Uma simples compra na farmácia já evidencia mudanças notáveis. Mesmo para clientes já cadastrados, os funcionários solicitam novamente seus dados, explicando que, devido à nova Lei Geral de Proteção de Dados Pessoais (LGPD), é necessário realizar um novo cadastro e obter um novo consentimento para o uso das informações.

A Lei nº 13.709/2018 foi estabelecida para regular o tratamento de dados pessoais por pessoas físicas ou jurídicas, públicas ou privadas, inclusive nos meios digitais. Ao fornecer informações como CPF ou RG, os titulares têm o direito de conhecer o propósito do uso dessas informações. Mesmo se os dados não forem obtidos diretamente do titular, este ainda tem o direito de saber como foram coletados e armazenados. A LGPD enfatiza a segurança da informação, alinhada aos padrões da ISO 7001.

De acordo com Paulo de Tarso Lamigueiro Toimil, gestor de projetos e DPO (Data Protection Officer) da Online Clinic, a LGPD busca proteger os dados pessoais, aumentando a transparência para os titulares e delineando obrigações para as empresas que os processam. Isso abrange informações como nome, RG, CPF, dados financeiros e endereços eletrônicos. Toimil destaca os princípios fundamentais da lei, como transparência, segurança, necessidade e adequação no uso de dados pessoais.

A proteção não se restringe a números de documentos; a lei também classifica como dados sensíveis informações como origem étnica ou racial, convicções políticas e religiosas, opiniões políticas, filiação a sindicatos ou organizações políticas, filosóficas ou religiosas, dados genéticos, ligados à saúde e vida sexual, e dados biométricos.

A Online Clinic está constantemente se adequando às novas legislações, garantindo que sua plataforma esteja alinhada à LGPD. A empresa informa sua visão da LGPD desde a fase de prospecção, oferece treinamento para atender às exigências da lei e busca manter-se atualizada.

As sanções da LGPD entraram em vigor em agosto de 2021, impondo multas significativas às empresas que não cumprem suas disposições, podendo chegar a 2% do faturamento da empresa, com um valor máximo de R$ 50 milhões. Recomenda-se fortemente, e em alguns casos é obrigatório, que as empresas designem um encarregado de dados pessoais para representá-las perante os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

As principais regras da LGPD exigem que as empresas tenham controle total sobre os dados pessoais, mapeiem o ciclo de vida desses dados, façam um inventário de aplicações que utilizem informações sobre pessoas, estabeleçam práticas de atendimento ao titular e ao regulador, criem políticas e processos para o uso dessas informações, promovam ações educativas regulares e garantam a conformidade com a Lei.

Incorporar a LGPD à cultura da empresa envolve promover o comprometimento executivo, capacitar o quadro gerencial, compartilhar processos e procedimentos na comunicação e mensurar o desenvolvimento da cultura de proteção na organização.

A empresa deve conhecer detalhadamente os dados pessoais que possui, incluindo origem, tratamento, finalidade, sensibilidade, condições de exceção, compartilhamento, ciclo de vida, análise de gaps, implementação, nível de maturidade e continuidade.

Para cumprir a LGPD, é crucial adotar processos de atendimento e relacionamento com o titular de dados, controle de instruções normativas, relacionamento com fornecedores, processos de produtos, tratamento de incidentes, desenvolvimento, atenção às vulnerabilidades dos sistemas, assessment ou gestão profissional de vulnerabilidades, mapeamento de riscos cibernéticos, práticas e políticas de segurança, prevenção de ataques, controle efetivo de identidades e acesso, e gestão de fraudes e vazamentos.