LGPD e GDPR: a importância de preparar seu negócio para a era da privacidade

Publicado em 28/12/2020 por Lucca Rossi

Conhece as novas leis de proteção de dados? Confira com duas das principais, LGPD e GDPR, infuenciam o seu negócio e como se adaptar, inclusive com a adoção de sistemas de gestão de dados .

lgpd e gdpr

A Lei Geral de Proteção de Dados (LGPD) pode até ser uma novidade em terras brasileiras. Entretanto, na União Europeia, uma versão semelhante da legislação já vem sendo aplicada nos países do bloco. Trata-se da General Data Protection Regulation (GDPR), a LGPD da Europa, que inspirou a norma brasileira. 

A GDPR foi implementada em 2018 e substituiu a Diretiva de Proteção de Dados, de 1995, que foi criada em uma época em que big data e redes sociais não faziam parte do nosso vocabulário. Portanto, antes da GDPR, a legislação existente não abarcava as particularidades da economia digital moderna. 

O objetivo da GDPR foi dar aos cidadãos europeus mais controle sobre o uso de seus dados, reforçando o princípio de que essas informações pertencem às pessoas, não ao Estado nem às empresas. 

Em muitos aspectos, LGPD e GDPR coincidem: ambas definem, cada uma à sua maneira, diretrizes sobre a coleta e a privacidade de dados. 

No entanto, como a GDPR veio ao mundo antes, observa-se que a Europa está um passo à frente na consolidação da lei. No Velho Continente, por exemplo, a lei já fez algumas vítimas: é o caso da penalização de mais de 50 milhões de euros imposta ao Google pelo governo da França por descumprimento da norma.  Ainda que timidamente, a justiça brasileira também já começou a se basear na LGPD para multar empresas que compartilham os dados de clientes sem o seu consentimento.

Neste texto, o Capterra avalia as duas leis, especialmente com intuito de analisar o que poderemos esperar da LGPD nos próximos anos por aqui.  

LGPD e GDPR: semelhanças e diferenças entre cada legislação 

As duas legislações entram em consenso na definição do que são dados pessoais –ou seja, informações que podem identificar, direta ou indiretamente, uma pessoa– e são baseadas em uma lista de direitos fundamentais. 

Outro ponto de semelhança é a extraterritorialidade. LGPD e GDPR se aplicam a todas empresas que oferecem serviços aos proprietários de dados dentro de seus territórios, independentemente de onde elas estão sediadas. 

Mas, com exceção desses pontos, cada uma segue um caminho diferente. Às vezes, inclusive, uma é mais rigorosa que a outra. 

Um desses cenários está relacionado à função do DPO (sigla para Data Protection Officer), o profissional responsável pela proteção de dados dentro das empresas. 

Na Europa, a figura do DPO é necessária em casos específicos, como em organizações que processam dados em larga escala, por exemplo. 

Já no Brasil, a LGPD supõe que qualquer empresa, independentemente do seu tamanho ou volume de dados tramitado, deve nomear um DPO —há expectativa de exceções determinadas pela recém criada Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela regulamentação e fiscalização da aplicação da LGPD. 

No quesito vazamento de dados, o texto brasileiro determina que a comunicação às autoridades deve acontecer dentro de um “prazo razoável”. É esperado que a ANPD regule qual será o período ideal. Na Europa, a GDPR especifica um prazo de 72 horas para que a organização comunique às autoridades de proteção sobre o vazamento de dados. 

Uma das maiores diferenças está em relação à penalização. A GDPR faz doer mais o bolso das empresas. No caso de violações da lei, a multa europeia pode chegar até 20 milhões (cerca de R$ 120 milhões) ou 4% da receita anual, o que for maior. 

Em território brasileiro, o descumprimento da lei acarreta uma multa de 2% do faturamento da empresa, com limite de R$ 50 milhões.   

Por fim, mais uma diferença está na resposta à solicitação de dados por parte dos proprietários. Na GDPR, as empresas têm 30 dias para responder ao pedido, enquanto a LGPD define 15 dias, sendo que os custos de solicitação são obrigatoriamente gratuitos –no caso da GDPR, há a possibilidade de cobrança de uma taxa para certos casos.

lgpd na europa diferenças GDPR

Na comparação entre a LGPD e a GDPR, sempre sucinta uma curiosidade: como os Estados Unidos tratam o tema? 

Por lá, não há nenhuma lei federal sobre o assunto –embora a Federal Trade Commission (FTC), que protege os consumidores, se encarregue quando necessário–, apenas legislações no âmbito estadual. 

Quatro estados já definiram algumas diretrizes para a proteção de dados: Maine, Nevada, Vermont e Califórnia. 

Este último, inclusive, é o que possui a legislação mais influente, a CCPA (sigla de California Consumer Privacy Act). Baseada na GDPR, entre alguns requisitos, ela se aplica a empresas que processam informações pessoais de mais de 50 mil consumidores californianos (conteúdo em inglês).  

Do ponto de vista do consumidor: como brasileiros e europeus encaram suas legislações de dados 

Um mês após a implementação da LGPD, o desconhecimento sobre o tema ainda era alto. Realizada em outubro de 2020, uma pesquisa do Capterra com consumidores de todas as regiões do Brasil apontou que 42% dos entrevistados não sabiam o que era a LGPD, enquanto 19% não tinham certeza. 

Apesar de muitos brasileiros ainda não estarem a par da legislação, um dado mostra otimismo e unanimidade. Para 96% dos entrevistados, é importante a aprovação de uma lei de proteção de dados no país. 

Quando se analisa o contexto europeu, o fato de a GDPR ser mais antiga parece refletir-se no conhecimento dos cidadãos sobre ela. 

Segundo a pesquisa Your rights matter: Data protection and privacy (conteúdo em inglês), feita pela Agência dos Direitos Fundamentais da União Europeia (FRA na sigla em inglês) em 27 países, 69% das pessoas entrevistadas declararam já ter ouvido falar da GDPR; por outro lado, 31% disseram desconhecer a lei. 

Para se aprofundar um pouco mais, o mesmo estudo buscou entender se os cidadãos estariam dispostos a compartilhar informações básicas, como endereço, nacionalidade e data de nascimento, para usar um serviço oferecido por uma empresa privada ou por um órgão público. 

Mais da metade dos entrevistados compartilharia endereço (63%), data de nascimento (62%) e nacionalidade (58%) com setores públicos. 

No entanto, observa-se uma grande redução para o caso de companhias privadas. Somente pouco mais de um terço dos entrevistados estão dispostos a fornecer dados como data de nascimento (38%), nacionalidade (37%) e endereço (36%) a agentes privados. 

Um dos motivos para que para as pessoas não se sintam confortáveis ao ceder dados a empresas pode estar relacionado à falta de conhecimento sobre o tratamento de dados e os seus direitos em relação ao acesso às informações. 

A preparação do negócio para a LGPD

Antes de tudo, é importante esclarecer que quando um negócio não está em sintonia com a legislação e a considera como um tema menor, corre os seguintes riscos: 

  • Penalizações por descumprimento
  • Perdas financeiras decorrente do vazamento de dados
  • Diminuição da confiança interna e externa
  • Perda de produtividade
  • Ameaça de ferir a reputação da marca

Fato é que, conforme os consumidores ficam mais cientes da LGPD, mais críticos e exigentes estarão sobre o tema. 

Por isso, as empresas devem ter urgência em criar procedimentos para o tratamento de dados —softwares de administração de dados e sistemas de gestão de dados podem ajudar nesta tarefa. 

Treinamentos de conscientização sobre o tema, especialmente envolvendo profissionais que trabalham diretamente com o tratamento de dados, são outras medidas para minimizar riscos. 

E, claro, é mandatório se comunicar sempre com os consumidores para esclarecer a qual tratamento suas informações estão expostas.

lgpd na europa informações

A proteção de dados nas empresas segundo brasileiros e europeus 

LGPD e GDPR não tratam apenas da relação entre empresa e consumidores, mas também de empresas e funcionários. Qual o departamento mais influenciado por esta dinâmica? O  de recursos humanos. 

Isso porque o RH lida com dados pessoais em todos os seus processos: pré-contratual, contratual e pós-contratual (o desligamento). 

O Capterra investigou, no Brasil, qual o panorama da LGPD por meio da pesquisa sobre a entrada em vigor da LGPD com trabalhadores de PMEs e ficou evidente que os funcionários do país ainda não estão muito exigentes sobre o tema. 

Quando questionados se já pediram informações nas suas empresas sobre a tramitação de seus dados, 15% disseram já terem feito solicitações antes da vigência da LGPD; após a entrada em vigor, apenas 9% afirmam ter feito este tipo de solicitação. 

Esta pesquisa foi replicada em outros mercados do Capterra, na Europa, para entender a percepção dos cidadãos europeus. 

Na França, 30% dos entrevistados disseram que já entraram em contato com a empresa em que trabalham para pedir informações sobre o uso de seus dados pessoais após a implantação da GDPR. 

Número igual ao da Holanda, onde também 30% dos entrevistados já fizeram este tipo de pedido e mais baixo na Itália e na Espanha, onde apenas 23% declararam terem pedido informações. 

Ao que parece, a questão não está avançada nem com a LGPD do Brasil nem com a LGPD na Europa. Afinal, há especialistas que são muito categóricos em dizer que a GDPR –o que tamém se aplica à LGPD– é um projeto de longo prazo. 

Entretanto, um dado chama a atenção. Em quase todos os países analisados, os funcionários confiam no armazenamento e na manipulação de dados realizados por suas empresas. 

A Holanda é o país em que os empregados têm a melhor percepção. Para 86% dos entrevistados, suas empresas armazenam e manipulam os dados corretamente. Na Itália, a percepção é parecida: 85% creem que suas empresas lidam de maneira correta com suas informações. No Brasil, a taxa se iguala a desses países europeus: 82% dos entrevistados pelo Capterra acreditam que as companhias em que trabalham tramitam os dados de forma segura. Os espanhóis são os mais desconfiados: 80% afirmam confiar em suas empresas. 

O único país que foge da linha é a França, onde a questão está bastante polarizada. Metade dos franceses afirmam que, sim, a empresa administra bem a questão, enquanto a outra parte afirma que não.

LGPD no RH: preocupação também deve existir 

Na mesma pesquisa citada acima, 60% dos trabalhadores brasileiros  disseram que a área de recursos humanos é a que mais os mantêm informados sobre o uso de seus dados. 

A tendência é que este setor seja cada vez mais cobrado para esclarecer as dúvidas sobre o tema. Para estar em linha com a legislação, o mais importante é que se analise quais dados a empresa coleta, gera, compartilha e armazena. 

A partir disso, é importante desenhar processos para ter controle de todo esse fluxo –mais uma vez, capacite os profissionais de recursos humanos sobre o tratamento de dados para que todos zelem pela segurança de informação.

Diferentemente da GDPR, que traz um artigo específico sobre o processamento de dados no âmbito laboral, a LGPD não trata especificamente do tema, mas diversos juristas e especialistas afirmam que isso não exclui as relações de trabalho do seu âmbito de aplicação.

lgpd rh

Não se adaptou? Está mais do que na hora 

A LGPD é recém-chegada no Brasil, portanto ainda falta muito tempo para a lei se consolidar. No entanto, isso não significa que sua empresa deva deixar toda adequação para depois. 

A tendência é que aumente a preocupação de funcionários e de consumidores sobre o tratamento de seus dados. 

No âmbito externo, é importante manter uma boa administração para evitar manchar a reputação da marca e produzir perdas financeiras. 

No âmbito interno, é importante manter uma boa gestão de dados para não criar desconfiança entre a equipe e manter a empresa longe de eventuais processos trabalhistas. 

Quanto antes sua empresa estiver adaptada, menor será a preocupação em curto e longo prazo.

Busca sistemas de gestão de bases de dados? Confira nosso catálogo!

Metodologia 

Para os estudos citados neste artigo, o Capterra realizou um levantamento online entre os dias 2 e 15 de outubro em que ouviu 515 trabalhadores de empresas com entre 1 e 250 funcionários de todas as regiões do país e de diferentes setores de atuação. Os entrevistados não podiam estar envolvidos na gestão de dados pessoais dos trabalhadores das suas empresas. 

Para a parte referente aos consumidores, foram 531 entrevistados com entre 18 e 65 anos, de diferentes faixas de renda (até 1 salário mínimo, de 1 a 3, de 3 a 7, de 7 a 15, de 15 a 20 e mais de 20) e de todas as regiões do país. Os entrevistados eram trabalhadores em tempo integral ou parcial, freelancers/autônomos, estudantes em tempo integral, aposentados ou pessoas que perderam o emprego durante a crise. 

Para os estudos dos países europeus foram ouvidos os seguintes números de entrevistados: 1048 (Espanha), 1108 (França), 1002 (Holanda), 1085 (Itália). 

Os resultados são representativos das pesquisas, mas não necessariamente das populações como um todo. 


Nota: Este documento, embora tenha a intenção de informar nossos clientes sobre os atuais desafios de privacidade e segurança de dados experimentados pelas empresas de TI no mercado global, não se destina, de forma alguma, a fornecer aconselhamento jurídico ou endossar um plano de ação específico. Para obter conselhos sobre sua situação específica, consulte seu consultor jurídico.

Esse artigo pode se referir a produtos, programas ou serviços ainda não disponíveis em seu país, ou pode ter restrições legais ou regulatórias. Sugerimos que você consulte o provedor de software diretamente para informações sobre disponibilidade do produto ou conformidade com as leis locais.