Verifique se seu site está em compliance com a LGPD
Você sabe se o site da sua empresa (ou seu site pessoal) está de acordo com a nova Lei Geral de Proteção de Dados?
Pois é… A LGPD já está em vigência. Qualquer cidadão brasileiro pode solicitar o exercício de seus direitos em relação à sua empresa. E sua página web (o seu site), é, na maioria das vezes, a cara mais visível da companhia.
Sua empresa está preparada? Ainda não?
Ou está fazendo aquelas adaptações “meia boca”, de colocar ferramentas de controle de cookies no site, e acha que já está tudo certo?
Tá não, meu amigo!
Não vamos invalidar as iniciativas de controle de cookies. Elas são importantes, e, na maioria das vezes, fundamentais. Mas os cookies são só uma parte da equação!
Que, por certo, no caso da LGPD, são muito menos exigidos do que na GDPR, que é a Regulamentação européia que deu base e formato à nossa LGPD.
Na GDPR, os cookies são permitidos, apenas se for possível um controle efetivo sobre eles, de forma bastante especifica. Na LGPD, eles apenas fazem parte de um cenário maior, onde o posicionamento da empresa, a política, a cultura, os cuidados, as medidas e as atitudes que ela toma com relação aos dados pessoais, determina o cumprimento ou não da Lei.
Se sua empresa não têm este conjunto de valores e atitudes definidos, possivelmente ela ainda está bem longe de cumprir com a LGPD. Mesmo que já tenha implementado o famoso controle de cookies.
Então o que fazer, com respeito ao site institucional da empresa?
Primeiro, vejamos um pequeno glossário:
Titular - Proprietário dos dados pessoais. Qualquer pessoa natural (pessoa física, viva, para simplificar), que possua dados processados. Você, que está lendo, possui uma coleção de dados pessoais, assim como seus familiares, amigos, parentes, colaboradores, parceiros, clientes e fornecedores.
Dado pessoal - Qualquer dado que possa ser relacionado de forma direta ou indireta a uma pessoa natural (o titular de dados), identificada ou identificável.
São exemplos de dados pessoais, os dados diretos, que são aqueles que acompanham o titular, de forma constante, em sua vida, como o Nome, o RG, o CPF, o e-mail.
Mas, também são dados pessoais, informações geradas de forma automatizada, que estejam relacionadas à uma pessoa natural, mesmo que não acompanhem as atividades diárias do titular. Um exemplo é quando você vai a um restaurante, hotel, ou outro estabelecimento, e conecta seu celular à internet, através de uma rede Wi-Fi. O sistema que realiza a conexão pode estar guardando informações como o IP do seu celular, e o MAC Address do mesmo (São informações internas utilizadas para permitir o tráfego dos pacotes de dados em internet). Aparentemente, estes dados não são pessoais, porque, afinal, você só utiliza esta rede, durante um tempo limitado. No entanto, sua operadora pode relacionar facilmente o MAC Address de seu celular (cada dispositivo sai de fábrica com um MAC Address diferente, como se fosse um DNA) com seu número de telefone, e, em consequência óbvia, identificando o IP e o tráfego realizado, pode chegar a dispor de relatórios detalhados sobre você, sobre a conexão realizada, e sobre todo o fluxo de dados que saíram ou entraram em seu celular neste momento. Ou seja, de posse destas informações, adeus privacidade! Em tal contexto, o IP e o Mac Address também assumem a categoria de dados pessoais.
Dado Pessoal Sensível:
Além dos dados convencionais, existem dados pessoais que podem causar problemas aos seus titulares, em determinados contextos ou situações. É assim com os dados relativos à preferência sexual, religiosa, filiações à sociedades, times ou partidos políticos, ou qualquer outro dado que possa ser utilizado contra o titular, de forma a causar, à este, prejuízo de qualquer natureza.
Também são dados pessoais sensíveis, a totalidade dos dados relativos à saúde. Tipo sanguíneo, alergias, medicamentos, receitas, prontuários médicos, exames, etc.
Controlador:
Principal interessado no processamento dos dados do titular, e o responsável por determinar as formas de tratamento a serem realizadas. De uma forma simples, Sua empresa é um Controlador, perante a Lei.
Operador:
Ente contratado pelo Controlador para realizar parte do processamento de dados (ou mesmo a totalidade, em alguns casos). O Operador trata dados, sempre obedecendo as determinações do Controlador.
Cabe lembrar que não existe empresa que seja apenas Operador. Uma empresa pode ser Operador em um determinado contexto, mas sempre será Controlador, em seu próprio contexto como empresa.
Exemplo: Uma empresa A contrata uma empresa B para realizar sua contabilidade. A empresa de Contabilidade (B) será Operador designado pela empresa A, neste contexto. No entanto, a empresa B, com relação à seus próprios processos (a começar pelos dados pessoais de seus funcionários), será o Controlador.
Compartilhamento de dados pessoais:
Existem dados pessoais que são compartilhados entre as empresas. Por exemplo, os dados dos funcionários da empresa A, usada como exemplo, devem ser compartilhados com a empresa B.
Encarregado de Dados:
É uma pessoa física ou jurídica, designada pelo controlador, e que assume a posição de “porta-voz” do titular, perante a empresa, e porta-voz da empresa, perante a Autoridade Nacional de Proteção de Dados, que é a entidade responsável pela fiscalização relativa à LGPD.
Agora, de posse destas informações, identifique se o seu site coleta algum dado pessoal.
Como se coletam dados pessoais?
Normalmente, a maioria dos sites coleta dados quando oferece um formulário para registro, cadastro, lista de e-mail, oferece um produto em troca de um registro, ou mesmo quando oferece um formulário de contato ou reclamação, que exigem dados pessoais, como nome, e-mail, telefone.
Se um site coleta qualquer dado pessoal, deve ter uma explicação sobre a finalidade desta coleta ou do tratamento que será dado à tal informação. Além disto, quando existe a coleta do dado pessoal, a empresa deve ter explicações sobre este processo, e a sua relação com a LGPD, que devem estar expressos em uma Política de Privacidade ou documento equivalente (que, preferentemente, deveriam também estar no site, por questões óbvias de acessibilidade).
Se a coleta for de algum dado pessoal sensível, com maior razão a empresa deverá apresentar sérias explicações sobre o tratamento dos mesmos, além de justificar adequadamente, a necessidade de tal coleta.
Marketing:
Hoje em dia, uma das estratégias de marketing mais utilizadas é oferecer algum produto (um e-book, um curso, um relatório), de forma “gratuita”, onde o usuário deve registrar seus dados pessoais para poder ter acesso ao citado recurso. Isto permite que milhares (ou milhões) de interessados terminem oferecendo seus dados de contato para que façam parte de uma base de informações que será utilizada para enviar e-mail marketing posterior, com excelentes resultados de vendas, em campanhas de envio em massa.
Também estão, claro, as compras de listas gigantescas de e-mails, com outros dados, como nome, área de atuação e CPF, que sempre foram utilizados como recursos para “gerar Leads”. Estas listas estão, evidentemente, proibidas. Se sua empresa possui uma base de dados destas, trate de verificar, com urgência absoluta, como fará para justificar a origem, a coleta, e o tratamento destes dados.
Pode ter cookie?
Pode, sim! Mas você precisa analisar se os cookies que seu site utiliza coletam dados pessoais ou não. Se coletam, você precisa definir a real necessidade deles, a possibilidade de anonimizar os dados, a possibilidade de substituir por controles menos invasivos, a possibilidade de solicitar consentimento, ou, simplesmente, implementar um controle de cookies (como os que foram vistos anteriormente).
Se o seu site não coleta dados pessoais através de cookies, você não necessita de um controle de cookies. Basta com comunicar que está utilizando cookies mas não está coletando dados pessoais.
Veja como isto muda muita coisa!
Política de Privacidade:
Como anteriormente citado, outro ponto importante, se o site coleta dados pessoais, é o uso de algum recurso que remeta o usuário do site para aquilo que pode ser uma “Política de privacidade”, “Declaração de aderência à LGPD”, “Compliance com a LGPD”, ou qualquer outra denominação que seja adequada para a empresa. Não possuímos uma regulamentação que estandardize esta terminologia, portanto, cabe a empresa decidir que nomenclatura é a mais adequada para seu caso. Para fins de simplificar, chamarei, simplesmente, de “Política de Privacidade”.
Neste documento, a empresa deve pronunciar-se explicando as atividades que realiza em relação aos dados pessoais que coleta e processa, deve esclarecer os princípios que norteiam tal processamento de dados, comunicar ao titular seus direitos e a forma de exercer os mesmos, informar se possui um Encarregado de Dados responsável por atender as solicitações dos titulares, e comunicar a forma de contatar dito Encarregado.
Se a empresa realizar compartilhamento de quaisquer dos dados coletados ou tratados, deve informar quais são seus Operadores contratados, e qual a responsabilidade deles em relação aos dados do titular.
Tratamento:
Uma vez que a empresa possa ter justificado a coleta dos dados, e possua bases legais para tratar os mesmos, chega a vez de definir os procedimentos de segurança relativos ao referido tratamento.
É indispensável que a empresa se faça responsável pelo cuidado com os dados do titular, já que as empresas, perante a LGPD, assumem apenas a posição de fiéis depositários dos dados, que pertencem, na realidade, aos titulares.
Esta responsabilidade inclui a preocupação com a guarda adequada dos dados, os procedimentos de controle de acesso aos mesmos, as cópias, as alterações e, até mesmo, as eliminações dos dados.
Conclusão:
Mesmo em um curto artigo como este, pode-se perceber com facilidade a complexidade do processo de adequação (real) à Lei Geral de Proteção de Dados.
Pois é de extrema necessidade que as empresas comecem a analisar seu estado de cumprimento com a Lei, e podem começar pela revisão de seu site institucional, como aqui, sucintamente, explicado.
Corram, que os riscos vem ai, logo depois da esquina!