Lei Geral de Proteção de Dados: tudo que você precisa saber

Você já viu qual o tema do conteúdo, certo? A Lei Geral de Proteção de Dados.  

O quê? Você acha mais legal ler sobre marketing e vendas? Bom, eu também. Não vou mentir. 

Mas nós precisamos falar sobre tudo que é importante e afeta o seu negócio. 

E a nova Lei Geral de Proteção Dados (LGPD) é o assunto do momento.

Então, não fique por fora. Entenda agora o que a sua agência de viagens deve fazer para cumprir todas as exigências dessa Lei!

O que é segurança da informação?

Eu acho importante criar um contexto sobre esse mundo da informação antes de entrarmos, de fato, na Lei nº 13.709/2018 (LGPD). 

Para isso, vou começar falando sobre a segurança da informação, que tem como princípio três conceitos básicos:

C- Confidencialidade;

I – Integridade;

D- Disponibilidade. 

• A confidencialidade é um ponto que trata da privacidade de dados, ou seja, quem terá permissão para acessá-los. É através dela que temos a garantia de que todas as informações fornecidas (pessoal ou digitalmente) não poderão ser divulgadas sem prévia autorização.
  
• A integridade deve garantir que a informação não seja corrompida ou adulterada. É através dela que todas as informações serão mantidas em sua forma original, com consistência e precisão, enquanto durar sua utilidade.
  
• E a disponibilidade significa que a informação deve estar disponível quando ela for necessária. Possibilitando a consulta de dados pertinentes à qualquer momento e por quanto tempo o fornecedor julgar adequado.

Ps: E é importante criar um equilíbrio entre o que é confidencial e disponível. Isso significa que a informação não pode ficar exposta demais, tornando a empresa vulnerável. 

A LGP também protege dados físicos

Quando pensamos em segurança da informação, já vem a nossa mente a questão digital: armazenamento de documentos digitais, contratos, vouchers e etc. 

Mas é importante reforçar que os documentos físicos também precisam estar guardados com segurança. Isso envolve um ambiente organizado, com acesso monitorado e, caso a agência julgue necessário, com câmeras.

Fique atento, pois todas as multas que irei citar neste conteúdo, valem também para os dados armazenados em ambientes físicos.

Contra quais ameaças você tem que proteger os dados da sua agência de viagens?

Vamos entender agora sobre as ameaças humanas e ambientais que podem causar problemas aos bens da sua empresa, sejam eles digitais ou físicos.

Ameaças humanas

Esse tipo de ameaça pode ser intencional, como a modificação de informações sem autorização, hacking de sistemas, códigos maliciosos e roubo.

Ou acidentais, como a remoção de arquivos (pode acontecer de um funcionário apagar alguma informação de uma planilha sem querer), acidente físico (perder pastas ou papéis importantes) e erro de procedimento. 

As situações acidentais podem ocorrer por causa de dois fatores principais: 

• O funcionário pode não ter conhecimento total dos processos de trabalho e por isso comete erros;
• Ou ele está sobrecarregado e acaba deixando algum erro passar por ter que fazer tudo com muita rapidez. 

Sendo assim, uma das maneiras mais eficazes de trazer segurança para a empresa é treinar a equipe. 

E acredite, muitos problemas estão dentro das empresas. E eu trouxe duas pesquisas que mostram isso:

• 58% dos roubos de dados em empresas brasileiras foram causados por falha humana.
• 46% dos incidentes de segurança de TI são causados pelos próprios funcionários. 

Solução: sistema Monde 

No caso de modificação de informações, o Monde pode ajudar, pois o sistema conta com um recurso de LOG, que registra mudanças feitas em vários módulos da ferramenta (cadastro de pessoas, vendas, contas a pagar/receber, transferências entre contas e nota fiscal). 

Então, se alguém modificar alguma informação, seja por acidente ou de forma intencional, o proprietário saberá o que foi modificado, quando, onde e por quem. 

Além disso, para aumentar a segurança das informações da sua agência de viagens, você pode usar o recurso de permissões de acesso para restringir as ações de cada usuário no sistema. 

Por exemplo: não quero que o meu vendedor tenha acesso a parte financeira do sistema. Você pode restringir essa área.

Importante: não compartilhe login do Monde (e de nenhuma outra ferramenta usada na agência, na verdade). Cada funcionário deve ter o seu usuário e senha, pois o LOG fica registrado no nome do usuário. 

Ameaças ambientais

E o segundo grupo são as ameaças ambientais, como enchente, fogo, raio, etc. Ou seja, qualquer situação ambiental que possa trazer problemas para a empresa. 

Lei Geral de Proteção de Dados 

Bom, já te contextualizei sobre segurança da informação e as principais ameaças. Agora vou entrar no nosso tema central do conteúdo. 

A LGPD vem sendo debatida há mais de 8 anos e tem como base a GDPR (General Data Protection Regulation), que já está em vigor na Europa.

A Lei foi aprovada em 2018 e o prazo para adequação no Brasil é agosto/2020, como eu disse no começo do blog post. E essa data está muito próxima, hein! 

E por que essa Lei é tão importante para o consumidor? 

Vocês viram essa notícia da Netshoes? Esse vazamento de dados dos consumidores aconteceu em 2019. 

Via Tecmundo. 

Muitas vezes esse tipo de situação ocorre e os consumidores nem ficam sabendo que tiveram seus dados vazados. Isso é um perigo! 

Resumindo, a LGPD te protege enquanto titular dos dados que transitam pelos bancos de dados das empresas. As organizações deverão seguir as bases da Lei e a população vai ter mais segurança.

Esta Lei não vale apenas para o Brasil, boa parte dos países Sul-Americanos e também Europeus, possuem uma legislação sobre o tema. A determinação é importante, pois ela torna possível o reconhecimento preciso de alguém (por meio de um endereço e um nome que, quando cruzados, podem resultar na exposição certeira de um ladrão de dados, por exemplo).

Outro ponto interessante para as agência de viagens, é que essa lei valerá também para dados coletados fora dos limites do Brasil, desde que os serviços e bens oferecidos sejam destinados a clientes brasileiros.

Motivos para se preocupar com a LGPD

O objetivo da Lei é criar uma organização no tratamento dos dados. Ou seja, preservar o dado pessoal que transita em diversos lugares, como em sites de compra (o que hoje em dia é muito comum).

E por que você, como gestor, precisa se preocupar com a Lei Geral de Proteção de Dados? Descubra lendo os motivos abaixo! 

1- Empresas de todos os setores e de todos os portes trabalham com dados pessoais 

Esse é o primeiro ponto que precisamos entender: a Lei abrange todas as empresas, em maior ou menor grau. 

Mesmo as agências de viagens que trabalham com corporativo, lidam com dados pessoais. Isso porque um CNPJ está comprando, mas são pessoas que utilizam o serviço. 

No caso das viagens a lazer, existe um contato muito maior da agência com os dados pessoais de clientes. 

2- Todos os departamentos das empresas tratam dados pessoais 

Todos os departamentos da agência têm contato com dados pessoais em níveis diferentes. 

O financeiro, por exemplo, vai lidar com um número maior de informações. Mas o marketing da empresa tem acesso aos nomes e e-mails de clientes (que são dados pessoais). 

Sendo assim, toda a empresa precisa estar atenta a nova Lei. 

3- O tratamento de dados pessoais somente poderá ser realizado se estiver em conformidade com uma das bases legais previstas na Lei

Com a LGPD, cria-se um conjunto de bases legais que a empresa precisa seguir para trabalhar com dados pessoais.

 Vou falar sobre cada base legal já, já.

4- A Lei apresenta relevantes princípios para nortear o tratamento de dados pessoais

Alguns princípios relevantes que vão conduzir o tratamento de dados são:

• Finalidade: precisa existir um propósito. Você não pode, por exemplo, pegar os dados de uma pessoa, sem a permissão dela, para criar um banco de dados que será usado para prospecção. É necessário que exista um propósito legítimo para colher dados pessoais.
• Adequação: as empresas não podem pegar qualquer dado que vem à cabeça. Todas as informações precisam ser compatíveis com a necessidade de uso.
• Mínima coleta: quais são os dados mais importantes para a operação da sua empresa? Por exemplo, se você explica para o cliente que tem uma lista de transmissão com dicas de viagens e pergunta se ele quer participar, só é necessário pedir o número de telefone e o nome. Mais do que isso seria ultrapassar esse ponto da mínima coleta.
• Transparência: o objetivo de uso do dado pessoal precisa estar claro, o motivo precisa ser exposto e coeso com o que está sendo requerido. 

Então, resumidamente: 

Você precisa ter um propósito claro para colher dados dos consumidores.

Coletar apenas o necessário para a ação que vai executar. Os dados precisam ser compatíveis com a necessidade de uso (não adianta pegar um CPF para manter relacionamento por e-mail, por exemplo) e seja transparente: para que a informação será usada?

O que são dados pessoais segundo a LGPD?

Para que a sua agência de viagens esteja em conformidade com a Lei, é preciso entender o que ela considera como sendo dado pessoal.

Quais informações dos seus clientes entram na LGPD nesse grupo de dados?

• Dados cadastrais;
• Data de nascimento;
• Profissão;
• Dados de GPS;
• Nacionalidade;
• Gostos;
• Interesses;
• Hábitos de consumo;
• Entre outros. 

Em outras palavras, os dados pessoais são as informações que identificam uma pessoa. 

Mas além dos dados pessoais, a LGPD tem um outro grupo chamado de dado pessoal sensível. E quais informações entram nesse grupo?

• Dado pessoal sobre origem racial ou étnica;
• Convicção religiosa;
• Opinião política;
• Filiação a sindicato ou a organização de caráter religioso, filosófico ou político;
• Dado referente a saúde;
• Dado genético ou biométrico. 

E o que a Lei não considera dado pessoal?

• Toda informação que não é capaz de identificar uma pessoa;
• E todo dado anonimizado (que é quando um processo tecnológico faz com que o dado não seja linkado a uma pessoa, como borrar informações). 

Os direitos dos titulares dos dados segundo a Lei Geral de Proteção de Dados

Primeiro, o que é um titular? 

Qualquer pessoa. Eu sou titular dos meus dados, você dos seus, e assim por diante.

Bom, vamos entender agora os direitos dos titulares (os clientes da sua agência de viagens, por exemplo) quando estamos falando de proteção de dados. 

1- Confirmação da existência de tratamento

Toda empresa que mantém um banco de dados precisa, de alguma forma, informar aos titulares que os dados existem nesse banco. 

2- Acesso aos dados

Isso significa que o titular tem direito a acessar seus dados. Não está claro na Lei como os dados devem ser apresentados a ele (talvez através de um portal específico), mas a questão é que o acesso precisa ser liberado. Essa acessibilidade também pode ser requerida pelo titular para verificar quais dados foram repassados e para quem.

3- Correção de dados incompletos, inexatos ou desatualizados

Tendo acesso aos dados, o titular pode pedir para que eles sejam corrigidos, caso estejam incorretos ou incompletos.

4- Anonimização

É direito do titular não ser identificado através dos dados. Com isso, é possível que a empresa tenha que utilizar recursos para “esconder” as informações do titular. 

5- Portabilidade

O titular pode retirar seus dados do banco de uma empresa e fazer a portabilidade para outra. Ou seja, como dono das informações, eu posso pedir a transferência dos meus dados da empresa A para a empresa B.

6- Eliminação

É direito do titular entrar em contato com a empresa e pedir a eliminação dos dados pessoais daquele banco. 

7- Possibilidade de receber informação sobre não fornecer o consentimento e suas consequências

Ou seja, caso o titular não dê o consentimento para o uso e armazenamento dos dados pessoais, a empresa precisa informar a consequência que o titular irá sofrer por não fornecer esse consentimento. 

8- Revogação do consentimento

O titular deu o consentimento para que a sua agência tenha os dados pessoais dele, mas em outro momento voltou atrás com essa decisão. Esse é um direito dele garantido na Lei. 

Empresas devem adotar medidas de segurança e boas práticas 

Com a nova Lei, toda empresa que detém uma massa de dados pessoais precisa começar a trabalhar boas práticas para que essas informações estejam em segurança. 

E mais, se a sua agência sofrer com algum vazamento de informações (e isso pode acontecer), trabalhar as boas práticas de segurança é um ponto positivo, pois irá mostrar que a empresa não foi descuidada. Na hora da aplicação de penalidades isso faz diferença! 

DPO (Data Protection Officer)

Com a nova Lei, toda empresa precisa ter um encarregado de dados. Ele será responsável internamente por orientar e garantir que os funcionários cumpram as exigências previstas, e também vai se comunicar com o Órgão Nacional de Proteção de Dados, que é quem vai controlar a aplicação da Lei no Brasil. 

Com isso, caso a empresa tenha algum imprevisto ou precise dar qualquer tipo de informação, esse responsável será a via de comunicação. 

E toda empresa terá que deixar claro quem é o seu encarregado de dados. Isso pode ficar exposto no site, por exemplo. 

ANPD (Autoridade Nacional de Proteção de Dados)

 A Autoridade Nacional de Proteção de Dados é o órgão que vai fiscalizar o cumprimento da Lei no Brasil. 

A ANPD começou a ser formatada no meio de 2019 e foi assinada agora no Governo Bolsonaro (lembrando que a Lei Geral de Proteção de Dados foi assinada no Governo Temer). 

Não existem informações muito precisas sobre a Agência Nacional, o que sabemos é que a ela será composta por 21 diretores, entre pessoas do Governo, mercado e profissionais especialistas na área.

Quais são as bases legais para o tratamento de dados pessoais?

Consentimento pelo titular

Isso significa ter um registro que prove que você está autorizado pelo titular a manter e utilizar aqueles dados, uma espécie de autorização. 

Por exemplo: sua agência tem os dados dos clientes que viajaram e depois do retorno você liga para colher um feedback. Esse contato (e qualquer outro que envolva os dados pessoais do viajante) precisa ser autorizado e essa autorização precisa ficar registrada na empresa. 

Cumprimento de obrigação legal ou regulatória pelo controlador

Eu falei sobre os direitos dos titulares de dados no tópico anterior, mas vamos imaginar que um funcionário saiu da sua empresa e você precisa, segundo a legislação trabalhista, armazenar os dados dele por um período. Porém, ele solicita a exclusão das informações, como direito previsto na Lei Geral. 

Nesse caso, a legislação trabalhista está acima da LGPD. 

Essa segunda base legal trabalha para que a Lei Geral não entre em conflito com outras legislações que já estão em vigor no país. 

Pela administração pública

A administração pública vai poder tratar o dado pessoal, principalmente para a definição de políticas públicas. Porém, esses órgãos também precisarão se adequar a Lei, apesar de terem acesso mais amplo.

Segundo o site Tripla, no blog post sobre as Bases Legais para tratamento de dados pela LGPD:

“A Administração Pública somente não estará obrigada a cumprir com as exigências da LGPD no caso de tratamento de dados feito exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação ou de repressão de infrações penais”. 

Fonte: Tripla 

Para a realização de estudos por órgão de pesquisa

Órgãos de pesquisa, como o IBGE, podem coletar dados pessoais para estudo e pesquisa. 

Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular

Vamos imaginar que você vendeu uma viagem. Vai ser necessário fornecer um contrato de prestação de serviço para a pessoa, certo? E esse documento levará os dados pessoais do contratante. 

Essa base legal garante que você pode ter o dado da pessoa em contrato, já que é impossível fazer uma venda sem ter as informações do comprador.

Para o exercício regular de direitos em processo judicial, administrativo ou arbitral

Essa base garante que os dados podem ser utilizados quando ligados a um processo judicial, administrativo ou arbitral. 

Para proteção da vida ou da incolumidade física do titular ou de terceiro

Quando o dado for necessário para alguma ação de proteção à vida do titular ou de um terceiro, o uso é permitido. 

Por exemplo: você se acidentou e no hospital pediram alguns dados pessoais para contatar parentes. 

Para a tutela da saúde

Em procedimentos realizados por profissionais da área da saúde ou por entidades sanitárias (como a campanha de vacinação), o uso do dado é permitido. 

Interesses legítimos do controlador ou terceiro 

O dado pode ser utilizado quando for em benefício do titular, desde que atenda às expectativas dele. 

Para proteção ao crédito

Aqui o objetivo é o de não deixar brechas para os titulares dos dados que possuem dívidas em empresas. Por exemplo:

Seu cliente possui pendências de pagamento. Essa base garante que você pode cobrá-lo ou colocar o nome dele no SPC/Serasa, por exemplo, mesmo se tratando de dados pessoais. 

E se a Lei Geral de Proteção de Dados já estivesse em vigor?

Vamos imaginar que a Lei já está em vigor e conhecer as sanções administrativas que a Autoridade Nacional de Proteção de Dados (ANPD) pode exigir caso localize alguma infração. 

1- Advertência

Vamos imaginar que a sua agência teve um vazamento de dados, que acarretou em uma denúncia. ANPD pode aplicar uma advertência com prazo para que as medidas de correção sejam adotadas. Ou seja, com essa advertência você tem um tempo para arrumar as coisas. 

2- Multa simples 

Essa multa pode chegar a até 2% do faturamento da pessoa jurídica, levando em consideração o exercício anterior, estando limitada a R$50000000,00 (cinquenta milhões de reais) por infração. 

O que a Autoridade Nacional de Proteção vai avaliar para a aplicação dessa multa:

• Houve privilégio para quem vazou o dado? Se quem tratava dos dados se beneficiou com o vazamento, a Autoridade irá avaliar se foi intencional. 
• Essa empresa que teve os vazamentos estava colocando todas as diretrizes de proteção de dados em prática? 

Essas considerações irão dosar a porcentagem que será cobrada de multa, dentro da limitação de 50 milhões de reais. 

3- Multa diária 

Pode acontecer da multa não ser pontual, mas ser aplicada diariamente até que o problema seja resolvido. Essa multa também não pode exceder os 50 milhões de reais por incidente. 

4- Publicização da infração 

A partir do momento que a infração foi apurada e confirmada, a Lei obriga que seja feita a divulgação. 

Isso é importante, pois imagine que as suas informações pessoais estão dentro de um banco de dados que vazou. Você precisa saber desse acontecimento para se proteger, e por isso é obrigatório que a infração/ocorrência de uma empresa seja divulgada. 

5- Bloqueio dos dados pessoais 

Se uma empresa tem o dado pessoal como matéria-prima do negócio, ou seja, precisa do banco de dados para continuar funcionando, esse bloqueio trará prejuízos enormes. Por isso ele entra como punição! 

6- Eliminação dos dados pessoais 

É a mesma complicação do ponto anterior. Uma empresa que trabalha com dados e precisa eliminá-los como punição, pode perder o negócio.

Cumpre ressaltar que todas essas medidas elencadas acima são consideradas em si “última ratio” e deverão ser executadas de maneira proporcional, tendo como fator de direção as normas constitucionais, haja vista que, por se tratar de lei nova e por vezes, inconclusa, haverá espaço para uma possível relativização para cada uma das situações expostas no presente artigo.

Por fim, o que fazer?

Bom, eu apresentei todos os pontos dessa Lei, bem como as implicações legais que uma empresa pode sofrer caso não siga as diretrizes. 

Agora vou falar um pouco sobre o que a sua agência de viagens pode fazer para se adaptar a LGPD. 

O primeiro passo é avaliar o seu negócio, pois se tratando de proteção de dados, o que vale para uma empresa pode não valer para a outra. Tudo depende dos processos. 

E outros dois fatores são muito importantes:

Pessoas

Conscientizar os colaboradores sobre os pontos citados na Lei é muito importante. Reforce os treinamentos em processos que envolvam dados pessoais e passe treinamentos sobre a LGPD. 

Também é recomendado que a agência entre em contato com um escritório de advocacia para entender o tema mais profundamente.

Ferramentas e boas práticas para aplicar a LGPD

Sistema de gestão

Para atender a todos os requisitos da LGPD, é indispensável investir em um sistema que faça o armazenamento de informações de forma segura, que garanta a segurança no momento de transferência de dados (dpara os portais dos fornecedores, por exemplo) e que controle de forma fácil o acesso a informações dos clientes.

O sistema Monde armazena os dados em nuvem, possui backup diário e automático, além de criptografar dados de cartão de crédito e senhas. 

Conheça nosso backoffice clicando aqui. 

AdOpt

A AdOpt é uma plataforma de gerenciamento de consentimento (CMP). Com ela você pode adaptar o seu site para que ele respeite as políticas de privacidade da LGPD. 

Você pode começar colocando a URL do site da sua agência para verificar se ele está preparado para a Lei Geral de Proteção de Dados. 

E no caso de erros serem encontrados, entre em contato com a Adopt para entender como adequar a sua empresa a nova lei. Clique aqui e saiba mais.

Algumas questões básicas e importantes:

Limite o acesso

 Não permita que todo mundo acesse todas as informações que a sua agência de viagens armazena. Tenha um controle de permissões de acesso para os funcionários. 

O sSistema Monde possui esse recurso para que o gestor possa escolher controlar o acesso dos funcionários aos módulos e informações que cada funcionário tem acesso. 

Entenda mais sobre isso clicando aqui.

Testes de vulnerabilidade

Existem no mercado empresas que são especialistas nesse trabalho de testar o quão vulnerável estão os dados que a sua agência armazena. Alguns exemplos: Insider Application Security, IBLISS Digital Security, Network Secure.

Contratar uma empresa para fazer essa análise pode ajudar a sua empresa a colocar soluções de proteção de dados em prática, evitando qualquer tipo de vazamento.

Faça a auditoria dos dados

É importante que você faça um inventário dos dados que são armazenados pela agência. 

Essa auditoria vai funcionar como um mapeamento de informações e você precisa saber, depois que o dado entrou na empresa:

• Por onde ele passou;
• Quem teve e tem acesso a ele;
• Onde ele está armazenado;
• Qual a finalidade de uso;
• Houve transferência de informação para outra empresa? Para fornecedores, por exemplo.

Tudo isso vai permitir que você encontre  brechas em seus processos de trabalho que podem tornar os dados vulneráveis. Além disso, esse estudo vai te ajudar a enxergar se a agência está realmente trabalhando de acordo com a Lei.

• Atualize contratos 

É essencial reler e atualizar os termos e contratos que levam dados pessoais dos clientes. 

Neste artigo você pode ler um passo a passo para essa adequação: Adaptação de contratos para a Lei Geral de Proteção de Dados

Conclusão 

Chegamos ao final! Espero que este conteúdo te ajude a entender a nova Lei Geral de Proteção de Dados. 

Para reforçar o tema, trouxe o webinar que foi apresentado pelo Emerson Beneton, especialista em gestão de segurança da informação: 

O que é a Lei Geral de Proteção de Dados e seus impactos para as agências.

Qualquer dúvida, deixe nos comentários!