Privacidade é uma questão importante que ganhou novas características com os avanços das tecnologias de comunicação. Se antes da internet a gente já se sentiria desconfortável com a ideia de ter informações pessoais próprias circulando por aí, pode ser assustador imaginar o potencial que o mundo digital traz em nos expor.
Sabendo disso, vários governos no mundo estão estudando e implementando legislações próprias que ajudem a regular o uso e o tratamento de dados pessoais. Na União Europeia, o novo marco legal sobre privacidade e gestão de dados, conhecido pela sigla GDPR (regulação geral de proteção de dados, em inglês), entrou em vigor no fim de maio de 2018. Essa regulação foi pioneira no mundo em diversos sentidos e inspirou várias outras regras mundo afora.
No Brasil, uma série de projetos de lei sobre o tema já estavam em discussão desde 2010.
Escândalos como o caso da Cambridge Analytica que teria usado indevidamente dados do Facebook para fins políticos nas eleições dos EUA em 2016 e outros casos de vazamento de dados notáveis aceleraram a tramitação de um grande projeto brasileiro, a lei nº 13.709 de 14 de agosto de 2018 que ficou conhecido como Lei Geral de Proteção de Dados (LGPD).
A lei foi sancionada em 2018, em 2020 foi criada a Autoridade Nacional de Proteção de Dados (ANPD) e em agosto de 2021 a lei começou a ser completamente aplicada, incluindo punições, se necessário.
O artigo aqui presente é uma análise dessa lei e como ela impacta os nossos serviços e os nossos clientes.
Fundamentos da lei
Para entender a LGPD, vamos começar por seus fundamentos. A intenção por trás de sua criação é definir como empresas, organizações e pessoas físicas devem tratar e usar dados pessoas de outros indivíduos. Então, se você tiver dados de alguém e quiser usá-los para qualquer coisa, você precisa levar consideração:
- o respeito à privacidade;
- a autodeterminação informativa (ou seja, o poder que cada cidadão têm sobre seus próprios dados pessoais)
- a liberdade de expressão, de informação, de comunicação e de opinião;
- a inviolabilidade da intimidade, da honra e da imagem;
- o desenvolvimento econômico e tecnológico e a inovação;
- a livre iniciativa, a livre concorrência e a defesa do consumidor; e
- os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Na prática, o que a lei analisa é se você, ao usar dados de outras pessoas, está respeitando os pontos acima.
Por isso, eu gosto de ressaltar:
As tecnologias de informação são diretamente impactadas por essa lei, mas mesmo que sua empresa não esteja na internet de jeito nenhum, nem sequer use computadores, ela precisa cumprir os fundamentos acima.
Um exemplo de como violações de privacidade não tem só a ver com tecnologia, é o caso de uma rede de hotéis na Romênia que foi multada pela lei de proteção de dados europeia em 2019. O hotel teria impresso uma lista de 46 hóspedes para os quais seria servido o café da manhã. A lista teria sido fotografada por um hóspede e postada em uma rede social. O hotel foi responsabilizado por não tomar medidas que impedissem isso de acontecer e por não ter um nível de segurança mínimo para impedir o acesso a tais informações.
Por mais simples que seja um papel impresso com alguns nomes, é compreensível que os hóspedes tenham o direito de que sua estadia não seja publicada por aí.
As empresas têm acesso a vários dados de seus clientes e é importante que ela tome medidas que zelem por esses dados. A seguir vamos entender melhor como fazer isso.
Conhecendo a LGPD
Primeiro, vamos conhecer alguns detalhes da Lei Geral de Proteção de dados. Além do que está descrito aqui, recomendamos fortemente que você leia a lei na íntegra, clicando aqui.
Importante: o texto abaixo serve como uma referência inicial e parcial para o tema. Para facilitar a compreensão, adaptamos a linguagem da lei para uma linguagem mais simples, além de ocultarmos partes menos relevantes da legislação. Esse texto não deve ser usado como referência legal, para isso, veja a lei na íntegra e converse com um advogado especializado.
A quem a lei se aplica?
A LGPD se aplica a empresas públicas, privadas ou pessoas físicas que:
- Tratem dados no BRASIL
- Tratem dados para oferecer produtos/serviços no BRASIL
- Tratem dados de pessoas que estão no BRASIL
- Coletem dados no BRASIL
Por outro lado, a lei não se aplica para quem for tratar os dados:
- sem o objetivo de ganhar dinheiro com isso
- para fins jornalísticos e artísticos
- para fins acadêmicos (com ressalvas)
- para fins de segurança/defesa pública, do Estado ou investigações legais
O que são esses “dados”?
Existem 3 tipos de dados mencionados na lei. São eles:
- Dados pessoais: informação de uma pessoa que dá para identificar. Exemplos: nome, endereço, e-mail, telefone, RG, CPF, CNH, geolocalização, hábitos de consumo, exames médicos, etc.
- Dados pessoais sensíveis: é um dado pessoal que pode ser usado para discriminar alguém. Exemplos: origem racial ou étnica, convicção religiosa, opinião política, filiação a organizações, dados referentes à saúde, biometria, perfil cultural, etc.
- Dados anonimizados: informação de alguém que não dá para identificar. Exemplo: qualquer dados desde que não seja possível identificar a quem se refere.
Se um cliente dá para você o nome dele e o endereço dele, esses são dados pessoais. Você pode anonimizar esse dado, apagando o nome dele e parte do endereço, mantendo só a informação de que você tem um cliente que mora em São Paulo, SP. Nesse caso, você anonimizou esse dado.
E o que é “tratamento” de dados?
O tratamento de dados pessoais se trata de toda operação realizada com dados pessoais, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão e extração.
Ou seja, se uma pessoa falar com você no WhatsApp e enviar informações sobre ele e você manter essas conversas salvas, você está armazenando esses dados. Se você copia as informações para uma planilha ou um sistema, você está processando esses dados. Se quando essa pessoa falar com você de novo, você já puxar esse histórico para adiantar o assunto, você está usando esses dados. Todos esses exemplos, são exemplos de tratamento de dados pessoais.
Quem está envolvido no processo?
A lei define agentes, ou seja, pessoas envolvidas no processo de tratamento de dados. São elas:
- Titular: pessoa ao qual os dados ser referem;
- Controlador: pessoa ou organização que decide como os dados serão tratados;
- Operador: pessoa ou organização que realiza o tratamento em nome do controlador;
- Encarregado (também chamado de DPO, ou Data Protection Officer): pessoa de uma organização que é responsável por aceitar reclamações, prestar esclarecimentos aos titulares e às autoridades, orientar as respectivas empresas e executar as diretrizes do diretor. Seu contato deve ser fácil.
Se o seu cliente se cadastra na sua loja online, ele é o titular dos dados que está enviado para você que é o controlador e um dos operadores. Se você decide contratar uma ferramenta para criar e enviar campanhas de e-mail marketing para seus clientes, a ferramenta é um operador trabalhando em seu nome. Você pode escolher uma pessoa dentro da organização para ser o encarregado, ou seja, a pessoa que vai falar com clientes e com autoridades sobre dados pessoais se for necessário.
Tanto o controlador quanto o operador respondem pela responsabilidade sobre os dados.
Além disso, temos a Autoridade Nacional de Proteção de Dados (ANPD), que é uma autarquia responsável por definir normas, fiscalizar e aplicar sanções. A ANPD é composta por um Conselho Diretor (5 membros) indicados pelo Conselho Nacional de Proteção de Dados e Privacidade, composto por 23 membros; por uma Corregedoria e uma Ouvidoria. Ela pode servir como órgão consultivo para as empresas adotarem as melhores práticas de cumprimento à lei e prevê unidades administrativas específicas.
Em que situações eu posso usar os dados?
O texto da lei prevê bases legais que permitem que você colete, trate e use dados pessoais. Abaixo descrevemos elas e destacamos as mais relevantes para a maior parte das empresas:
- Consentimento pelo titular: o titular dos dados precisa oferecer um consentimento expresso para as finalidades descritas nos termos de consentimento.
- Obrigação legal/regulatória: não é necessário consentimento do titular para atender a obrigações legais/regulatórias como emitir uma Nota Fiscal.
- Execução de políticas públicas
- Estudos por órgãos de pesquisa
- Execução de contrato: se os dados forem necessários para a execução de um contrato no qual o titular dos dados é parte ou para procedimentos preliminares a sua formação.
- Exercício regular de direitos em processo judicial, arbitral ou administrativo
- Para a proteção da vida ou da integridade física
- Para a tutela da saúde
- Legítimo interesse: situações em que se tem uma relação relevante e apropriada entre o titular dos dados e o responsável pelo tratamento, na qual a finalidade do tratamento é tida como razoavelmente esperada pelo titular do tratamento, sem que lhe cause prejuízos, devendo, sempre, ser avaliada no caso concreto por meio de um teste de legítimo interesse.
- Para a proteção do crédito
A sua empresa pode pedir dados pessoais para escrever um contrato ou emitir uma nota fiscal, por exemplo. Além disso, você pode usar esses dados para prestar seus serviços (como entregar um produto na casa do cliente, usando o endereço dele para isso). Essas são as situações mais comuns.
Mas existem outras situações abertas que podem ser justificadas como legítimo interesse. Por exemplo, se você quiser enviar um presente para os clientes que mais compraram de você, você vai precisar analisar o histórico de compras e o endereço do cliente para enviar o mimo. Isso pode ser justificado como legítimo interesse entre as partes.
Por mais que você tenha uma base legal para justificar o tratamento de dados, você sempre deve seguir alguns princípios:
- finalidade: você precisa tratar os dados para “propósitos legítimos, específicos, explícitos e informados ao titular”.
- adequação: o tratamento que você dá precisa ser compatível com as motivações que você informou para o titular.
- necessidade: limite-se a coletar o mínimo de dados necessários para fazer o que você precisa fazer.
- livre acesso: os titulares dos dados têm o direito de consultar facilmente e gratuitamente os seus dados e informações sobre como os dados vão ser tratados.
- qualidade dos dados: os titulares têm o direito de ter seus dados atualizados e exatos.
- transparência: os titulares têm o direito de ter informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento
- segurança: você deve adotar medidas técnicas e administrativas para proteger os dados de acessos não autorizados, perda, alteração ou divulgação indesejável dos dados.
- prevenção: você também deve adotar medidas de prevenção em relação a segurança dos dados.
- não discriminação: não use os dados para discriminar pessoas de forma ilegal ou abusiva.
- responsabilização e prestação de contas: você deve demonstrar que as medidas que você adotou são eficazes, além de comprovar que as medidas estão sendo cumpridas.
Dessa forma, mesmo que o cliente tenha dado consentimento para você usar os dados pessoais dele, você não pode usar esses dados de uma maneira que você não tenha deixado claro para ele. Nem para discriminá-lo, por exemplo. Além disso, você precisa cuidar bem desses dados.
Note que o titular dos dados tem o direito de:
- Solicitar uma confirmação de que seus dados estão sendo tratados
- Retificar ou corrigir dados incompletos ou desatualizados
- Pedir exclusão ou anonimização dos dados
- Solicitar portabilidade de um controlador para outro
- Revogar consentimento
- Receber informações quando seus dados forem compartilhados com entidades públicas e privadas
- Receber informações quando seus dados forem comprometidos
- Se opor ao tratamento que não esteja em conformidade com a lei
- Receber explicação de critérios e procedimentos usados em tratamento de dados automatizado
Adequando-se à LGPD
Nós julgamos que um primeiro passo para a adequação à LGPD seria conseguir responder com clareza a essas perguntas:
Se você e sua empresa conseguem responder com firmeza essas perguntas e se todos os processos são compatíveis com os princípios e as bases legais listadas acima, você já está adequado à LGPD.
Mas vamos discutir item por item para garantir que tudo está certo.
Quais dados a sua empresa coleta ou armazena das pessoas e como eles são coletados?
Você precisa mapear seus processos internos para poder responder isso.
São vários detalhes que podem passar batido, por exemplo:
- Que dados do cliente você tem acesso antes de entrar em contato com ele (ex.: informações prospectadas ou dados coletados no site)?
- Que dados são coletados na hora que o cliente entra em contato contigo (ex.: que produto/serviço ele procura)?
- Que dados você precisa para prestar seu serviço (ex.: nome, CPF, endereço…)?
- Depois que o serviço é prestado, quais dados você mantém (ex.: histórico de compras, histórico de mensagens trocadas)?
Desde antes da compra até muito tempo depois, você pode ter informações de seus clientes. Tente fazer uma lista de tudo que você sabe sobre seus clientes e oriente a sua equipe a sempre se limitar a solicitar o mínimo possível.
Também preste atenção na coleta dos dados. Seu site antigo tem um formulário de contato que ninguém sabe para onde vai? Quais ferramentas de rastreamento de dados estão instalados no seu site? Sua equipe de atendimento pede informações pessoais do cliente quando ele fala com você no WhatsApp?
Como esses dados são armazenados e quais ferramentas você usa para lidar com esses dados?
É nessa parte que a tecnologia ganha relevância. Isso porque é muito comum que empresas tenham várias ferramentas ou meios para armazenar os dados e, nem sempre, isso é muito organizado.
Eu já me deparei com empresas que resolviam absolutamente tudo pelo WhatsApp e, no máximo, uma planilha de Excel. Já outras empresas têm CRMs robustos, sistemas dedicados para a gestão de clientes.
Alguns exemplos de meios e ferramentas onde você pode encontrar dados pessoais:
- Planilhas de Excel
- Documentos (como contratos, arquivos de clientes, backups, notas fiscais, etc.)
- Portfólio (quem trabalha com design, por exemplo, pode citar algumas informações de seus clientes em seu portfólio)
- Sistemas de cobrança (como intermediadores de pagamento)
- Sistemas de marketing (como plataformas de e-mail marketing ou de automação de marketing)
- Canais de atendimento (como conversas do WhatsApp e caixas de e-mails)
- Sistemas de gestão (como ERPs ou CRMs)
- Plataforma de site/ecommerce
- Currículos recebidos (para uma vaga aberta)
- Entre outros…
Essas são só algumas possibilidades. Preste atenção para ver onde esses dados estão armazenados e tente otimizar esse processo, deixando de usar meios que não são realmente necessários, descartando dados antigos que não precisam mais ser armazenados ou anonimizando-os.
Quem tem acesso a esses dados?
Um dos maiores perigos está aqui. Quando a gente ouve falar em um “vazamento de dados”, logo vem à nossa mente a imagem de um hacker no escuro digitando rápido da frente do computador pronto para invadir o seu sistema de algum jeito quase mágico.
Mas a verdade é que basta uma pessoa ter acesso a um arquivo que não deveria para você ter um vazamento.
Imagine que você está gerenciando seu e-commerce e decide enviar uma campanha de e-mail marketing. Algo que é comum para pequenos e-commerces é o processo manual exportar uma planilha com os dados dos clientes a partir da plataforma de loja online e importar essa planilha na plataforma de e-mail marketing. Ao fazer isso, pode ser que você esqueça aquele arquivo com todos os dados dos seus clientes lá na pasta “Downloads”. Agora imagine que seu computador teve um problema e você teve que levá-lo para a assistência técnica. Na prática, para consertar seu computador, o técnico tem acesso à sua pasta “Downloads” e, consequentemente, tem acesso aos dados de todos os seus clientes. Se ele for mal-intencionado, ele pode usar esses dados de alguma forma abusiva.
Outra situação é o caso de funcionários que são desligados da empresa. Será que esse funcionário tem arquivos da empresa em seus próprios dispositivos? Será que o e-mail da empresa não ficou logado no computador da pessoa?
Esse é o nível de cuidado que você precisa ter com seus dados. No item acima, nós tentamos identificar meios e ferramentas onde os dados estão armazenados. Agora, você precisa verificar quem tem acesso a esses meios.
Menção especial: senhas
Aqui a gente julga importante uma menção especial: cuidado com as suas senhas!
É muito comum uma empresa ter uma porção de logins e senhas que são usados por mais de uma pessoa. A senha pra acessar o painel administrativo do site, para acessar o e-mail de contato, para acessar a plataforma de e-mail marketing, para acessar o ERP, etc.
Infelizmente, também é comum as empresas guardarem todas as senhas em um arquivo de texto compartilhado, com mínima segurança.
Nós recomendamos algumas coisas em relação a senhas:
- Quando possível, crie usuários dedicados para cada indivíduo da organização em sistemas. Assim, cada pessoa na empresa tem seu próprio meio de acessar o painel do site, por exemplo, e você pode removê-la caso ela seja desligada da empresa.
- Use senhas diferentes e aleatórias para cada serviço. Se a sua senha para tudo é Sucesso123, tem grandes chances de um colaborador mal-intencionado conseguir acessar outro serviço que ele não deveria só chutando a mesma senha.
- Defina níveis de acesso. Não é todo mundo da empresa que precisa ter acesso a tudo. Alguns sistemas permitem criar usuários com acessos limitados ou então compartilhe senhas só com quem realmente vai precisar.
- Troque as senhas regularmente. Principalmente se a sua equipe mudou.
- Use um gerenciador de senhas. Essas ferramentas deixam todo o trabalho de cuidar de senhas e compartilha-las com a equipe absurdamente mais fácil. Aqui nós usamos o 1password e recomendamos muito!
Esse processo é adequado para os titulares?
Por fim, você precisa ser transparente com os titulares dos dados e respeitar os direitos deles.
Sempre comunique como você coleta, armazena e usa os dados dos clientes. É para isso que você precisa ter uma política de privacidade em seu site. Aproveite esse espaço para explicar para as pessoas como você lida com esses dados. Aqui uma dica importante: não descreva só o que você faz com os dados coletados no site, mas sim em toda a organização!
Além disso, é importante você estar preparado para atender o cliente caso ele precise. Se ele pedir para alterar os dados que você tem dele, você precisa saber como fazer e ser capaz de fazer isso. Se ele pedir para ter acesso aos dados que você tem dele, você precisa ser capaz de compilar essas informações e enviar para ele de forma segura. E se ele pedir para você remover os dados dele, você precisa atendê-lo, respeitando os princípios e as bases legais da LGPD.
Você também precisa prezar pela segurança e comunicar a ANPD e seus clientes caso perceba que houve um vazamento ou um problema.
O que fazemos pela privacidade de nossos sites
Agora que você já entendeu e adequou sua empresa à LGPD, nós vamos explicar o que fazemos nos sites que nós criamos pensando em segurança e privacidade.
Segurança
Nós prezamos muito pela segurança dos sites que criamos e pelas informações que temos de nossos clientes e seus clientes. Por isso temos uma política de segurança transparente que você pode conhecer clicando aqui.
SSL
O SSL é um certificado de segurança que criptografa as informações que circulam entre seu site e o usuário.
Já é algo obrigatório para empresas que vendem online, mas agora esse tipo de segurança de informação é o mínimo para qualquer site do ponto de vista do LGPD.
Algumas hospedagens oferecem Certificados SSL gratuitos para seus clientes. Quando esse é o caso, nós sempre ativamos e configuramos o certificado sem custo adicional para nossos clientes. Quando a hospedagem não oferece esse serviço, nós recomendamos a troca da hospedagem ou uma opção paga de certificado.
Cookies
Cookies são pequenos arquivos de texto que são armazenados em seu computador ou outro dispositivo quando os sites são carregados em um navegador.
Eles são amplamente usados para “lembrar” de você e de suas preferências. Eles garantem uma experiência consistente e eficiente para os visitantes e desempenham funções essenciais, como permitir que os usuários se registrem e permaneçam conectados.
Exemplo: quando você faz login em um site, o site salva um cookie no seu computador. Quando você acessa o site novamente, o site encontra esse cookie e lembra que você está logado, assim você não precisa fazer login novamente.
A LGPD não regulamenta os cookies especificamente. Mas recomenda-se deixar claro quais cookies são instalados pelo seu site nas políticas de privacidade, a fim de dar transparência. O “aviso de cookies” também não é obrigatório.
Os sites que nós criamos usam plataformas e ferramentas que usam cookies. Podemos analisar caso a caso quais cookies são instalados e orientar nossos clientes em relação a isso. Também podemos instalar um “aviso de cookies” se o cliente desejar.
Política de privacidade
Toda empresa é obrigada a ser transparente em relação à forma com que coleta e trata os dados de seus usuários. Em um site, a melhor forma de fazer isso é através de uma política de privacidade clara e completa.
Nós criamos um modelo de política de privacidade que é ajustado para cada cliente e instalada nos sites que criamos.
Consentimento
Antes do usuário se cadastrar ou fazer uma compra, é importante solicitar o consentimento dele em relação a sua política de privacidade e ser transparente em relação a isso.
Ao criar um formulário de cadastro, por exemplo, em sites que nós criamos, sempre oferecemos a opção de consentir para o uso dos dados ou então deixamos clara a política de privacidade.