IMPORTANTE: O objetivo deste artigo é meramente informativo – não prestamos consultoria jurídica nem nos responsabilizamos por medidas que possam ser adotadas por terceiros.
O que é LGPD?
LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil, e se refere a lei 13.709/2018 sancionada em agosto de 2018 com seu valor de início em agosto de 2021. Em termos práticos a lei foi adiada por 24 meses possibilitando às empresas e organizações um período extra para se adaptarem.
No texto da lei a LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
Porém não se engane, o Brasil já possuía 40 diplomas legais que, de forma esparsa, regulamentam o uso de dados no país hoje, porém com a nova LGPD teremos consolidado em um único marco todas as leis referentes ao ambiente virtual além de preencher lacunas das leis anteriores e complementar sua estrutura.
Com isso ao invés de você ter 40 dispositivos legais expressos nós teremos um marco regulamentador único. Ato seguido por mais de 120 países que possuem uma lei específica para a proteção de dados pessoais na internet.
Mas afinal o que diz a LGPD?
Na mesma linha do regulamento europeu, a LGPD irá mudar a forma de funcionamento e operação das organizações ao estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades significativas para o não cumprimento da norma.
A lei entende por “dados pessoais” qualquer informação relacionada à pessoa natural identificada ou identificável, e por “tratamento de dados” toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
O que isso afeta no meu marketplace?
⦁Politica de privacidade
Primeiramente você deve revisar sua Política de Privacidade para verificar se ela está dentro das exigências da nova lei. Este trabalho deve ser realizado por um advogado da sua confiança para que seja atentados aos pontos da lei. Em resumo vocês devem informar no documento quais dados que os vendedores e compradores são usados e porquê são coletados.
Caso precisem de auxilio jurídico para este fim, nós indicamos a Kumode Terres - Sociedade de advogados para que seja verificado as suas politicas de privacidade. https://parceiros.ideianoar.com.br/p/kumode-terres-sociedade-de-advogados/
Nós também vamos disponibilizar em breve um documento com alguns princípios para que que você possa ler e buscar inspiração na redação da sua própria politica de privacidade. Porém, é importante reforçar que não somos especialistas jurídicos, e recomendamos sempre a orientação de um advogado, para evitar quaisquer problemas futuros.
⦁Consentimento de coleta de cookies
Basicamente, um Cookie é um arquivo de texto muito simples, cuja composição depende diretamente do conteúdo do endereço Web visitado. Por exemplo, a maioria do sites armazenam informações básicas, como endereços IP e preferências sobre idiomas, cores, etc. Contudo, em portais como o Gmail e o Hotmail, nomes de usuários e senhas de e-mail também fazem parte dos Cookies.
Pela nova lei todo site deve informar ao cliente que ele coleta Cookies de navegação. Para que você faça esta notificação de forma nativa através do Ideia no Ar você pode incluir um "plugin de Consentimento de Cookies", que além de pedir o consentimento e permitir que o cliente desabilite determinados Cookies, e também informa para o usuário o link da Política de Privacidade da sua plataforma.
Nesse caso recomendamos o uso do GoAdopt (https://goadopt.io), que tem uma integração simplificada por scripts. Caso você adote o uso, recomendamos o cadastro através do link: https://dash.goadopt.io/register?referralCode=IdeiaNoAr, pois dessa forma a GoAdopt consegue identificar que você é um cliente do Ideia no Ar e com isso terá um atendimento mais assertivo quando precisar de suporte da GoAdopt.
Após a criação da conta no GoAdopt, basta colar o script pela tela de HTML Avançado. Para localizar essa página você deve acessar o painel administrativo, a opção de acessar o HTML Avançado estará no menu esquerdo, conforme indicado na imagem abaixo:
Você pode conferir mais informações sobre o HTML Avançado nesse link aqui.
⦁Customização do pop-up do goadopt
Pode ser feito pelo administrador da plataforma sem necessidade de conhecimento técnico dentro da conta Goadopt.io, instruções se encontram neste artigo.
⦁Solicitação formal de remoção de dados
Segundo a LGPD o usuário pode solicitar formalmente a remoção de seus dados de qualquer site ou plataforma através de uma solicitação por e-mail ao controlador responsável. Caso algum usuário do seu marketplace deseje excluir sua conta da plataforma, basta ele acessar "MINHA CONTA" escolher a opção "GERENCIAR CONTA". O usuário será direcionado à uma página onde será solicitada as informações de senha para confirmar a exclusão.
Em caso de dúvidas, veja este artigo onde demonstramos todo o passo a passo desta ação
⦁Quais são as configurações e políticas de segurança as quais nós estamos assegurados?
O Ideia no Ar já oferecia aos clientes um ambiente de segurança de padrão internacional mesmo antes da LGPD ser anunciada, isso porque todos os marketplaces do Ideia no Ar são hospedados em um ambiente de nuvem internacional, criptografado, com certificados HTTPS e criptografia de dados e nós entregamos toda esta infra estrutura para os nossos clientes mesmo após a entrega do seu código.
Nossos serviços são hospedados na AWS (Amazon Web Services), servidor que atende regras de compliance internacionais e emprega todas as políticas de segurança que são consideradas boas práticas para proteção dos dados, como log de acessos, log de IP, Firewall para impedir acessos não autorizados ao banco de dados, e conta com ferramentas automáticas para prevenção de ataques como DDoS (distributed denial of service), entre outros.
Além disso, todos os nossos marketplaces são configurados com o apontamento para o domínio oficial comprado por você, já incluindo pela nossa equipe o certificado de segurança HTTPS (também chamado de SSL), que cuida de criptografar todas as páginas da plataforma e a comunicação que ocorre entre o navegador do cliente e o servidor em nuvem do AWS.
Isso significa que mesmo que um hacker intercepte as requisições da página do seu marketplace, ele não conseguirá "ler" essas informações, por estarem criptografadas, garantindo a segurança dos dados de cadastro, e principalmente cartão de crédito que são trafegados na plataforma.
Para conferir se o HTTPS está instalado no seu marketplace, basta clicar no ícone de segurança na barra de navegador do seu site, e verificar se a informação de "Certificado válido" aparece pra você, conforme abaixo:
A plataforma também não faz nenhum tipo de armazenamento de dados sensíveis como cartão de crédito. O Ideia no Ar integra com dois gateways validados pelo Banco Central do Brasil que monitora e fiscaliza suas operações com padrões altamente rígidos exigidos para que possam operar no território nacional. Tais homologações respeitam as regras definidas pela PCI Compliance.
⦁Ok agora eu já entendi o papel do Ideia no Ar e suas responsabilidades com a LGPD, mas eu gostaria de entender um pouco mais sobre a lei e o que esta mudando, como eu faço isso?
Pensando em você nós selecionamos trechos da lei e transcrevemos alguns pontos para que seja fácil compreender o que muda para as empresas na nova lei. Mas é importante frisar que você deve sempre procurar uma assessoria jurídica para tratar estes casos e que nós apenas estamos fornecendo um material de apoio para auxilia-los a entender a lei tudo bem?
Se quiser ler a lei na integra, basta clicar aqui.
⦁Quem está envolvido com a LGPD
Titular - O seu cliente, é o proprietário do dado fornecido.
Controlador - São as empresas que estão recebendo estes dados
Operador - empresa que realiza o tratamento dos dados que o controlador coleta
Encarregado - É o responsável por administrar os dados da empresa, fazer a comunicação com o titular dos dados e com o operador. Fornecendo suporte ao cliente que pedir sobre os dados tratados.(Este profissional assume o cargo de DPO - Data Protection Officer e é operador chave da nova lei. Ele é responsável por manter os dados da empresa seguros, informar caso haja vazamentos de dados, responder judicialmente pela empresa e seus dados precisam ser públicos, para que qualquer pessoa possa entrar em contato com ele. É um profissional jurídico da área de direito digital nas áreas de risco e complicie.
Autoridade Nacional - É a entidade do governo que irá fiscalizar a lei e fazer ela funcionar.
⦁E quais sãos os direitos do titular dos dados?
Toda pessoa natural do brasil tem assegurada a titularidade de seus dados pessoais e garantindo os direitos fundamentais de liberdade e privacidade.
Confirmação da existência da confirmação da existência de tratamento de dados.
O titular tem direito ao fácil acesso aos dados que são coletados ou fornecidos para a empresa/entidade
O titular tem direito a correção dos seus dados uma vez que estejam incorretos, inexatos ou desatualizados
O titular tem direito a anonimação, bloqueio ou eliminação de dados solicitados pelo titular ou tratados em desconformidade pela lei
O titular tem direito a portabilidade dos seus dados para outro fornecedor
O titular tem direito a eliminação dos dados pessoais tratados com consentimento do mesmo
O titular tem direito a revogação da permissão sobre o fornecimento dos dados pessoais tratados
O titular tem direito ao conhecimento e consentimento quando uma entidade deseja acessar seus dados
O titular tem direito a não fornecer consentimento sobre o acesso aos seus dados e as consequências desta negativa
O titular tem direito a se opor quanto ao tratamentos dos seus dados
O titular tem direito a revogar os direitos anteriormente fornecidos
O titular tem direito a peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
O Controlador deve informar sempre que não houver agentes de tratamento de dados.
O Controlador deve sempre indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
⦁O que é considerado tratamento de dados?
Tratamento de dados é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
⦁O que é considerado anonimização dos dados?
Anonimização é toda utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
⦁O que é considerado fornecer consentimento sobre os dados?
Consentimento é toda manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
⦁O que é considerado bloqueio de dados?
Bloqueio é toda e qualquer suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
⦁O que é considerado eliminação de dados?
Eliminação de dados é toda exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
⦁O que é considerado Transferência internacional de dados?
Transferência internacional de dados é toda e qualquer transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
⦁O que é considerado uso compartilhado de dados?
Uso compartilhado de dados é toda e qualquer comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
⦁Fundamentos sobre o tratamento de dados
Todos os dados captados, tratados e armazenados deverão ser de conhecimento público do titular com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Vale frisar de independente de você armazena os dados em servidores internacionais, toda coleta de dados é considerada um tratamento e por tanto deve seguir a lei nacional.
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
⦁Quais são as responsabilidades referentes ao tratamento de dados precisamos tomar?
Qual é a finalidade do dado exigido: Deve-se atentar a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Adequação ao dado perante a finalidade: Deve-se atentar a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Qual é a necessidade do dado exigido: Deve-se limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Fornecer livre acesso aos dados exigidos: Deve-se garantir aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Garantir a qualidade dos dados que forem coletados: garantir aos titulares com exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Garantir a transparência dos dados que forem coletados: garantir aos titulares através de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Garantir a segurança dos dados que forem coletados: Garantir a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Fornecer prevenção sobre os dados exigidos: Adotar de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Garantir a não discriminação: assegurar a total impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Assumir a responsabilização e prestação de contas: Demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
⦁Existe tratamento de dados cuja lei não irá se aplicar?
Sim, em casos onde a coleta e o tratamento forem realizados por pessoa natural para fins exclusivamente particulares e não econômicos;
Caso seja realizada para fins exclusivamente jornalísticos e artísticos; ou acadêmicos
Caso seja realizada para fins exclusivos de segurança pública; defesa nacional; segurança do Estado; ou atividades de investigação e repressão de infrações penais; ou provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.