Por que e como adequar o seu site à LGPD?

O que tem a ver o meu site e a LGPD? Tudo a ver, dependendo do caso!

Muito tem se falado sobre a LGPD e como ficará a relação entre um simples internauta ou usuário de Internet e as empresas e pessoas que mantém sites ou qualquer forma de presença digital na grande rede mundial de computadores.

Na verdade, o ponto chave por trás de tudo isso, é a privacidade e o sigilo das informações e que a LGPD pretende regulamentar. Mas o “juridiquês” – ou jargão jurídico – torna a compreensão de parte a parte um tanto complicada.

Por essa razão, esse artigo pretende colocar em termos práticos as implicações mais importantes que a lei trará a todos que tenham algum nível de presença digital.

Considerações iniciais

Antes de entrarmos no assunto propriamente dito e esclarecer as principais dúvidas daqueles que têm um site e se preocupam em como e quanto a Lei Geral de Proteção de Dados (LGPD) os afetará, é fundamental considerarmos alguns aspectos.

  • O presente conteúdo não tem o propósito de servir como uma assessoria jurídica no assunto. Se essa é sua necessidade, há empresas e profissionais do setor que se especializaram no assunto, sendo recomendável solicitar seu assessoramento para aspectos mais sensíveis e complexos relacionados;

  • Dada a grande variedade de situações em que sites podem coletar e usar dados dos visitantes, cobrir esse universo com apenas um artigo, senão inviável, vai na direção oposta da sua finalidade de servir apenas como um guia preliminar;

  • Também não é nosso objetivo apresentar alternativas aos impactos negativos que eventualmente a LGPD pode se ter ao se realizar a adequação, mas apenas de alertar sobre os principais problemas que a não adequação pode acarretar e porque é importante realizá-la;

  • Por fim, não nos propomos a questionar, apoiar ou nos contrapor à lei ou qualquer aspecto nela contido, mas apenas informar sobre que ações devem ser adotadas para que ela não seja descumprida e as respectivas penalidades afetem os sites e seus respectivos representantes.

O que é a LGPD?

A LGPD ou simplesmente Lei Geral de Proteção de Dados, é uma lei decretada pelo Congresso Nacional e sancionada pelo presidente Michel Temer em 14 de Agosto de 2018.

O seu texto original e, portanto, seu teor e forma, foi alterado por outras leis e medidas provisórias, em boa parte em função da pandemia do coronavírus, que tornou a aplicabilidade de alguns pontos, inexequível para o ano de 2020, quando ela deveria estar plenamente em vigor.

Apesar de diferentes manobras, discussões parlamentares e defesas de interesses diversos, desde 18/09/2020, ela passou a vigorar.

Acima de tudo, a lei tem como objetivo a proteção à privacidade dos usuários – o visitante do seu site, blog, loja virtual, ou o que quer que você tenha na Internet – e a proteção dos seus dados, bem como quais as operações realizadas com eles são permitidas, de forma automatizada ou não.

As ditas operações, são por exemplo, a coleta propriamente dita dos dados, a classificação e utilização, o acesso, a transmissão e distribuição, o processamento e armazenamento, e transferência, ou seja, todo e qualquer uso que deles sejam feitos.

As possíveis situações envolvendo a informação obtida a partir do usuário e seu simples acesso a um site qualquer ou o fornecimento consentido de dados pessoais, estão previstas na lei.

O principal ponto é tratar das responsabilidades que todos devem ter de na coleta, armazenamento e processamento de dados pessoais, ou seja, informações relativas a uma pessoa.

Por que a LGPD vai afetar os sites e as empresas?

Praticamente qualquer site, seja de qual tipo ele for, em maior ou menor grau coleta, armazena e utiliza dados dos seus visitantes.

Em vários casos, essa é uma condição necessária até mesmo ao funcionamento adequado e a segurança da empresa ou pessoa por trás do site, como é o caso de um site de e-commerce.

Mas não é somente por meio de um site de Internet que pessoas fornecem dados – de modo consciente e consentido ou não – para empresas e, portanto, até mesmo aquelas que não têm sites, mas por quaisquer outros meios coletem e façam qualquer tipo de uso de dados pessoais, precisam averiguar se o que fazem e como fazem, não viola qualquer ponto da lei.

Antes da LGPD, entre as muitas situações possíveis, uma real e frequente, era a comercialização dessas informações junto a outras empresas, no que se conhece como “lista de nomes para e-mail Marketing”. E antes mesmo da Internet e sua popularização, bancos de dados para ações diversas por parte do chamado Marketing “tradicional”, já eram comuns.

Não vamos aqui nos aprofundar em como isso era feito, os possíveis embates éticos e práticas questionáveis, nem tampouco considerar seus méritos. Não é esse nosso propósito.

Portanto, fica de fora desse bate-papo, toda a “indústria” que foi constituída em torno unicamente das informações das pessoas. Nosso foco, é a empresa que tem um produto ou serviço principal que não é baseado nos dados pessoais, os quais servem apenas para fins administrativos ou de Marketing com sua base de clientes.

A verdade, é que até então, toda essa verdadeira montanha de informação podia ser usada sem nenhum tipo de controle, consequência ou responsabilidade para quem dela se utilizasse.

Com a lei, as coisas mudam. Especialmente no caso desse post, quando a origem de tudo é um tipo qualquer de site, o qual precisa mudar e adequar-se para não infringir o que está disposto na lei.

E se ainda você não está totalmente convencido do quão sério é o tema, a segurança e privacidade dos dados já está sob tutela constitucional, por meio da PEC 17/2019, a qual entre muitas coisas, assegura que a proteção de dados e os parâmetros segundo os quais ela deve ocorrer, é direito / garantia constitucional dos cidadãos, como também abre a discussão sobre a LGPD Penal, que nada mais é do que o uso de dados pessoais e suas consequências no âmbito penal, portanto, configurando crime.

Quais as penalidades previstas na LGPD?

Com o objetivo de fiscalizar, investigar e quando for o caso, punir as pessoas jurídicas – e mesmo as físicas – que não atuarem sob o rigor da nova lei, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), uma agência fiscalizadora e representante do governo federal.

A ANPD também tem papel normativo, que visa orientar as empresas a se adaptarem aos regramentos da lei.

Uma série de sanções poderão ser aplicadas, sendo apenas uma advertência e/ou orientações, nos casos menos graves e na sua primeira ocorrência, ou no outro extremo, a aplicação de multas que podem ser de até 2% do faturamento do infrator, até o limite de 50 milhões de reais.

No meio desse universo de penalidades, prevê-se situações como a suspensão do direito de tratar dados pessoais e que na prática impede a empresa de acessar e usar o seu próprio banco de dados com informações de seus clientes ou ainda multas diárias – também limitadas a 50 milhões – aplicáveis nos casos extremos.

Mas há outras consequências que independem da fiscalização por parte da ANPD quanto ao cumprimento e a aplicação da lei. É o caso da reputação digital que pode ser duramente afetada, se por acaso acontece um vazamento de dados, lembrando que a lei trata também da responsabilidade das empresas quanto à segurança desses dados.

Exemplos de infração à LGPD

Mesmo havendo exceções e situações em que as penalidades podem ser mais brandas para as pequenas empresas, são justamente elas que podem ter mais dificuldades na compreensão e consequente adaptação ao regramento imposto pela lei, dado ao uso intenso de terminologia específica e mesmo de situações com as quais não estão parcialmente ou totalmente familiarizadas.

Existem várias ações que configuram infrações a LGPD, uma vez que o conjunto de situações é amplo.

1. Tratamento de dados sem consentimento

Entende-se por tratamento de dados, qualquer ação que envolve dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Sem o consentimento explícito, a empresa não pode realizar nenhuma das ações acima.

Mais do que isso, o titular – pessoa natural a quem se referem os dados pessoais – deve ser informado para qual finalidade é feita a coleta de dados e como eles serão usados, bem como o tempo pelo qual elas permanecerão no banco de dados.

Ressalta-se que não basta a obtenção do consentimento, mas que se ele não for dado sem que o titular tenha sido informado dos pontos do parágrafo imediatamente acima, haverá a constituição de infração.

No entanto, é preciso ressaltar que mesmo com o consentimento para o tratamento, posteriormente o titular pode revogá-lo, o que acarreta a próxima possível infração.

2. Mecanismos de revogação de consentimento

A empresa que faz tratamento de dados, deve garantir ao titular o direito de revogar o consentimento previamente dado, seja porque entenda que a finalidade do tratamento de dados não é procedente, seja por mera falta de interesse que suas informações estejam de posse e uso por parte da empresa.

Sendo assim, conforme estabelece o artigo 7º da LGPD, o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado e que em termos práticos significa que tão fácil como foi obter os dados, por exemplo, por meio de um cadastro no site, deve haver um recurso correspondente para remover a anuência anteriormente dada.

A inexistência ou mesmo qualquer dificuldade que fique caracterizada no procedimento de revogação, constitui infração.

3. Exclusão dos dados

Outra infração refere-se à exclusão dos dados e que da mesma forma que a anterior, deve ser possível ao titular, caso o objetivo do processamento tenha sido concluído ou se não quiser manter mais nenhum tipo de relacionado com o controlador (a empresa).

Isso significa que a empresa deve excluir definitivamente as informações, não estando autorizada a reter nenhum tipo de dado do usuário, por qualquer razão que seja. É como se aquele titular nunca tivesse tido nenhum tipo de relação comercial ou de outro tipo com a empresa, para efeitos de dados.

4. Uso de cookies

Não há nada explícito na lei quanto à proibição ou não do uso de cookies por parte de um site. Inclusive é um tema que divide opiniões até mesmo de ditos especialistas na lei, razão pela qual é conveniente ter muito cuidado.

Os que defendem maior rigor na sua adoção, fazem-no com base no conceito de que os cookies também tem por função coletar informações pessoais, já que possibilitam os visitantes de um site serem identificáveis – mesmo que parcialmente – por meio de informações coletadas durante a sua navegação e por esse princípio, requer o uso de acordo com as bases legais da LGPD.

Significa dizer que o simples aviso de que o site faz uso de cookies, não basta. O mais indicado seria um questionamento, onde a opção por liberar ou não o uso, tem que ser dado ao titular dos dados.

Reiteramos que não há nada tão específico quanto à isso, mas por ser passível de interpretação, há o risco de infração caso o site não proceda tal como nos casos de coleta mais ampla de dados pessoais.

Também não custa lembrar que a lei europeia equivalente – a GDPR – exige que os sites que usam cookies, forneceçam ao visitantes a opção de recusar a coleta de dados e sair do site. Mais do que isso, a União Europeia pretende dificultar as relações com os países que não agirem da mesma maneira, o que pode fazer com que tenhamos uma alteração legislativa na LGPD.

5. Uso das informações para fins não consentidos

O uso dos dados coletados deve ser restrito aos fins que constam no consentimento dado pelo titular.

Qualquer finalidade diferente da que foi especificada no consentimento, configura infração à lei.

Quando houver necessidade de utilização das informações finalidade diferente daquela declarada no consentimento inicial, é necessário solicitar um novo consentimento para o(s) novo(s) fim(ns).

Isso também pressupõe que novos dados / informações coletados diferentes daqueles inicialmente, exigem um novo consentimento e os respectivos fins. Visto de outra forma, o consentimento inicialmente dado não se estende por outros dados que venham a ser coletados posteriormente, para as mesmas ou para outras finalidades.

6. Compartilhar dados ou não adotar medidas contra o vazamento de dados

O compartilhamento de dados com empresas que não foram responsáveis por sua coleta e que, portanto, não são aquelas que tiveram o consentimento para seu tratamento, é das mais graves infrações.

Mas não basta garantir que não há repasse a terceiros. Nos casos em que ficar caracterizado que a empresa não adotou as medidas necessárias à segurança de tais dados, por meio de acessos indevidos ou não autorizados, negligência ou não adoção de boas práticas, ou qualquer circunstância que acarrete em vazamento de dados, é passível de cometimento de infração à LGPD.

Como adequar o site à LGPD?

Em termos práticos, até mesmo um site institucional ou um blog de empresa, passam a ter obrigações que antes não eram necessárias, mas que agora o seu descumprimento pode acarretar desde simples advertências a pesadas multas, até mesmo diárias e dependendo da situação ver comprometida de modo grave a saúde financeira da organização.

Todo site que realize a coleta de dados pessoais dos usuários (nome, endereço eletrônico e/ou físico, data de nascimento, sexo, etc), tenha formulários de contato ou outros mecanismos para fornecimento de dados por parte dos seus visitantes, utilize cookies ou quaisquer ferramentas ou mecanismos para coleta, armazenamento, tratamento e uso de dados pessoais, deverá se adequar à LGPD.

Vale ressaltar que mesmo que seu site não faça a coleta direta de informações pessoais de seus visitantes, mas utilize ferramentas de terceiros, como por exemplo o Google Analytics para fazê-lo, em certa medida estará sujeito à lei.

Entre os principais aspectos que a lei afeta, temos:

  • Políticas de privacidade;

  • Páginas de contato ou outras formas com o mesmo objetivo, como chat, formulário, e-mail;

  • Mecanismos de segurança do site;

  • Utilização de cookies;

  • Processamento de dados de menores de idade;

  • Acesso à alteração e anonimização dos dados coletados por parte do usuário.

Política de Privacidade

Todos os pontos da lei devem ser observados e essencialmente têm importância igual, mas se há um que representa transparência quanto à aplicabilidade da lei por parte do site, é a política de privacidade.

A política de privacidade precisa levar em consideração 100% do que determina a Lei Geral de Proteção de dados.

É por meio dela que o site informa seus usuários quais dados pessoais são coletados, quais são usados e os motivos de sua coleta, de que forma e por quanto tempo são armazenados e em que circunstâncias são utilizados.

Assim, esse importante – e necessário – instrumento, é o responsável por fazer com que cada visitante saiba como o site trata suas informações e caso não cumpra o que é determinado pela legislação vigente, suas consequências.

Outros pontos que devem constar na política de privacidade, referem-se ao uso de cookies; se proceder, o compartilhamento de informações com terceiros; o período no qual os dados serão mantidos armazenados; os meios pelos quais os usuários podem atualizá-los ou mesmo torná-los anônimos e o até mesmo o cancelamento cadastral quando for o titular assim o desejar, bem como os meios para fazê-lo.

Pelo fato da elaboração da política de privacidade exigir plena adequação com a LGPD, é altamente recomendado que ela seja feita com assessoramento jurídico especializado.

Políticas de privacidade em conformidade com a lei e, sobretudo, claras e abrangentes, são fundamentais, mas além disso, é prioritário que o todo usuário que tenha seus dados coletados, tenha ciência e concordância com a mesma de modo voluntário.

De nada adianta sua existência, se o visitante tem dificuldade em encontrá-la ou os seus termos não são compreensíveis.

Páginas de contato ou ferramentas de contato

Os principais métodos de coleta de dados dos visitantes, usuários e clientes em um site (chat, formulário de contato, e-mail, helpdesk, etc), requerem o preenchimento de um cadastro, que pode ser maior ou menor, de acordo com cada empresa ou site.

Em todos os casos, a empresa deve informar no momento do primeiro cadastro, que existe uma política de privacidade que é aplicada na obtenção, armazenamento e tratamento dos dados que estão sendo fornecidos.

Em outras palavras, qualquer situação de visitação ao site que signifique captação de dados pessoais, o site deve condicionar a coleta à declaração de conhecimento e aceite da política de privacidade.

Mais do que isso, quando tais dados podem ser usados, por exemplo, para o envio de uma newsletter, o usuário deve ter conhecimento dessa possibilidade e deve autorizar de modo voluntário e consciente.

Não pode haver concordância tácita e tampouco o campo que dá autorização ao envio pode estar previamente preenchido.

E mesmo nos casos em que o consentimento foi dado para qualquer tipo de utilização dos dados, deve ser possível a qualquer momento e por meios fáceis, rápidos e de fácil identificação e localização, cessar o consentimento previamente dado.

Quando novos dados forem obtidos pelos mesmos meios, novos consentimentos devem ser dados para os novos dados.

Mecanismos de segurança do site

A lei não estipula explicitamente que o site deva instituir algum mecanismo específico de segurança dos sites que coletam dados.

No entanto, é responsabilidade do site manter invioláveis os dados, de forma que se um terceiro tem acesso e faça uso de tais dados, as sanções possíveis recaem sobre o site, tanto que nos casos do acesso não autorizado ocorrer, o responsável pelos dados deve informar à ANPD (Autoridade Nacional de Proteção de Dados).

Por essa razão, práticas simples e consideradas adequadas, são fortemente indicadas, como por exemplo, a utilização de certificado SSL, mecanismos de autenticação de dois ou mais fatores (MFA), sistemas de segurança dos dados armazenados, como por exemplo, mas não somente, armazenamento criptografado, firewall e sistemas de mitigação de ataques, como DDoS, ou code e SQL injection.

Utilização de Cookies

A utilização de cookies é uma prática e uma necessidade no caso das funcionalidades de diferentes recursos de um site.

Esse recurso permite facilitar a navegação, reconhecendo o usuário e o dispositivo usado, sem que ele tenha que usar qualquer método de identificação a cada nova página acessada ou quando retorna ao site.

Hoje muitos sites já informam que fazem uso de cookies logo que realizamos o acesso. No entanto, alguns fazem de modo incorreto.

É comum em muitos haver apenas um botão em que o usuário apenas declara ciência do uso. Outros, não deixam claro se o fechamento da janela implica na aceitação ou não dos cookies. Ou seja, informação não é clara e transparente.

Deve-se além de informar que o site utiliza, esclarecer o que é e dar opção da gravação ou não dos cookies no dispositivo, mesmo com a ressalva de que eventualmente a navegação apropriada ou o uso de determinados recursos do site, estarão comprometidos com a eventual recusa.

É crucial lembrar que em vários pontos da lei, há a preocupação de que o usuário – o titular dos dados – precisa ser sempre informado quanto ao que está acontecendo com seus dados e os porquês. Transparência é fundamental.

Processamento de dados de menores de idade

Esse é um dos aspectos mais delicados com os quais você deve se preocupar.

Além do que prevê a LGPD, há mais legislação que em alguma medida estabelece parâmetros para a coleta, armazenamento e tratamento nessas condições, como o ECA (Estatuto da Criança e Adolescente) e o Código Civil.

Para todos os efeitos, qualquer situação que envolva os dados de menores de idade, requer autorização do seu representante legal.

Outra situação importante, é a veracidade das informações. Assumir que o eventual usuário menor de idade omitiu ou não informou sua idade corretamente, não exime o site das responsabilidades a ele atribuídas.

Portanto, é fundamental considerar se realmente é vital a coleta de dados em sites cujo público possa ser composto dessa faixa etária e quando necessário, instituir mecanismos para procurar assegurar o consentimento de um representante legalmente constituído, sob pena de não fazê-lo, infringir mais leis.

Acesso à alteração e anonimização dos dados

Outro ponto importante é o acesso posterior dos usuários aos seus dados.

A LGPD assegura que o usuário possa acessar o seu cadastrado posteriormente a uma declaração de anuência da coleta e armazenamento, para fins de consulta e de atualização.

Também deve ser assegurado ao usuário a possibilidade de tornar os dados anônimos (anonimização), ou seja, que não seja possível a sua identificação para determinados fins.

Por último, o acesso também deve ser uma forma de garantir que os dados não serão mantidos e/ou utilizados por período de tempo superior ao determinado na política de privacidade e na própria LGPD.

O que mais fazer?

Se já não houvesse mudanças suficientes, dependendo da empresa, do seu modelo de negócios, os dados dos usuários não estão restritos a bancos de dados e sistemas. Muitas vezes colaboradores têm acesso a tais dados e os utilizam no desempenho de suas funções.

Por isso, é necessário promover mudanças que vão além dos sites:

  • Mapear o fluxo e acesso aos dados – quais áreas e respectivos colaboradores (funções / cargos) que têm acesso, em que situações tais dados podem ser usados e que devem estar em afinidade com o que a política de privacidade determina;

  • Criar políticas internas e procedimentos operacionais padrão – ao se criar políticas internas que estabelecem os limites de uso dos dados, bem como procedimentos operacionais padrão (POPs) bem claros para as situações em que é necessário usá-los, priorizando a segurança e dessa forma, diminuindo as chances de uso fora do que foi informado e consentido pelo titular;

  • Treinamentos e conscientização – apenas criar políticas e POPs não basta. É preciso primeiro conscientizar os colaboradores que fazem algum uso dos dados, quanto à importância da sua segurança, do sigilo e privacidade. Treinamentos onde as melhores e mais adequadas práticas sejam adotadas, também é essencial;

  • Política de confidencialidade – mesmo antes da LGPD ser criada e sancionada, boas empresas costumam submeter os colaboradores que têm acesso a dados sensíveis de quaisquer naturezas, a trabalhar sob uma política de confidencialidade, a qual estabelece o compromisso de manter confidenciais tais informações;

  • Definir um DPO – exceto no caso de startups e pequenas empresas, é necessária existência de DPO (Data Protection Officer) ou encarregado de dados, que entre outras atribuições, realiza a comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), fiscaliza o cumprimento da lei por parte da empresa e orienta tecnicamente todos os processos que envolvem a LGPD.

Conclusão

A entrada em vigor da LGPD traz uma série de desdobramentos práticos na realidade de qualquer tipo de site que faça coleta, armazenamento e uso de dados pessoais dos usuários. Desta forma, é importante saber que tipo de adequações são necessárias para estar em conformidade com a lei.

Artigos relacionados

Site
Quero um site! Como começar o primeiro site do zero?
CMS
O que é Instalador Automático de CMS, vantagens e como usar?
CMS
Tudo o que você precisa saber sobre CMS

Comentários ({{totalComentarios}})