LGPD: tudo sobre a Lei Geral de Proteção de Dados e como ela pode impactar o setor financeiro
Entenda o que é a LGPD e como esta nova lei poderá afetar a maneira como o departamento financeiro capta, armazena e utiliza os dados de clientes.
LGPD é a sigla para Lei Geral de Proteção de Dados, foi sancionada em agosto de 2018 e entrará em vigor somente no final de 2020. Essa nova lei determina diversas regras sobre a maneira como as empresas coletam, armazenam e tratam os dados pessoais de pessoas físicas e jurídicas.
Logo, essa lei também pode afetar o seu departamento financeiro.
Por isso, confira a seguir o que é a LGPD, os seus pontos mais importantes e como ela irá impactar o setor financeiro.
[rock-convert-pdf id=”2224″]
O que é a LGPD – Lei Geral de Proteção de Dados?
A Lei Geral de Proteção de Dados (Lei 13.709/18), ou apenas LGPD, regulamenta como as empresas coletam, armazenam, tratam e compartilham dados pessoais no ambiente digital ou fora dele.
A partir de dezembro de 2020, as empresas terão que se adaptar à um padrão mais elevado de proteção e de penalidades, caso não haja o cumprimento da lei.
Com isso, os setores da economia, inclusive a relação entre clientes e fornecedores de produtos e serviços, empregado e empregador, relações comerciais e outros tipos de relações podem ser afetadas por esta lei.
Definições importantes
- Dado pessoal: é a informação relacionada a uma pessoa natural identificada ou identificável. Ou seja, qualquer informação que identifique ou que possa identificar uma pessoa, como:
- nome;
- gênero;
- data de nascimento;
- endereço;
- e-mail;
- exames laboratoriais;
- prontuário médico;
- qualquer outra informação que permita identificar uma pessoa.
- Dado pessoal sensível: é o dado pessoal sobre a origem racial ou étnica, convicção religiosa, opinião pública, filiação a sindicato ou organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural;
- Controlador: é uma pessoa que tem autonomia e competência para tomar decisões referentes ao tratamento de dados pessoais. Essa pessoa pode ser natural, jurídica, de direito público ou privado;
- Operador: é uma pessoa natural ou jurídica, de direito público ou privado, que realizada o tratamento do dados pessoais em nome do controlador;
- Tratamento: é toda e qualquer operação que é realizada com os dados pessoais. Por exemplo: coleta, produção, recepção, classificação, utilização,acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, comunicação, transferência, difusão ou extração;
- Agentes de tratamento: são os controladores ou operadores.
Princípios da LGPD
- Finalidade: o tratamento de dados pessoais deve ser realizado para propósito legítimos, específicos e devem ser informados ao titular dos dados;
- Adequação: o tratamento desses dados deve ser exatamente igual ao que foi informado ao titular dos dados pessoais;
- Necessidade: o tratamento de dados deve ser limitado ao mínimo necessário para a realização das suas finalidades, abrangendo os dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
- Livre acesso: os titulares devem poder consultar, de forma facilitada e gratuita, a forma e a duração do tratamento dos seus dados, bem como sobre a integralidade dos mesmos;
- Qualidade dos dados: deve ser garantido aos titulares que os seus dados sejam exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade do seu tratamento;
- Transparência: deve ser garantido aos titulares o direito a informações claras, precisas e facilmente acessíveis sobre o tratamento dos seus dados e sobre os agentes de tratamentos, sendo observados os segredos comerciais e industriais;
- Segurança: devem sempre serem utilizadas medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados, de situações acidentais ou ilícitas, como perda, alteração ou destruição, por exemplo;
- Prevenção: devem ser adotadas medidas para prevenir a ocorrência de danos no tratamento dos dados;
- Não discriminação: os dados não devem ser usados para tratamentos com fins discriminatórios ilícitos ou abusivos;
- Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e da eficácia dessas medidas.
Vazamento de dados e descumprimento da LGPD
Caso ocorra algum incidente que resulte em vazamentos de dados pessoais, a empresa deve adotar medidas de segurança com a finalidade de proteger esses dados contra acesso não autorizadas.
O primeiro passo é identificar qual a natureza desses dados. Se forem criptografados ou anonimizados, os riscos são menores.
De acordo com a lei, casos de incidentes desse tipo devem ser comunicados à autoridade nacional de proteção de dados (ANPD).
Dependendo da gravidade do acontecido, a ANPD pode determinar a adoção de determinadas providências ou comunicar a outros orgãos reguladores.
Neste caso, só terá danos àquelas empresas que não adotarem medidas de segurança em caso de incidentes.
O que pode ser feito para evitar vazamentos?
- desenvolver sistemas de identificação e combate de incidentes de segurança;
- treinar uma equipe de TI para garantir a execução desses procedimentos;
- revisar acordos de seguros para garantir cobertura em caso de incidentes;
- criar políticas e procedimentos internos, bem como parcerias com prestadores de serviços técnicos e de assessoria jurídica.
Em casos de descumprimentos da LGPD, a lei prevê a obrigação de uma indenização ao titular dos dados e sanções de caráter administrativo.
Essas sanções serão aplicadas pela autoridade nacional, a ANPD, e vão desde uma advertência até multas de 2% do faturamento da empresa, limitada a R$ 50 milhões por infração.
As sanções podem ser aplicadas cumulativamente, por dia e infração, mas sempre com base na gravidade e extensão da violação.
Principais impactos no setor financeiro da sua empresa
Como o setor financeiro pode trabalhar dentro dos seus limites para garantir a proteção dos dados pessoais de seus clientes e fornecedores?
Se o departamento financeiro sofrer uma violação, provavelmente teriam informações suficientes para que acontecessem adulterações nas contas de clientes, roubo em fundos e até mesmo fraudes de identidade.
Isso tudo pode gerar dor de cabeça, prejuízo financeiro e perdas significativas para a empresa.
Por isso, o profissional de finanças precisa ser ainda mais estratégico, repensar as suas táticas e atuar de forma ainda mais transparente.
Confira os principais pontos da lei que o setor financeiro deve se atentar:
Autorização dos clientes
Segundo os termos da LGPD, os dados pessoais são toda e qualquer informação que possa ser utilizada para identificar uma pessoa.
Esse dados podem ser nome, e-mail, endereço, endereço de IP, perfis de mídia social ou números da seguridade social.
A lei obrigada explicitamente que as empresas obtenham o consentimento dos clientes sobre os dados pessoais que são coletados.
Os titulares dos dados devem saber quais informações suas estão em quais empresas e como esses dados são utilizados.
Além disso, as empresas devem informar de forma clara qual a finalidade para qual os dados foram coletados e buscar um consentimento adicional se a empresa precisar compartilhar essas informações com terceiros.
De forma geral, o objetivo da LGPD é garantir que os clientes tenham todos os direitos sobre os seus próprios dados.
Direito à exclusão dos dados e direito de ser esquecido
Com a lei, as pessoas têm direito à privacidade dos seus dados pessoais.
Ou seja, de acordo com a LGPD, os indivíduos titulares dos dados pessoais podem solicitar o acesso à essa informações ou pedir para que a empresa remova os dados dele do banco de informações sem que seja preciso uma autorização externa.
É preciso ficar atento aos dados pessoais que o setor financeiro possui armazenado e garantir que o tratamento destes dados esteja claro para os titulares, bem como a facilidade de solicitação de remoção.
O financeiro pode manter certos dados para garantir a conformidade com outros regulamentos, mas em toda e qualquer situação em que não há uma justificativa para manter essas informações, o direito do titular dos dados pessoais de ser esquecido se aplica.
Consequências de uma violação de dados
Até o momento, é bastante comum que as empresas adotem suas próprias políticas de segurança em caso de uma violação de dados.
No entanto, com a LGPD em vigor, as empresas devem relatar qualquer incidente de violação à autoridade que supervisiona o mais rapidamente.
A informação sobre a violação, os resultados e os protocolos de remediação também devem ser enviados ao cliente, o titular dos dados pessoais, para que ele esteja ciente que seus dados foram impactados.
Gestão de fornecedores
O sistema de gestão é uma parte importante do setor financeiro e armazena os dados de diversos clientes.
Como a LGPD está associada aos dados de pessoas, a área financeira, e a empresa como um todo, precisa começar a entender todos os fluxos de informações que há em seus sistemas.
Mais do que nunca as empresas estão optando por terceirizar as funções de suporte, o que significa que os dados pessoais de clientes são constantemente acessados por pessoas externas.
Com essa lei em vigor, essas pessoas externas também estão incluídas nas regras em relação ao acesso desses dados.
A LGPD determina a prestação de contas para garantir que os dados dos clientes estejam sempre bem protegidos.
Pseudonimização
A Lei Geral de Proteção de Dados se aplica a todos os mais diversos dados do cliente, onde quer que ele seja encontrado.
Seja em um ambiente de produção ao vivo, durante o processo de desenvolvimento ou no meio de um programa de teste.
É comum utilizar a máscara de dados em ambientes de não produção a fim de ocultar dados confidenciais dos clientes.
De acordo com a LGPD, todos os dados devem ser pseudonimizados em identificadores artificiais no ambiente de produção ao vivo.
Essas obrigações têm o objetivo de assegurar que o acesso aos dados pessoais estejam dentro dos domínios das obrigações de “necessidade de saber”.
Como começar a se organizar?
A lei entrará em vigor no final de 2020, mas não se engane em pensar que dá tempo se adequar à LGPD.
É importante começar agora mesmo a entender os principais pontos e como ela irá impactar a sua empresa, criar um plano de ação para atender aos requisitos e estar preparado antes do tempo terminar.
Ficou com alguma dúvida? Deixe seu comentário com as suas principais dúvidas e aproveite para continuar lendo em nosso blog.
Faça parte da comunidade Boavista Inscreva seu melhor contato e receba conteúdos exclusivos e com prioridade no seu e-mail!
Teste
Esteja sempre à frente no mercado financeiro!
Conteúdos exclusivos sobre gestão financeira, varejo e tecnologia para você.
Assine a Newsletter