se a atividade oferece ou fornece bens ou serviços a pessoas no Brasil ou ainda se os dados foram coletados no Brasil.
Normalmente, a LGPD impacta especialmente os setores de TI, comercial, marketing e jurídico.
Quais são os três cenários que a LGPD atua?
Existem três pilares para a adequação à LGPD: pessoas, processos e tecnologias.
1. Pessoas
As empresas devem nomear um Encarregado de Proteção de Dados (DPO – Data Protection Officer) com o conhecimento necessário sobre a lei e as estratégias de proteção dos dados.
Essa pessoa é encarregada de monitorar a efetividade dos processos de privacidade, capacitar os profissionais envolvidos no tratamento dos dados e fazer o reporte à gestão da empresa e aos órgãos regulamentadores.
Na outra ponta estão os titulares de dados, que têm, como direitos:
- garantia de retificação e atualização dos dados;
- possibilidade de consentimento para o tratamento de dados;
- portabilidade mediante permissão (encaminhamento dos dados para outras empresas que fornecem o mesmo serviço);
- recebimento das informações sobre as entidades com as quais o controlador compartilhou os dados;
- revogação do consentimento.
2. Processos
Envolve o mapeamento e definição dos fluxos de dados e a descrição das atividades necessárias para o tratamento de informações pessoais. Este controle interno é a chave para garantir que todas as estratégias adotadas pela empresa sejam eficientes e seguras.
Outro aspecto essencial é a criação de uma estrutura de governança de dados, que atribui as responsabilidades e os métodos de gestão e organização das informações pessoais, assim como o reporte de incidentes sobre eventuais vazamentos.
3. Tecnologia
O gerenciamento dos riscos que envolvem a segurança das informações requer tecnologia. Por isso, as empresas devem contar com um sistema gestor de segurança da informação (SGSI) capaz de identificar e analisar as vulnerabilidades, além de garantir medidas preventivas contra vazamentos.
A tecnologia também auxilia na manutenção de um inventário, na centralização e na localização dos dados pessoais, aprimorando o controle sobre as informações.
Quais são os tipos de dados pessoais?
A lei define como dados pessoais quaisquer informações que identifiquem, direta ou indiretamente, uma pessoa. Normalmente, são dados usados para fins comerciais e para analisar hábitos de consumo e comportamento dos clientes.
É o conjunto de informações como nome, data e local de nascimento, e-mail, CPF, RG, endereço, dados bancários, renda, número de telefone, dados de localização (como os fornecidos por aparelhos celulares), endereço de IP etc.
Outros tipos de dados
- Sensíveis – dados pessoais que exigem mais atenção no tratamento. São relacionados a crianças e adolescentes ou informações sobre origem racial ou étnica, convicção religiosa, filosófica ou política, filiação sindical, dados biométricos ou genéticos, aspectos de saúde e vida sexual.
- Públicos – são aqueles de interesse público, com finalidade clara e boa-fé. Podem ser tratados sem a necessidade de novos consentimentos do titular, a menos que sejam compartilhados com outras organizações. Normalmente, dizem respeito a dados de interesse coletivo ou geral.
- Anonimizados – é o caso em que os dados são processados por técnicas que removem ou modificam as informações, impedindo que o titular seja identificado ou garantindo sua desvinculação. Se, de alguma forma, a identificação ocorrer, o dado deixa de ser anonimizado e, naturalmente, fica sujeito à LGPD.
Quais são os impactos da LGPD: como é feita a fiscalização?
A responsável por fiscalizar o cumprimento da LGPD e aplicar as penalidades em caso de descumprimento é a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Normalmente, a ANPD atua mediante denúncias e reclamações de pessoas que se sentem lesadas e, a partir daí, toma as medidas cabíveis.
De modo geral, a Lei Geral de Proteção de Dados é responsiva, com etapas de monitoramento, orientação, prevenção e repressão de infrações. Por isso, é essencial que as empresas mantenham em sua estrutura pessoas, processos e tecnologias capazes de garantir o cumprimento à lei.
Penalidades para quem descumpre a LGPD
Falhas na segurança durante o tratamento de dados pessoais podem gerar multas de até 2% do faturamento anual da empresa, limitado a R$50 milhões por infração. A penalidade é definida pela ANPD de acordo com a gravidade da ocorrência e prevê:
- Advertência e prazo para medidas corretivas;
- Multa simples de até 2% do faturamento, limitada a R$ 50 milhões;
- Multa diária;
- Obrigatoriedade de dar publicidade da infração;
- Bloqueio dos dados pessoais até a regularização;
- Eliminação dos dados pessoais referentes à infração;
- Suspensão parcial do funcionamento do banco de dados da empresa;
- Suspensão da atividade de tratamento de dados pessoais.
Confira a playlist que criamos no nosso canal do YouTube com o que você precisa saber sobre a LGPD!
Em que ocasião a LGPD não se aplica?
Existem alguns casos em que a LGPD não se aplica, a exemplo daqueles utilizados para fins exclusivamente jornalísticos (resguardando a liberdade de imprensa), artísticos e acadêmicos (uso de dados em pesquisas sem fins comerciais, desde que anonimizados).
Além disso, para informações relacionadas à segurança pública, defesa nacional e atividades de investigação e repressão de infrações penais.
O que mudou na LGPD a partir de 2023?
Desde que iniciou a sua atuação ao regulamentar a LGPD, a ANPD tem ressaltado pontos importantes e mais sensíveis para as companhias, a fim de conscientizá-las e evitar o uso inadequado dos dados em ações comuns ao cotidiano corporativo.
Entre esses pontos, estão a comunicação de incidentes e o uso adequado dos cookies na internet. Porém, existem outros diversos temas que precisam ser destacados e serão discutidos e regulamentados.
Em novembro de 2022, a ANPD publicou a Portaria 35/2022, que institui a Agenda Regulatória para 2023/2024. Essa agenda traz os esforços de orientação e regulamentação de dispositivos legais atribuídos ao órgão, de acordo com a LGPD.
Entre os pontos estabelecidos, um chama a atenção do mercado como um todo: a finalização do Regulamento de Dosimetria e Aplicação de Sanções Administrativas. O documento foi à consulta pública em agosto de 2022 e foi aprovado no dia 27 de fevereiro de 2023.
Esse regulamento define como são aplicadas as sanções administrativas às infrações, além dos critérios para cálculo do valor das multas. Vale ressaltar que diversas decisões proferidas pelo Poder Judiciário nos últimos anos já foram baseadas em dispositivos da LGPD, sobretudo no âmbito trabalhista.
Ciclos regulatórios da agenda 2023/2024
Itens que fizeram parte da agenda 2021/2022 e não foram concluídos, foram alocados para a primeira fase da agenda 2023/2024. Assim, ela foi dividida em quatro fases, em que estão dispostas 20 ações:
Fase 1: Itens remanescentes da agenda 2021/2022 e novos temas:
- Regulamento de dosimetria e aplicação de sanções administrativas;
- Direitos dos titulares de dados pessoais;
- Comunicação de incidentes e especificação do prazo de notificação;
- Transferência Internacional de dados pessoais;
- Relatório de impacto à proteção de dados pessoais;
- Encarregado de proteção de dados pessoais;
- Hipóteses legais de tratamento de dados pessoais;
- Definição de alto risco e larga escala;
- Dados pessoais sensíveis – organizações religiosas;
- Uso de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa;
- Anonimização e pseudonimização;
- Regulamentação do disposto no art. 62 da LGPD.
Fase 2: Itens cujo início do processo regulatório acontecerá em até 1 ano:
- Compartilhamento de dados pelo Poder Público;
- Tratamento de dados pessoais de crianças e adolescentes;
- Diretrizes para a política nacional de proteção de dados pessoais e da privacidade;
- Regulamentação de critérios para reconhecimento e divulgação de regras de boas práticas e de governança.
Fase 3: Itens cujo início do processo regulatório acontecerá em até 1 ano e 6 meses:
- Dados pessoais sensíveis – dados biométricos
- Medidas de segurança, técnicas e administrativas (incluindo padrões técnicos mínimos de segurança
- Inteligência artificial
Fase 4: Itens cujo início do processo regulatório acontecerá em até 2 anos:
- Termo de ajustamento de conduta – TAC
Como a LGPD se aplica a empresas de transporte?
Empresas de todos os setores e portes estão sujeitas à LGPD e isso se aplica também a área de mobilidade. Ou seja, a LGPD tem impacto na rotina de uma empresa de ônibus , já que há fluxo de informações pessoais em diversos tipos de documentos, inclusive fiscais.
Portanto, isso ocorre com as informações dos usuários no transporte de passageiros, seja na compra de passagens, emissão de bilhetes ou em ações de marketing para prospecção de novos clientes.
Como fazer a gestão de dados
É praticamente impossível fazer a gestão de dados de uma empresa e controlar devidamente a quantidade de informações que circulam diariamente sem o uso de tecnologias e softwares como o ERP, da sigla Enterprise Resource Planning.
Essa solução armazena todos os dados da empresa em uma plataforma única, facilitando a gestão das informações de passageiros, resguardando e documentando todos os processos de acordo com a LGPD.
Com expertise no mercado de mobilidade, a Praxio possui sistemas focados no transporte de passageiros. O sistema Globus armazena os dados em servidores criptografados de alta capacidade, que podem ser alocados na nuvem.
A implantação de boas práticas para o atendimento à LGPD passa pelo uso dos melhores softwares de gestão que auxiliam na administração de todas as informações com precisão e segurança.
Com os sistemas Praxio, preparados para controlar os processos internos e atender determinações legais como a Lei Geral de Proteção de Dados, sua empresa evita dores de cabeça.
Quer saber mais sobre como a tecnologia desenvolvida pela Praxio pode ajudar a sua empresa? Clique no botão abaixo e solicite uma demonstração com nossos especialistas!