Entenda o que muda com a chegada da Lei Geral de Proteção de Dados (LGPD) ao Brasil, a sua abrangência e os impactos no direito digital.

Direito digital e a LGPD no mercado

Falar de direito digital desde setembro de 2020 é falar também da LGPD – Lei Geral de Proteção de Dados brasileira. Em vigor desde então, na cola da versão europeia, a lei tem como objetivo regulamentar o tratamento de dados no País.

Não é de hoje que empresas como Google e Facebook têm passado por sabatinas em decorrência do seu comportamento ao captar e usar dados de seus usuários. A Suprema Corte Norte-Americana tem tratado o assunto com seriedade, principalmente depois de diversos escândalos envolvendo as fake news – inclusive as acusações de interferência no processo eleitoral do país.

Não é pouca coisa.

Mesmo antes destes grandes escândalos virem à tona, ativistas pela privacidade dos usuários já vinham em campanha por uma legislação que regularizasse, fiscalizasse e punisse aqueles que não seguissem as regras. O medo vai além da invasão de privacidade: chega aos riscos que notícias falsas e polarização de opiniões apresenta à sociedade.

Num cenário destes, foi natural que a União Europeia buscasse uma maneira de prevenir situações como o caso Cambridge Analytica. Assim, em 2016 criou a GDPR, General Data Protection Regulation, em vigor desde 2018 e na qual a brasileira LGPD se baseia.

Os Estados Unidos, referência em tecnologia, ainda não tem uma legislação similar.

Mas afinal, como funciona a LGPD?

O objetivo básico é ser uma legislação que determina regras para o tratamento de dados pessoais. Deve haver confiança e transparência, e também se deve prezar em primeiro lugar, pela privacidade do titular dos dados – aquele que é dono das informações.

A LGPD entende que o titular deve ter controle de suas informações, como e quando são captadas, para que serão usadas, e ainda autonomia em poder decidir quando uma empresa deve deletar as mesmas de sua base de dados.

O titular está no controle de sua privacidade.

Algumas mudanças já podem ser vistas. É muito comum, por exemplo, que sites agora exibam um aviso de “nós coletamos cookies”, um pedacinho de código que armazena informações sobre o comportamento de um internauta enquanto navega naquela página específica.

Isso sempre aconteceu. A diferença é que, agora, a pessoa pode aceitar, recusar, ou customizar quais informações quer compartilhar com aquele domínio.

Quais dados a LGPD abrange

A LGPD regulamenta todo tratamento de dado, ou seja, captação, armazenamento, modificação, compartilhamento, apagamento de informações variadas de pessoas físicas por outras pessoas físicas ou jurídicas.

O titular dos dados é entendido como a pessoa natural, ou seja, qualquer indivíduo vivo, pessoa física, identificável ou identificada. Mas quais dados a LGPD abrange?

Há duas categorias importantes, antes de tudo: dados sensíveis e não sensíveis. Os dados não sensíveis são também chamados de públicos, informações de contato e pessoais, como por exemplo:

Nome completo
Nome de pai e mãe
Endereço de casa
Endereço de email
Números de telefone
Data de nascimento
RG e CPF

Nesta categoria entram também dados coletados pelas empresas ou pessoas físicas em relação a hábitos de consumo e comportamento do titular. Como por exemplo: navegando num site, o usuário clica, seleciona, salva produtos; passa cinco minutos em uma página, apenas 30 segundos em outra.

Essas informações são riquíssimas às empresas, pois permitem que seus algoritmos aprendam mais sobre os clientes e façam recomendações acertadas de produtos. Os famosos “cookies” dos sites são os responsáveis por essa coleta de dados.

Bem, e quanto aos dados sensíveis? Estes são aqueles que, segundo a lei, podem gerar constrangimento ou preconceito por parte de terceiros. Aqui entram preferências religiosa e política, informações de saúde, identificação sexual e de gênero, por exemplo.

Em caso de infrações à LGPD, como por exemplo, um vazamento de dados ou uma forma indevida de tratamento, esta classificação entre sensível e não sensível é extremamente relevante: ela determina a gravidade da pena.

Além dessas duas categorias, há ainda os dados anonimizados. São aqueles que não permitem a identificação do seu titular. Por exemplo, no mesmo caso de visitar um site, como citado acima, o domínio capta informações sobre os produtos mais vistos, com o objetivo de saber quais de seus catálogos ofertados são mais populares, mas não salva nenhuma informação que indique “foi Sônia, do email soniaf@dominio.com”, que fez aquela seleção.

Aqui vale ressaltar que toda a cadeia de tratamento de dados deve permanecer anonimizada. Ou seja, se no momento da visita não há como identificar Sônia, mas depois de uma ação específica no site, sua identidade é confirmada, o dado não é anonimizado.

Impactos no mercado digital

Com este breve contexto, fica claro que o impacto da LGPD no mercado digital é grandioso. Não há um outro setor da nova economia em que vivemos que seja tão afetado pela nova legislação.

Desde campanhas de marketing, compra e venda, promoções até redes sociais, negócios totalmente digitais, todas as empresas no mercado digital ou com presença online terão que se adaptar.

Para este processo, é imprescindível ter uma assessoria jurídica especializada, garantindo que a empresa siga todas as determinações da lei e esteja protegida ou menos suscetível de possíveis penalidades. Veja abaixo alguns pontos relevantes do que muda com a LGPD.

O que muda para empresas e consumidores?

O primeiro ponto a se ressaltar é que a lei não quer proibir empresas de coletarem dados de seus clientes, mas apenas regulamentar como isso acontece e garantir a privacidade e liberdade dos titulares.

Assim, as determinações da LGPD devem ser seguidas em toda interação entre organizações do terceiro setor, órgãos públicos, profissionais autônomos, empresas e pessoas naturais (físicas). Sem o consentimento claro e expresso do titular de dados, nenhuma ação pode ser realizada com seus dados.

Na prática, isso significa que apenas o que é extremamente necessário para uma ação específica deve ser coletado. Será que o usuário precisa fornecer seu RG para se inscrever em uma newsletter, por exemplo?

Ou um cliente precisa informar seu telefone, email e CPF para finalizar uma compra em uma loja física?

A partir de agora, o titular deve ser informado, no momento da coleta:

Quais dados serão coletados
Para que eles serão usados
Por que eles são necessários

E, além disso, ter a garantia de que os dados serão utilizados apenas para aquele propósito. Ou seja, se o cliente informa seu endereço de email para participar de uma promoção pontual, a empresa não pode passar a enviar mensagens variadas, de outras ações promocionais.

Vale lembrar também que em qualquer momento o titular tem o direito de exigir que todos os seus dados sejam deletados da base da empresa, e também pode exigir saber quais dados são armazenados e para quê.

As empresas têm que estar aptas a responder a essas exigências, e respeitar o direito do titular de revogar seu consentimento previamente dado.

Há algumas exceções, como por exemplo em relação à saúde e preservação da vida. Mas para relações de comércio e no ambiente digital, não há escapatória.

Como implementar a LGPD?

Complexa e repleta de detalhes, pode parecer intimidador implantar a LGPD na sua empresa. Mas com alguns pontos em mente e a assessoria jurídica especializada, a adaptação é tranquila e sem grandes obstáculos.

Veja abaixo os principais pontos para lembrar:

Determine uma pessoa dentro da empresa responsável pelo processo de adaptação. Isso facilita o dia a dia: centralizar todas as informações do andamento da transição é o melhor caminho. Assim, a assessoria jurídica também tem um ponto de contato interno.
Faça uma análise completa da situação atual da empresa: como é o processo de tratamento de dados, quais são necessários, delete todos que não sejam imprescindíveis à operação. Isso vale em relação a clientes, funcionários, sócios, fornecedores, etc.
Com o cenário atual mapeado e os dados desnecessários descartados, tenha muito claramente:
1. Finalidade dos dados
2. Processo de tratamento de dados
3. Consentimento dos titulares
4. Com quem você compartilha os dados
5. Dados anonimizados sempre que possível
Atualize suas políticas de privacidade, informe todos os clientes e busque seu consentimento. Isso pode ser feito via email, pop-up no site, formulários, etc. Inclua um aviso de cookies, caso seja necessário.
Uma vez que o processo esteja totalmente atualizado dentro das novas regulamentações, inicie toda ação seguindo a LGPD.

O que a LGPD muda nos contratos?

Os contratos, digitais e tradicionais, não ficam de fora do processo de análise das práticas atuais das empresas. Pode-se até pensar que a maioria dos contratos não envolve pessoas físicas, mas isso depende muito do tipo de modelo de negócio, e mesmo acordos entre duas pessoas jurídicas podem envolver dados pessoais.

Ou seja: todos os contratos já existentes devem ser analisados, pois ambas partes envolvidas no acordo podem responder por violações à LGPD.

A primeira coisa a se fazer é analisar todos os contratos e identificar quais dados são compartilhados neles, para quais finalidades e quais contêm o consentimento do titular de dados. Isso deve ser feito após o mapeamento da empresa e deve incluir contratos com funcionários, clientes, fornecedores e parceiros.

A partir daí, deve-se criar um sistema de gestão do consentimento. Este sistema é responsável por garantir que cláusulas específicas estejam presentes em todos os contratos, como por exemplo:

Explicar de modo claro e transparente quais dados coletados e tratados
Qual a finalidade
Como o tratamento dos dados coletados está limitado à finalidade específica designada
Explicar os direitos dos titulares segundo a LGPD e no contexto do acordo
Incluir uma cláusula específica sobre a revogação do consentimento
Incluir também uma cláusula que explique em detalhes como os dados são tratados

LGPD em contratos de publicidade e com influenciadores digitais

As mesmas regras citadas anteriormente também se aplicam às agências de publicidade e a possíveis ações de marketing com influenciadores digitais. A maioria das ações ocorre dentro de plataformas de redes sociais, o grande estopim das leis de proteção de dados, e não é surpresa que sejam afetadas pela LGPD.

Os contratos de publicidade e com influenciadores devem seguir as mesmas regras citadas acima, mas a área do marketing digital, especialmente, tem alguns detalhes próprios. Veja abaixo alguns pontos relevantes:

Leads

Os leads são obtidos rastreando visitantes das páginas e seu comportamento. Os cookies, tão usados, agora precisam ser claramente explicados aos usuários, que ainda devem ter a opção de decidir o que querem – ou não – compartilhar.

Formulários Online

Toda informação coletada num formulário online, independentemente de sua finalidade, precisa ser estritamente necessária. O usuário deve ser informado o quê, por quê e para quê aquele dado está sendo coletado.

Anúncios e impulsionamento de redes sociais

A LGPD permite anúncios segmentados, mas usuários precisam saber quais informações pessoais serão compartilhadas com a rede social. Assim, também têm o poder de acessar e pedir que as informações sejam deletadas a qualquer momento.

Veja também como criar e vender infoprodutos segundo as normas da LGPD.

Como ocorre a fiscalização e o que é uma infração?

O tratamento de dados de titulares que não esteja de acordo com o que foi consentido pelo mesmo é uma infração na LGPD. Ou seja, qualquer ação não previamente autorizada envolvendo os dados de seus clientes pode acarretar em multa para sua empresa.

Um exemplo fácil de entender é a famosa lista de email de marketing. Digamos que Ana se inscreveu para receber uma newsletter semanal de uma marca ABC. Quando confirmou sua inscrição, acreditava estar optando pelo recebimento apenas da newsletter.

Semanas depois, começou a receber emails variados da marca, com promoções, propagandas e conteúdo diverso. Aqui já acontece a primeira infração.

Mais uns dias se passam e Ana começa a ver na sua caixa de entrada emails de outras marcas e empresas, com as quais nunca teve contato. O que acontece neste casos é um compartilhamento ou venda de listas de email marketing.

A marca ABC, com quem Ana se cadastrou, possivelmente tem parcerias com as outras empresas, ou realizou venda da sua lista de contatos. A LGPD não permite isso, e pune empresas que têm esta prática.

Agora que você já entende que tipo de comportamento configura uma infração na LGPD, vale explicar qual o órgão regulador e quais as consequências previstas em lei para empresas que não cumpram as normas.

A ANPD (Autoridade Nacional de Proteção de Dados) é responsável pela fiscalização e por garantir que as diretrizes da LGPD sejam cumpridas. Algumas práticas do órgão são emitir advertências e multas e exigir relatórios do manuseio de dados das empresas.

As penalidades dependem da gravidade de cada infração, e podem chegar até 2% do faturamento anual da empresa, ou R$50 milhões, por cada descumprimento. Há uma série de atenuantes e agravantes possíveis, que variam caso a caso, mas a ANPD pode inclusive determinar o encerramento de operações corporativas como pena pelo descumprimento da LGPD.

Direito Digital e a LGPD

A pandemia da covid-19 acelerou anos de inovação e digitalização em poucos meses, e o que era tendência em alguns setores, invadiu todos: o trabalho remoto. O mesmo aconteceu com o direito, e escritórios digitais são cada vez mais comuns.

A prática facilita o dia a dia, contribui para altos níveis de produtividade, captação de clientes, eficiência e acessibilidade. O escritório digital de advocacia é aquele que tem todos seus processos e práticas completamente digitalizados.

Assim, pode funcionar normalmente de qualquer lugar do mundo, com acesso à internet. Algumas características dos escritórios digitais são:

Trabalho remoto
Gestão de pessoal focado em cumprimento de tarefas
Marketing digital
Atendimento aos clientes e negociação online
Gestão de documentos e conhecimento na nuvem
Fechamento de contratos online

A tendência também está no poder judiciário, que com o PROJUDI, Processo Judicial Digital, oficializado em 2017, vem digitalizando todos os processos jurídicos e democratizando o acesso à informação.

Com todas as informações online, o acesso passa a ser 24 horas por dia, incluindo recessos, feriados, férias; simultâneo, mais de uma pessoa pode acessar o mesmo documento ao mesmo tempo; e todo o processo se torna mais rápido e menos custoso.

Estima-se que as tramitações passem de um ano para três meses, em média.

Mas com toda esta inovação e digitalização, é necessário lembrar de todos os pontos citados durante este artigo: adequar-se à LGPD é imprescindível, e afeta claramente o direito digital. Estar atento às leis e regulamentações garante que a transformação digital aconteça de maneira tranquila e eficiente.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.