Um assunto que tem circulado com bastante intensidade entre os promotores de eventos e os departamentos de marketing dos mais diversificados segmentos, é a LGPD (Lei Geral de Proteção de Dados). A Lei 13853/2019 que tem como objetivo a proteção de dados pessoais e a criação da Autoridade Nacional de Proteção de Dados (ANPD), entrou em vigor no dia 18/09/2020. Com isso, muitas empresas precisaram se adequar às novas condições de armazenamento e coleta de dados. Algumas, inclusive, ainda tentam correr contra o tempo para que tudo fique dentro dos conformes. Continue a leitura e saiba tudo sobre a LGPD. O tratamento de dados é todo e qualquer uso que pode ser feito com as informações que são passadas pelo titular. Da coleta ao armazenamento, mesmo que as informações estejam arquivadas, sem o uso por parte do detentor, a lei entende que é um tratamento de dados e que, por isso, é necessária uma justificativa para serem guardadas. A lei é constituída de 10 princípios, que têm como foco o destino e o tratamento das informações coletadas. Abaixo, alguns princípios que ela considera como principais: Este princípio informa que um dado só pode ser tratado quando houver um propósito legítimo, específico, explícito e formal. Falar para uma pessoa que você precisa que ela forneça alguns dados adicionais para que você possa melhorar a experiência dela em relação aos seus serviços, não será mais suficiente e, muito menos, legítimo. Algumas novas perguntas deverão surgir, como por exemplo: O que é melhorar a experiência? De que forma isso irá acontecer? Quais dados são realmente necessários para melhorar essa experiência? O titular deverá receber informações claras e acessíveis sobre a finalidade do uso de seus dados. A ideia é que haja uma mudança na forma de comunicação com os titulares. O cenário ideal é que seja explicado e provado qual é o real objetivo daquela coleta de informações. As empresas devem mostrar e tomar medidas referentes a segurança das informações armazenadas. Medidas técnicas terão que ser constantemente monitoradas, mas não podemos esquecer do fator humano que, muitas vezes, consegue grandes feitos quando existe o mais alto nível de tecnologia. Para esse princípio, é importante que exista uma cultura de tratamento de dados, fazendo com que a empresa esteja alinhada com as regras. Terá que ser provado que a empresa tenha tomado todas as medidas que garantam toda a segurança dos dados e que tenha feito todas as comprovações com documentos e registros. Por exemplo, a ata de treinamento dos funcionários, o relatório de testes realizados com o sistema de informações de dados etc. Vale lembrar que estes documentos poderão ser solicitados para a dosagem de possíveis multas. As empresas terão que demonstrar boa-fé no que diz respeito aos dados passados pelo titular. Neste caso, existe uma questão de reputação que envolve todas as medidas que a empresa está tomando em caso de vazamento de informações. Se você mostrar que está sendo feito todo o possível para o acerto e a minimização do ocorrido, a confiança do titular aumentará e ele permanecerá fiel à sua empresa. A lei LGPD também prevê 10 bases legais que autorizam as empresas a tratarem os dados. Veja quais são elas: 1) Consentimento; 2) Obrigação legal ou regulatória; 3) Execução de um contrato; 4) Legítimo interesse; 5) Exercício de direito; 6) Proteção à vida; 7) Saúde; 8) Proteção ao crédito; 9) Fim de pesquisas; 10) Execução de políticas públicas. Para este tópico, é importante destacarmos alguns pontos: Uma pessoa pode conceder o tratamento de seus dados e, no dia seguinte, decidir revogar este consentimento. Se a empresa operadora dos dados não tiver uma obrigação legal que justifique a permanência deles em sua base, os mesmos terão que ser eliminados. Nesse caso, a melhor solução é enquadrar o tratamento desses dados em uma base mais sólida, como uma execução de contrato, por exemplo, ao invés de depender tanto do titular para permanecer com eles. Não é um rol taxativo, podendo existir outros exemplos. Quando essa base for a escolhida como justificativa para o tratamento de determinada informação, é importante pensar: Tenho uma finalidade legítima? Existe uma situação concreta para o uso destas informações? (não pode ser hipotética) Os dados solicitados são efetivamente necessários ou estou usando-os em excesso? Meu legítimo interesse está se sobressaindo sobre a expectativa do titular? Estou ferindo algum direito do titular? Estou sendo transparente? Foi dada opção de Opt-out em algum momento? O titular de um smartwatch permite que você tenha acesso e utilize as informações fornecidas por ele por meio de aplicativos, por exemplo. Suponhamos que essa pessoa tenha uma vida saudável e que ela corra 15Km todos os dias e que tenha uma noite de sono regular de 8 horas seguidas. O operador dessas informações decide então vender esses dados à uma empresa de produtos esportivos que, em breve, irá enviar ofertas de produtos para este mesmo usuário. O impacto que o usuário sentiu com a venda dessa informação foi mínimo, pois ele pode não ter comprado nada e simplesmente ter ignorado a propaganda enviada. Agora, imagine que os dados coletados pelo operador sejam de uma pessoa sedentária que não faz nenhuma atividade física e que não durma direito. Então, ele (o operador) decide vender essas informações para o plano de saúde do usuário. Com base nisso, o plano decide aumentar o valor cobrado na renovação. Essa venda de informação trouxe um enorme prejuízo para o titular dos dados, fazendo com que a base de legítimo interesse seja violada. A lei trata de alguns dados especiais — chamados de dados sensíveis — e enfatiza que esses dados não podem ser tratados de forma ilimitada, pois podem gerar prejuízos ao titular. Dados relacionados a opinião política, opção sexual, origem racial, étnica, dados de saúde, biomédicos, genéticos, dados relacionados à religião, filosofia e sindicatos, por exemplo, enquadram-se nesta categoria e possuem uma camada extra de proteção e — para o tratamento delas — as bases são mais restritas. Além disso, ainda existe uma categoria especial que é destinada ao uso de dados de crianças e adolescentes, onde a única base que poderá ser utilizada é a de consentimento específico e destacado (precisará de descrições específicas) e somente com a autorização dos pais ou responsável legal. Desde que a lei GDPR (General Data Protection Regulation) entrou em vigor na Europa há cerca de dois anos e meio, um dos grandes problemas enfrentados pelas empresas, segundo pesquisas realizadas, foi a requisição de dados dos titulares. Com a LGPD em vigor, é provável que as empresas passem por este mesmo tipo de problemática. A lei prevê que titulares possam solicitar ao detentor dos dados todas as informações disponíveis sobre ele. Dependendo da pergunta, as empresas terão que passar as informações imediatamente, ou terão um prazo estabelecido para respondê-las. Também dependendo da quantidade de informações, o titular poderá solicitar a anonimização, bloqueio ou eliminação dos dados que sejam excessivos e, então, as empresas só poderão permanecer com eles caso tenham uma obrigação legal para tal. Por isso, é de extrema importância a transparência e o uso de bases legais adequadas para cada dado coletado. A lei fala que toda empresa terá que indicar um encarregado pelo tratamento de dados e pelas reclamações e questionamentos feitos pelos titulares. Na Europa, esse cargo é chamado de DPO (Data Protection Officer). O DPO também será responsável pela comunicação com a autoridade nacional e pela orientação dos funcionários quanto às práticas relacionadas ao uso de proteção de dados. Essa função poderá ser ocupada por alguém que já faça parte do quadro de funcionários da empresa ou por algum terceirizado. Além disso, o DPO poderá pertencer a qualquer área da empresa (advogado, engenheiro, marketing, RH etc.), mas precisará entender como a empresa funciona, ou seja, como os dados transitam por ela e o que efetivamente é realizado com eles. Ele poderá ter uma equipe que irá auxiliá-lo em todo o trabalho, entretanto, é o seu nome e contato que terão que aparecer no site da organização, em caso de alguma reclamação. A lei prevê que ao acontecer um incidente de segurança, o DPO deverá comunicar a autoridade nacional e, dependendo da gravidade, aos próprios titulares. A definição “incidente de vazamento” é bem ampla e a comunicação desse incidente deverá ser realizada em um prazo de 72 horas contendo a descrição da natureza — dados sensíveis, financeiros, pessoais etc. — as informações sobre os titulares, as medidas que foram usadas para a proteção dos dados, os riscos dos incidentes e as medidas tomadas para reverter os efeitos do ocorrido. Dependendo da gravidade do problema, as autoridades podem pedir para que a própria empresa dê uma ampla divulgação sobre o fato, o que pode causar sérios danos à reputação da organização envolvida. A lei LGPD prevê as seguintes sanções: Poderá acontecer mediante uma infração ou incidente de segurança, onde é provado que todas as medidas foram tomadas (contato com o titular dos dados, aviso às autoridades etc). Será dado um prazo para a adequação e minimização do ocorrido. Poderá ser aplicada em até 2% do faturamento da empresa ou do grupo no Brasil com base no último exercício, a multa é limitada a R$50.000.000 (cinquenta milhões de reais). Limitada a R$50.000.000 (cinquenta milhões de reais). Ocorre quando a empresa precisa levar a público informações sobre a infração. Poderá ocorrer mediante análise das autoridades. Para uma empresa que trabalhe com dados, por exemplo, perder 50% de sua base é algo significativo e extremamente prejudicial aos negócios. Se você é um organizador de eventos ou possui uma empresa que presta qualquer tipo de serviço que envolva a coleta e armazenamento de dados, é de extrema importância o enquadramento dentro da LGPD. Se você já realizou essa adequação, saiba que você está um passo à frente de muitos concorrentes, mas se você ainda está iniciando esse processo, faça-o de forma correta e coerente para evitar qualquer retrabalho ou transtorno futuro. Este é um trabalho que deve ser realizado em conjunto com todas as áreas para que o processo de adequação aconteça sem grandes tensões e desentendimentos. E muita calma! As áreas de marketing e business não precisam entrar em desespero, pois a lei não é um impeditivo para as suas ações. Os profissionais dessas áreas poderão utilizar a lei como uma ferramenta de marketing, abordando o assunto de forma divertida e, principalmente, mostrando preocupação e cuidado com os clientes. É importante lembrar que a INTI busca sempre trazer as melhores e mais completas informações sobre tudo o que envolve o universo dos eventos. Este material, especificamente, é um informativo para que você entenda como a lei LGPD irá funcionar para eventos. Caso tenha outras dúvidas, aconselhamos que você e a sua equipe procurem uma consultoria jurídica para que tudo se adeque da melhor forma à realidade do seu evento. O objetivo desse artigo é meramente informativo e foi feito pensando nos organizadores que utilizam nossa plataforma. Para maiores dúvidas, sugerimos que você procure uma consultoria jurídica para verificar a melhor possibilidade para o seu cenário.
Descubra como a lei LGPD se aplica para eventos, o que precisa mudar e qual o seu impacto nesse segmento.
Tratamento de dados
Princípios da Lei
Princípio da finalidade
Princípio da transparência
Princípio da segurança
Princípio da responsabilização
Bases da lei
#Exemplificando
Veja um exemplo simples de como essa base pode ser violada:
Dados sensíveis
Direito dos titulares
Um responsável pela LGPD na sua empresa
Incidentes de segurança
As sanções
Advertência:
Multa simples por infração:
Multa diária:
A publicidade da infração:
Bloqueio/eliminação dos dados da infração:
Faça já as adequações com base na LGPD
Algumas ações que podem auxiliar no enquadramento da sua empresas junto às regras da LGPD: