LGPD: como processar dados pessoais em B2B?

O que é a LGPD?

A Lei Geral de Proteção de Dados, ou LGPD, é uma regulamentação imposta em nível europeu que se aplica a partir de 25 de maio de 2018 para todas as empresas que operam na UE. Objetivo: regulamentar como empresas, fisicamente instaladas ou não na UE, utilizam dados de cliente. Está é uma mudança estratégica significativa para empresas, porque as penalidades financeiras substanciais se aplicam para o caso de não conformidade (até 4% do faturamento mundial anual da empresa). 

Esta nova regulamentação reforça as obrigações profissionais em termos de processamento de dados pessoais. Diferente da abordagem inicialmente tomada na França pela Agência Francesa de Proteção de Dados (CNIL), a LGPD não impõe notificação prévia. As empresas devem ser capazes de atestar, a qualquer tempo, sua conformidade com regulamentações de proteção de dados, principalmente ao manter um registro de atividades de processamento. 

Conforme a LGPD, dados pessoais significam qualquer informação relacionada a uma pessoa física identificada ou identificável: identidade, um endereço de contato de e-mail, detalhes de contato, endereço de IP… Todas as empresas com banco de dados de cliente estão, neste caso, incluídas e devem, a partir de agora, passar por uma fase de transição. 

Privacidade por design/por padrão: levar em consideração a proteção de dados a partir do início do processo

As noções de "Privacidade por design" ou "Privacidade por padrão" revelam a necessidade de considerar o direito de proteção de dados pessoais desde o início da concepção do projeto. Este mecanismo também significa que somente os dados necessários para a empresa atingir seus objetivos, que devem ser claramente transmitidos, devem ser coletados e procurados. 

Para cumprir com a LGPD, a forma com que os novos sistemas de informação (SI) são concebidos terá que mudar e determinados SI existentes terão que ser inteiramente redesenhados. "Privacidade por design", particularmente afeta os criadores de software e empresas que buscam implementar ferramentas orientadas por dados, tais como um CRM. 

Nomeação de um DPO

Para facilitar a aplicação de medidas na empresa, a LGPD criou a posição de um encarregado de proteção de dados ou Data Protection Officer (DPO). A nomeação de um DPO é obrigatória em: 

• autoridades ou órgãos públicos; 
• empresas cujas atividades principais requerem regular e monitorar sistemática de dados de cliente em grande escala; 
• empresas que processam dados confidenciais. 

As empresas que não estão inicialmente vinculadas por esta obrigação deveriam também nomear um DPO para demonstrar que elas entenderam a magnitude dos desafios da proteção de dados.

Sobre o mesmo assunto: E se a LGPD fosse uma oportunidade para os profissionais de marketing?

Nomeado com base em sua experiência legal e proteção de dados pessoais, o DPO assume o papel de condutor para orientar a proteção de dados na empresa. Suas tarefas incluem: 

• informar e aconselhar a pessoa responsável pelo processamento de dados pessoais e os funcionários que realizam processamento ou terceirização de suas obrigações conforme esta regulamentação; 
• fornecer consultoria sobre a avaliação de impacto de proteção de dados; 
• agir como ponto de contato para a autoridade fiscalizadora encarregada de fiscalizar as empresas. 

Notificação de violações de segurança e violações da segurança informática

Além da nomeação de um DPO, a LGPD também estabelece a obrigação de fornecer notificação de violação de dados. Esta obrigação fica a cargo do controlador/processador que está encarregado de notificar violações à Autoridade de Proteção de Dados o quanto antes (no máximo 72 horas, se possível), mas também ao subcontratado que tem a obrigação de notificar esta falha ao controlador. 

A análise de impacto de privacidade

Para todos os novos projetos que envolvem processamento de dados pessoais, a parte instrutora e seu controlador devem primeiro determinar se o projeto afetará os direitos de privacidade das pessoas envolvidas. Se a resposta for afirmativa, eles devem mostrar que o projeto cumpre com a noção de "Privacidade por design". É importante ressaltar que a subcontratada não está mais encarregada de fazer isso antes do trabalho, que agora fica sob responsabilidade da parte instrutora. 

Direito à portabilidade de dados pessoais

A LGPD também estipula que os dados processados por uma empresa podem ser recuperados a pedido das pessoas envolvidas. Então eles podem, se necessário, ser transmitidos a terceiros. 

Para responder a quaisquer solicitações de acesso a dados, as empresas devem, portanto, fornecer o retorno de todas as informações coletadas sobre um indivíduo em um formato digital facilmente explorável. Essas empresas, que podem ser, por exemplo, farmácias, bancos ou seguradoras, agora são obrigadas a transmitir todos os dados em formato não codificado para a pessoa em questão ou outro controlador. 

Obrigação de informar ao cliente o objetivo de coletar seus dados

Esta medida, estabelecida antes da publicação da LGPD, tornou-se explícita com esta regulamentação. Em caso de coleta de dados pessoais, recorde-se que o consentimento do cliente deve ser livre, específico, informado e consciente. Esse consentimento é válido para um propósito definido e não pode ser atribuído a um conjunto de aplicativos, portanto, eles são próximos. 

Leia também: LGPD: o "consentimento" mudou o marketing para sempre 

A fim de garantir as operações da empresa, a coleta e processamento de dados terá que ser normalizada, o que representa um investimento considerável para o departamento de marketing. 

 Com a LGPD, o cliente retoma o controle de seus dados pessoais e o uso que terceiros fazem deles. Para cumprir com estas restrições as empresas B2B e B2C terão que repensar seus processos para garantir adesão às obrigações de consentimento e acesso aos dados. 

 Fonte da imagem: Flickr Creative Commons – Franck Buschman