Você já ouviu falar sobre a LGPD – Lei Geral de Proteção de Dados?
Esta lei trouxe mais segurança jurídica ao tratamento de dados dentro do ambiente digital e todas as plataformas que coletam, armazenam e de algum modo utilizam dados de terceiros devem estar atentas às suas principais determinações – e isso vale também para os seus times de marketing e vendas, pois se a sua IES usa dados para analisar e contatar o seu público, ela também está sujeita a esta legislação!
Afinal, o que é a LGPD?
A Lei Geral de Proteção de Dados – LGPD – é um marco regulatório representado pela lei nº 13.709/2018, que passou a vigorar de forma integral a partir de 2020. A finalidade desta Lei é proteger os dados pessoais, especialmente os que circulam no ambiente digital, e que ficam sujeitos ao acesso por parte de terceiros, trazendo mais confiança aos usuários, que agora são amparados por normas específicas que determinam como deverá ser o tratamento destas informações, sob pena de responsabilização judicial.
A lei também cria a Autoridade Nacional de Proteção de Dados (ANPD), responsável por, entres outras atribuições, zelar pela segurança de dados pessoais, fiscalizando a aplicação da LGPD e aplicando as sanções administrativas cabíveis no caso de descumprimento
Quem está envolvido no tratamento dos dados?
O artigo 5º da LGPD traz os conceitos de algumas nomenclaturas. Dados pessoais são informações relacionadas a pessoas naturais identificadas ou identificáveis; o titular destes dados é a pessoa sobre a qual os dados dizem respeito; o controlador é quem decide sobre como será o tratamento dos dados coletados; e o operador é quem diretamente realiza o tratamento dos dados, em nome do controlador. Controlador e operador são agentes de tratamento e podem ser pessoas físicas ou jurídicas.
A LGPD é aplicável às IES?
A LGPD é aplicável a toda e qualquer relação que envolva a operação de tratamento de dados, sejam eles disponibilizados no ambiente digital ou não. Ou seja: se a sua IES possui acesso a informações e dados sobre os seus alunos, colaboradores e visitantes, ela está sujeita à aplicação da LGPD.
Quais são os princípios da LGPD?
A LGPD possui como fundamentos: o respeito à privacidade; à autodeterminação informativa; liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
E é com base nestes fundamentos que, com exceção a determinadas situações previstas em lei, o tratamento dos dados dos titulares apenas pode ser feito após o seu consentimento, especialmente quando eles serão utilizados em atividade lucrativa – e as IES se enquadram nesta categoria.
Isto significa que a sua IES apenas pode contatar alguém se esta pessoa voluntariamente fornecer seus dados de contato à sua equipe e estiver ciente da finalidade do uso de suas informações.
A IES pode compartilhar os dados coletados com terceiros?
O consentimento do usuário deve ser expresso e informado, o que significa que caso a sua IES terceirize parte de seu serviço de marketing à Astronauta, por exemplo, este compartilhamento deverá ser informado previamente no formulário de cadastro do usuário, assim como a finalidade de seu uso.
Além disso, é importante saber que o titular pode revogar seu consentimento a qualquer momento, e isso deve ser realizado de forma simples e gratuita. Um exemplo prático é a opção “cancelar inscrição” quando o usuário recebe e-mails de Newsletter ou promocionais.
Como a IES pode se adequar à LGPD e prevenir incidentes de segurança?
Uma coisa é fato: a sua IES definitivamente não quer incorrer em nenhuma infração prevista na LGPD. As sanções administrativas variam de acordo com a gravidade da infração e podem ser uma advertência, multa de até 2% sobre o faturamento da sua empresa, multa diária e até mesmo a suspensão das atividades de tratamento de dados que deram causa à infração.
Ao solicitar dados dos usuários em um formulário, por exemplo, é importante que a IES, além de inserir uma caixa de aceitação dos termos de privacidade de preenchimento obrigatório para o prosseguimento do envio das informações, também indique, de forma breve, clara e objetiva, a qual finalidade estes dados serão tratados. Por exemplo:
○ Li e concordo com os Termos de Uso e Política de Privacidade.
○ Aceito que meus dados sejam tratados e compartilhados com a [Nome da Empresa} e suas empresas parceiras com as finalidades de armazenamento, análise, diagnóstico e contato para ações promocionais e de marketing, ciente de que poderei cancelar esta autorização a qualquer momento.
Caso haja alguma alteração na Política de Privacidade das IES ou na finalidade do tratamento de dados já coletados, os titulares devem ser informados de maneira clara e deve ser facilitada a revogação de seu consentimento, caso seja essa a sua vontade.
É importante que a IES estabeleça de forma sólida uma política interna de governança e boas práticas, informando a todos os funcionários sobre a existência da Política de Privacidade da empresa e seus aspectos práticos, através de manuais e treinamentos de equipe.
Quem pode ajudar a IES na adequação à LGPD?
Para evitar problemas legais, é indicado que a sua IES recorra a times jurídicos capazes de elaborar uma Política de Privacidade eficiente e transparente, que fique disponível aos usuários a todo tempo, especialmente no momento de fornecimento de informações, aqui na Astronauta Digital, por exemplo, utilizamos esta.
Além da assessoria jurídica, é importante que a IES também conte com um bom time de segurança da informação, que será responsável pela manutenção da segurança dos dados armazenados e pela elaboração do Relatório de Impacto à Proteção dos Dados Pessoais, documento que discrimina os riscos envolvidos no tratamento de dados, descreve as ações adotadas para evitá-los e deve ser apresentado sempre que solicitado pela ANPD.
Apesar deste relatório não ser obrigatório em todas as situações de tratamento de dados, é altamente recomendável que a IES realize diagnósticos periódicos para aprimorar sua atuação e evitar riscos.
Espero que este post tenha ajudado a sua equipe a entender um pouco mais sobre a LGPD e como aplicá-la à sua IES!