Como se adequar à LGPD na prática? Quais os impactos na indústria de meios de pagamento?
Está sem tempo de ler agora? Que tal ouvir o artigo? Experimente no player abaixo!
Desde que entrou em vigor em 18 de setembro de 2020, a Lei Federal 13.709/18 traz para as empresas uma preocupação: como fazer a adequação à LGPD, Lei Geral de Proteção de Dados Pessoais?
Na era da economia digital, as informações sobre as pessoas tornaram-se uma moeda valiosa para empresas que têm seus modelos de negócio baseados em tais dados.
Tecnologias digitais avançadas, como Internet das Coisas, Inteligência Artificial, computação em nuvem, blockchain, Big Data, analytics, nano e biotecnologia, possibilitam a coleta massiva e indiscriminada de nossos dados pessoais.
Justamente por esse motivo, apresentam desafios específicos de segurança e constantes reflexões legais, especialmente com relação aos limites do tratamento desses dados.
A Lei Geral de Proteção de Dados Pessoais, LGPD, foi criada para adequar as práticas de empresas brasileiras a esses novos padrões e ao cenário global, inserindo o Brasil no rol dos mais de 120 países que contam com uma lei de proteção de dados.
Frente a esse contexto, há uma mudança de paradigma na gestão dos dados pessoais nas organizações, evidenciando a necessidade de adequações internas e da construção de uma cultura de proteção dessas informações.
Neste artigo, abordaremos alguns aspectos sobre os processos de adequação à LGPD na prática e como a lei vai afetar o tratamento de dados em operações de pagamento.
Adequação à LGPD: o que é a Lei Geral de Proteção de Dados?
O primeiro passo para saber como se adequar à LGPD é compreender o que essa lei aborda.
A LGPD regulamenta o tratamento de dados pessoais, em âmbito público ou privado, na internet ou fora dela, com o objetivo de proteger a liberdade e a privacidade dos titulares.
Para tanto, traz um novo conjunto de obrigações e de responsabilidades que precisa ser adotado pelos players do mercado, as quais impactam diversos modelos de negócio, principalmente em relação a como lidar com as informações dadas pelos consumidores.
Assim, desde que a LGPD entrou em vigor, as empresas devem garantir mais controle e privacidade no uso desses dados, evitando incidentes de segurança que possam acarretar riscos ou danos relevantes aos titulares.
Isso também significa que as empresas precisam ser mais transparentes sobre a coleta, utilização, armazenamento e transferência de dados pessoais, garantindo aos seus donos informações claras, precisas e acessíveis sobre a realização do tratamento e sobre os agentes envolvidos nessas atividades.
Para saber como aplicar a LGPD é importante saber que essa lei se limita ao que se considera dado pessoal, não abrangendo dados de pessoas jurídicas, segredos comerciais e industriais e propriedade intelectual.
Ou seja, informações relacionadas a pessoas físicas e que permitam a sua identificação, tais como:
- dados que as tornem diretamente identificadas, como CPF, nome completo ou foto;
- dados que, cruzados entre si, possibilitem a sua identificação, por exemplo, endereço e aspectos físicos que, individualmente, não identificam uma pessoa, mas em conjunto podem permitir isso.
Entenda mais detalhes ouvindo este podcast do Papo na Nuvem:
Qual é o prazo para a adequação à LGPD?
Mas para saber como se adequar à LGPD é preciso, também, agir dentro dos prazos estabelecidos para os ajustes.
A Lei Geral de Proteção de Dados Pessoais passou a valer a partir de setembro de 2020, com efeito retroativo a agosto do mesmo ano.
No entanto, as punições previstas por desobediência à lei só começaram a ser aplicadas a partir de agosto de 2021. Um dos motivos é que, até o seu início, o órgão fiscalizador da LGPD não estava totalmente criado.
Desde então, a Autoridade Nacional de Proteção de Dados (ANPD) já está devidamente formada.
O fato é que é fundamental que as empresas já se encontrem em processo de adequação à LGPD.
Se esse ainda não é o seu caso, é recomendável que inicie o quanto antes. A principal razão é que, dependendo do nível de maturidade, do tamanho da empresa, do investimento e das áreas envolvidas, especialistas estimam que a implementação dos ajustes necessários pode variar de 3 a 14 meses.
Vale lembrar que a penalização pelo descumprimento da nova regulamentação pode chegar a uma multa de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no ano anterior, limitada ao valor total de R$ 50 milhões por infração.
Importante ressaltar também que há alguns projetos de lei em tramitação que envolvem a Lei Geral de Proteção de Dados, entretanto dois deles envolvem algum tipo de postergação.
O primeiro projeto de lei em tramitação na Câmara dos Deputados, tem como objeto a prorrogação da data da entrada em vigor da LGPD para 15 de agosto de 2022. O outro projeto de lei foca na postergação do enforcement, ou seja, da aplicação das punições previstas na Lei.
No entanto, não há garantias de que esses projetos serão aprovados em ambas as casas do Congresso Nacional e sancionados pelo Presidente da República, motivo pelo qual as empresas não devem contar com esses prazos adicionais.
LGDP: como se adequar? Passo a passo
Agora, vamos ver na prática como fazer adequação à LGPD.
Os agentes envolvidos no tratamento de dados pessoais são:
- controlador: pessoa física ou jurídica responsável pelas decisões referentes ao tratamento de dados pessoais;
- operador, a pessoa física ou jurídica que realiza o tratamento em nome do controlador, segundo suas diretrizes e instruções.
A clara definição contratual desses papéis é relevante, uma vez que as obrigações e responsabilidades de cada um deles são distintas.
Não menos importante, é a função do Encarregado (ou Data Protection Officer), um profissional que deverá ser indicado pelo controlador e pelo operador, para atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).
A ele também compete auxiliar a empresa na adaptação dos seus processos para estruturar um programa de compliance com foco em maior segurança das informações, devendo contar com orçamento próprio, independência funcional e acesso aos órgãos de gestão da empresa para melhor exercício de suas funções.
Não há previsão legal sobre os atributos desse profissional, mas a exemplo de países europeus onde o GDPR já vigora, recomenda-se que o Encarregado seja especializado em proteção de dados e reúna experiência legal/regulatória, em governança e segurança da informação.
O que muda no relacionamento com o consumidor
No que diz respeito ao relacionamento com o consumidor, a empresa precisa elaborar políticas que estabeleçam de forma clara, precisa e acessível como ocorre a coleta, utilização, armazenamento, compartilhamento e transferência internacional de dados pessoais, medidas de segurança da informação, assim como os direitos do titular e instruções de como exercê-los.
Nesse sentido, é crucial a criação de uma estrutura organizacional e tecnológica que permita o cumprimento de requisições dos titulares, conforme os diversos direitos a eles concedidos na LGPD, tais como acesso, correção e eliminação de dados.
Isso significa que, se antes não havia normas rígidas em relação ao tratamento de dados pessoais dos cidadãos e algumas empresas abusavam desses dados, agora, a coleta e uso de dados pessoais deverá ser realizada de forma mínima e justificável.
Esse ponto, por sua vez, contribui para mais transparência, segurança e credibilidade para as empresas brasileiras, já que o Brasil caminha rumo à equiparação aos demais países que já possuem leis de proteção de dados, como as nações da União Europeia, Estados Unidos, Argentina, Chile, Colômbia, México e Uruguai.
Como se adequar à LGPD na prática?
Como essa lei traz diversas mudanças de paradigma, saber como fazer a adequação à LGPD, sobretudo em um país que não tem uma cultura de proteção de dados, muitas vezes é complexo.
Assim, a forma mais recomendada para realizar o processo de adequação é envolver a organização como um todo, através da formação de grupos multidisciplinares de trabalho nas áreas de negócio que realizam o tratamento de dados pessoais, com a coordenação do Encarregado ou de um Comitê de Segurança da Informação.
Também podem ser envolvidos profissionais externos especializados, com estratégia e procedimentos já consolidados. Contudo, cada empresa pode criar uma estrutura que melhor se adeque à sua realidade, seu momento e sua capacidade financeira.
Entretanto, existem roteiros padrão que podem ser implementados por grande parte das empresas que querem saber como se adequar à LGPD, como o sugerido a seguir:
- Estudar a Lei Geral de Proteção de Dados e demais leis que regulamentam o seu negócio
- Mapear o fluxo de entrada, tratamento e saída dos dados pessoais no seu negócio
- Mapear os riscos relacionados às atividades de tratamento
- Elaborar o Relatório de Impacto à Proteção de Dados Pessoais, quando aplicável
- Criar (através de um gerador de política de privacidade, por exemplo) ou revisar a política de privacidade e adaptar os documentos internos e externos, incluindo contrato com fornecedores e clientes
- Gerenciar as requisições dos titulares e da ANPD
- Treinar as equipes internas que tratam dados pessoais
- Ser compliant com a proteção de dados, através de regras de governança e boas práticas
- Exigir de seus fornecedores o compliance com a proteção de dados
- Conceber novos produtos e serviços com base no princípio de privacy by design
- Eleger um DPO com conhecimentos sobre a regulação de proteção de dados.
É importante destacar ainda que o processo de adequação à LGPD exige a mudança de mindset da empresa, por meio da criação de uma cultura de proteção de dados que deve partir dos membros da gestão e ser disseminada entre os funcionários da empresa.
Após a adequação inicial técnica e organizacional, a empresa deve manter um monitoramento constante e periódico de processos e medidas de segurança da informação, realizando inovações responsáveis e transparentes, baseadas em regras de governança robustas e boas práticas.
Quais são os impactos da LGPD para a indústria de meios de pagamento?
Agora que você já sabe como se adequar à LGPD, entenda como ela afeta a indústria de meios de pagamento.
No que diz respeito ao mercado financeiro, mais especificamente à indústria de meios de pagamento, a natureza dos dados envolvidos já assegurava um tratamento mais transparente e seguro, em decorrência de leis setoriais existentes.
Entretanto, dentre tais dados, encontram-se dados financeiros e sigilosos, que podem eventualmente coincidir com dados pessoais acumulando, assim, obrigações e responsabilidades, principalmente no que se refere à segurança da informação que deve ser garantida no tratamento destes dados.
Há ainda outra questão levantada no âmbito da LGPD, que diz respeito à relação da gestão de risco nas operações financeiras. Quanto a isso, a análise de dados é essencial para compreender o comportamento do consumidor e identificar de forma mais precisa potenciais fraudadores.
Mas como é possível fazer isso sem ferir os direitos e a experiência do usuário? Como estabelecer um equilíbrio entre esses dois pontos?
Embora esse assunto esteja aberto à interpretação, a lei prevê que, se há alguma base legal para obter tais dados pessoais do cliente (nesse caso, o legítimo interesse do controlador de prevenir fraudes), não é preciso obter o consentimento do titular.
Contudo, não é possível usar esses dados para qualquer outra finalidade que não esteja amparada em uma das bases legais previstas na LGPD.
A LGDP e o Open Banking
Destaca-se também a discussão sobre o movimento do Open Banking que segundo definição do Comunicado nº 33.455/2019 do Banco Central:
“é considerado o compartilhamento de dados, produtos e serviços pelas instituições financeiras e demais instituições autorizadas, a critério de seus clientes, em se tratando de dados a eles relacionados, por meio de abertura e integração de plataformas e infraestruturas de sistemas de informação, de forma segura, ágil e conveniente”.
Nesse contexto, instituições financeiras e fintechs devem adaptar todos os seus procedimentos, como de controles internos, cadastro, compliance e gestão de riscos, para um modelo digital, de forma a atender às necessidades de privacidade e segurança da informação, mantendo a integridade dos serviços em todos os processos e operações.
Analisando a posição do Banco Central sobre o tema, entende-se que a titularidade dos dados financeiros é do cliente e não da instituição financeira, motivo pelo qual o cliente pode optar por compartilhar estes dados com outras instituições.
Dessa forma, considerando que o Open Banking está se iniciando no Brasil, devemos acompanhar as próximas discussões sobre o tema. Entretanto, aparentemente, não se demonstra que o novo instituto financeiro conflita com a LGPD, visto o empoderamento do consumidor frente à titularidade de seus dados.
Porém, é uma discussão embrionária e um desafio para as empresas que integrarão esse novo sistema que engloba, quase que simultaneamente, o compartilhamento de dados financeiros e a vigência de uma lei de proteção de dados, que deverão caminhar em conjunto.
Outros pontos a serem considerados
Por fim, no que diz respeito à eliminação dos dados pessoais, é importante salientar que as instituições de pagamento, por questões legais, são obrigadas a realizar e manter o cadastro dos clientes atualizado, por prazos determinados nos respectivos regulamentos e leis específicas.
Nesse sentido, a Lei Geral de Proteção de Dados autoriza a conservação dos dados pessoais para cumprimento de obrigação legal ou regulatória, devendo o controlador ou operador dos dados tratá-los considerando a finalidade da atividade, a boa-fé e o interesse público.
As principais perguntas sobre a adequação à LGPD
1. Por que surgiu a necessidade dessa lei?
A lei nasceu com o propósito de garantir ao usuário mais privacidade e controle sobre seus dados, com o intuito de evitar uso inadequado por parte de terceiros.
Além disso, o objetivo é deixar claro quando uma empresa pode tratar um dado pessoal. Isso significa que a lei deixa em evidência quando é permitido armazenar, processar e transferir essas informações.
2. Essa lei tem alguma relação com a certificação PCI CSS (Payment Card Industry Data Security Standard)? Se sim, qual?
A certificação PCI DSS foi desenvolvida por um comitê formado pelas empresas mais importantes de cartão débito e crédito, o PCI SSC (Payment Card Industry Security Standards Council).
Esse padrão serve como um guia para as organizações que processam, armazenam e/ou transmitem dados do portador do cartão (ou dos titulares de cartão) para garantir a proteção desses dados, a fim de evitar fraudes que envolvam cartões de pagamento de débito e crédito.
As empresas que já possuem programas eficazes e maduros de conformidade com o PCI DSS dispõem das bases importantes para adotar as regras da nova LGPD em seus modelos de negócios.
Nesse sentido, é de grande importância que as entidades que devem ser regidas pelo cumprimento da LGPD no Brasil cumpram os processos e as metodologias definidas pelo PCI SSC.
3. Onde já se pratica esse tipo de regulamentação e qual país juridicamente se assemelha mais ao Brasil?
O Brasil passou a fazer parte dos mais de 120 países que contam com uma legislação específica para proteção de dados pessoais e da privacidade dos seus cidadãos.
Outra regulação, que serviu como base para a elaboração da LGPD, é a General Data Protection Regulation (GDPR) da Comissão Europeia, que entrou em vigor em 25 de maio de 2018 e é aplicável a todos os países da União Europeia (UE).
Também se destaca o California Consumer Privacy Act of 2018 (CCPA), nos Estados Unidos da América, implementado por meio de uma iniciativa em âmbito estadual, na Califórnia, em 28 de junho de 2018.
4. Ações de marketing também são contempladas por essa lei?
Sim. Segundo a LGPD, as principais influências nos processos cotidianos nas áreas de marketing e vendas são:
- consentimento: o usuário deve permitir a captação dos dados livremente e de maneira esclarecida;
- transparência sobre o uso: o usuário tem o direito de saber de qual forma serão usados os dados coletados, negar a autorização e ser atualizado caso a destinação mude posteriormente;
- remoção dos dados: o usuário poderá solicitar todas as informações que a empresa tem a respeito dele e exigir a remoção dos dados armazenados.
5. O remarketing é considerado uma infração?
Não necessariamente, mas, conforme a Lei Geral de Proteção de Dados, é obrigação da empresa informar sobre a utilização de cookies para a coleta de dados, inclusive se eles forem usados para campanhas no Facebook ou outras redes sociais, como é o caso do remarketing.
6. O que são dados sensíveis?
São os dados pessoais que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
7. Como fica a questão de venda de base de clientes?
Não é permitido que se venda dados pessoais ou que se realize qualquer outra operação sem que o titular dos dados tenha autorizado específica e expressamente o compartilhamento para esta finalidade determinada.
Como podemos ajudá-lo a se adequar à LGPD?
A Zoop está pronta para ajudar sua empresa, facilitando todo esse processo de adequação à LGPD dentro da nossa plataforma de pagamentos.
Além disso, a Zoop possibilita que marketplaces, ERPs, empreendedores e outros tipos de negócios passem a gerenciar o fluxo transacional de seus clientes, gerando novas receitas através de serviços de contas digitais, splits de pagamento e antecipação de recebíveis.
Com nossa plataforma de serviços financeiros e meios de pagamentos White Label, que conta com tecnologias de captura para maquininhas, boletos e outros meios de pagamento com sua própria marca, você elimina barreiras regulatórias, custos de desenvolvimento e tempo de implementação para sua empresa crescer focada no que faz melhor.
Junte-se ao iFood, Sympla, Avec e outras grandes empresas e passe a oferecer você também serviços financeiros personalizados para os seus clientes e parceiros de negócios!
Assine nossa newsletter
Receba os melhores insights diretamente na sua caixa de entrada para construir jornadas de pagamento e experiências bancárias que impulsionam o seu negócio.