Bitrix24 e LGPD: Saiba por
onde começar em sua empresa
Neste post você vai ver:
Sua regulamentação serve como uma tentativa de organizar e responsabilizar empresas e instituições pelo cuidado com os dados de seus consumidores e dar autonomia a estes sobre o uso de seus dados.
Desta forma, agora com a LGPD no Brasil, o Bitrix24 também atualizou seus serviços para garantir que esteja em conformidade com a diretrizes.
O que é a LGPD?
A Lei Geral de Proteção de Dados regula o processamento e armazenamento de dados pessoais de terceiros e pode ser decisiva para a implementação de estratégias de Marketing Digital no site da sua empresa. A adequação à legislação aumenta a confiabilidade da sua marca e ranqueamento em motores de pesquisa.
Com 10 artigos e 65 capítulos a Lei Geral de Proteção aos Dados ou LGPD foi sancionada por Michel Temer em agosto de 2018 e representa um marco legal de proteção, tratamento e uso de dados pessoais. A legislação determina a forma como as informações pessoais devem ser tratadas por Instituições e Empresas, sejam elas do setor público, sejam do setor privado (Lei nº 13.709).
Com origem no enorme debate causado pelo episódio de vazamento de informações do Facebook, em plenas eleições presidenciais americanas, a LGPD têm influência direta de outra legislação sobre o assunto: a GDPR (General Data Protection Regulation).
Esse conjunto de leis já está em vigor nos países da União Europeia e afeta empresas brasileiras com negócios no exterior.
É importante pontuar que, fica definido como “dado pessoal” qualquer tipo de informação relacionada a um indivíduo que possa, de forma isolada ou em conjunto com outros dados, definir sua identidade.
Alguns exemplos que se encaixam nessa definição, são:
- nome;
- endereço;
- endereço de e-mail;
- números de documentos;
- dados de cadastro;
- telefones de contato.
Outra consideração importante é que Com a regulamentação da LGPD, ficam proibidas a coleta e a utilização de informações pessoais em campanhas de marketing, a menos que haja autorização do consumidor. Além disso, a lei proíbe expressamente a venda de dados para terceiros sem que exista um acordo bilateral de consentimento.
A ideia da LGPD é criar uma cultura de respeito à privacidade dos dados.
Confira alguns dos conceitos que foram estabelecidos e definidos pela LGPD:
- Dado pessoal é qualquer informação relativa a pessoa “identificada ou identificável”
- Dado pessoal sensível é informação relativa a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, saúde, vida sexual ou dado genético ou biométrico
- Dado anonimizado é relativo a um titular que não possa ser identificado
- Banco de dados é o conjunto estruturado de informações pessoais
- Titular é a pessoa a quem se referem os dados
- Controlador é a pessoa responsável por tomar as decisões referentes a tratamento de dados
- Operador é quem executa o tratamento em nome do controlador
- Encarregado é a pessoa responsável pela comunicação entre as três partes: o controlador e o operador (empresa), o titular e a Autoridade Nacional de Proteção de Dados
- Consentimento é a manifestação livre pela qual o titular permite o uso dos dados (o ônus da prova cabe ao controlador)
- Relatório de impacto à proteção de dados pessoais é a documentação do controlador descrevendo o processo de tratamento dos dados que podem gerar risco às liberdades civis.
Fica proibido ceder ou vender informações de contato de potenciais clientes para divulgação de produtos e serviços por telemarketing, por exemplo.
Está proibido até mesmo o uso dos dados por parte da própria empresa para uma finalidade diferente daquela que foi combinada com o cliente.
É preciso obter o consentimento específico e ser capaz de provar isso a qualquer momento.
Para os dados considerados sensíveis, o processo é ainda mais rigoroso.
No caso de dados de crianças e adolescentes, é preciso o consentimento de ao menos um dos pais ou responsável legal.
O que está proibido, segundo a lei: “Acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
Entre as sanções previstas para descumprimento das medidas de proteção de dados está uma multa de 2% do faturamento total da empresa ou do conglomerado, limitada a R$ 50 milhões.
O detalhamento da legislação ao apresentar as definições, abordadas anteriormente neste texto, deixa claro que todos os processos, automatizados ou não, estarão na mira.
A agência reguladora, criada por meio de medida provisória, será composta por 23 profissionais.
Cinco deles comporão o Conselho Diretor, e serão escolhidos e nomeados pelo presidente da República, após aprovação do Senado Federal, ocupando cargos comissionados.
A ANPD ficará subordinada diretamente à Presidência nos primeiros dois anos após a implementação.
Depois, será transformada numa autarquia, com independência de atuação.
Isso nos leva ao próximo ponto: o que fazer para ficar em dia com a nova legislação?
Penalidade
Se a lei for desrespeitada, as empresas serão advertidas e multadas —a aplicação de penalidade para as empresas que desobedecerem as novas regras foi adiada para agosto de 2021 pela Lei nº 14.010, criada em junho deste ano. As punições podem chegar até 2% do faturamento de empresas, sob o limite de até R$ 50 milhões.
Objetivo e importância
A privacidade e autonomia em relação aos dados é um direito fundamental para consumidores e usuários de serviços, as pessoas devem estar cientes de como e quando suas informações pessoais são utilizadas.
Esse uso não deve ultrapassar a ciência e o direito de escolha do próprio usuário e, por isso, os agentes para quais a lei se aplica devem estar cientes de suas responsabilidades em relação à coleta, armazenamento e processamento destes dados.
Vale lembrar que além de desrespeitar o consumidor, o não cumprimento das obrigações em relação a LGPD trazem uma carga pesada de multas.
Com modelos de negócio cada vez mais digitalizados, a adesão ao home office, a inclusão do BYOD (Bring Your Own Device) e a associação de redes sociais, blogs e canais de streaming às estratégias de Marketing Digital, as empresas potencializaram a necessidade de discussão sobre a segurança e a privacidade de dados sensíveis.
O objetivo da Lei Geral de Proteção de Dados é justamente proteger os dados pessoais e garantir privacidade aos usuários de serviços públicos, privados ou gratuitos sendo estes prestados digitalmente ou não.
Importância
A lei vem em um momento extremamente oportuno, a fim de preencher uma lacuna legal e evitar outros episódios envolvendo a má utilização de dados pessoais.
Sua regulamentação serve como uma tentativa de organizar e responsabilizar empresas e instituições pelo cuidado com os dados de seus consumidores e dar autonomia a estes sobre o uso de seus dados.
Ademais, a lei coloca o Brasil em estado de igualdade com muitos outros países que já contam com regras bem definidas sobre o assunto. Ela representa ainda uma mudança cultural importante. Afinal, todos os usuários de internet serão encorajados a prestar maior atenção na maneira como suas informações pessoais estão sendo usadas por terceiros.
Para empresas que trabalham com campanhas digitais, o entendimento da lei é fundamental para evitar danos à imagem e até punições legais. Ao fortalecer o direito dos usuários sobre suas próprias informações, a LGPD força as empresas a demonstrarem boa-fé e transparência na maneira como coletam e utilizam os dados.
Como se adequar em sua empresa?
No que diz respeito à coleta de dados, o primeiro ponto de contato de um usuário com uma instituição ou empresa é por meio do site institucional ou blog. Nesses ambientes é imprescindível garantir a adequação nas sete áreas principais que a lei nos traz. Veja abaixo quais são elas:
Uma das páginas mais importantes de um site institucional para a empresa é a página de contato. Geralmente, é nesse ambiente que são coletados nome, email e uma mensagem opcional que permite um interessado a entrar em contato com a empresa em questão.
Esses são exemplos de dados pessoais que devem ser usados somente mediante o consentimento do usuário. É necessário que o site esclareça aos usuários quais direitos eles têm para acessar, retificar ou até desabilitar o uso de suas informações e faça as seguintes mudanças:
- adicione uma caixa de seleção ao formulário de contato. O usuário deve confirmar, por meio da seleção da opção, que leu e concorda com os termos e política de privacidade do site;
- inclua links clicáveis para a página em que o usuário poderá ler os termos de consentimento e a política de privacidade. Eles devem ser preferencialmente, abertos em uma nova janela para que o usuário não tenha que deixar a página original;
- faça com que esse campo de consentimento seja obrigatório para que o usuário prossiga, mas não deixe a caixa de seleção pré-selecionada;
- não adicione muitas informações no mesmo formulário, o site deve conter outra caixa de seleção para usuário se inscrever em newsletters e realizar outras ações;
- verifique a importância da coleta de dados específicos, para evitar que o usuário demore no preenchimento das informações. O cargo que a pessoa ocupa, por exemplo, é mesmo necessário para a sua estratégia?
- dê atenção especial caso haja uma loja integrada ao site, uma vez que dados financeiros são críticos;
- informe ao usuário que o consentimento pode ser pessoal apenas para maiores de idade. Menores de 18 anos devem receber o aval de seus responsáveis legais.
A coleta de dados sensíveis (raça, crenças religiosas ou políticas, orientação sexual), que poderiam resultar em danos à reputação de uma pessoa, perdas financeiras ou levar a uma grande desvantagem social deve ser realizada com cautela para evitar a aplicação de multas a sanções penais.
Todos os dados capturados no formulário de contato devem ser armazenados de forma segura, preferencialmente no sistema de gerenciamento de conteúdo do seu site. Essas informações devem ser salvas em uma página protegida por um certificado SSL, que estabelece um link criptografado entre o servidor e o navegador.
Também é preciso criar uma política de exclusão regular desses dados, principalmente se, em algum momento, eles são armazenados offline ou em servidores legados (no ERP ou CRM da empresa, por exemplo). Essa política deve ser documentada junto ao processo de manipulação e retenção dos dados.
O envio de informação de marketing é uma prática de que retorna ótimos resultados para as empresas e é um dos itens que mais devemos ficar atentos neste momento. Os usuários devem consentir o recebimento destes materiais e a aceitação deve ser dada livremente. Lembrando que os campos de consentimento não devem ser preenchidos previamente.
Uma das premissas da LGPD é deixar claro ao usuário o objetivo da captura de seus dados, isto não é diferente para as newsletters. Dessa forma, cada ação deve ter um consentimento específico. Nesse processo é permitido:
- segmentar os assinantes de acordo com as informações preenchidas no formulário;
- disponibilizar conteúdo de valor para atrair as inscrições;
- criar formulários com CTAs (call to action) e a partir de pop-ups;
- criar landing pages;
- redirecionar os usuários que fizeram a inscrição para páginas de agradecimento que rastreiam as conversões;
- usar recursos de automação de marketing.
É importante documentar como o consentimento foi dado, por quem e quando. Você pode habilitar essa opção em sua ferramenta de automação de marketing.
Em toda a comunicação enviada posteriormente (newsletters, promoções, avisos etc.) deve conter um link para que o usuário possa desfazer a inscrição ou atualizar informações.
Também é necessário informar que os dados estarão retidos no banco de dados da empresa até que esse cancelamento ou exclusão seja efetivado.
Para criar a política de privacidade do site você precisará informar aos usuários os dados da sua empresa, quais informações deles serão usadas e por quais motivos elas serão coletadas.
Deve ficar claro como os dados serão armazenados e quem se responsabilizará nos casos de vazamentos e violações. Inclua as medidas de segurança que embasam o compliance da empresa e o que será adotado para inibir incidentes.
Se de alguma maneira os dados são compartilhados (por necessidade) com terceiros, isto deve ser comunicado.
No site deve ter a informação de como os cookies são utilizados e quais canais a empresa possui para possíveis contatos do usuário em relação a isto.
Inclua o período de retenção dessas informações, assim como processo utilizado para apagá-los. Disponibilize um link para que o usuário cancele o cadastro ou reveja as opções a qualquer momento.
A inclusão de certificados de segurança no site garante confiabilidade e inibe mensagens de erro como “este site não é seguro”. Além disso, por meio deles, os dados preenchidos em formulários são criptografados antes do envio ao servidor, o que protege as informações pessoais dos usuários durante a transmissão.
Outra vantagem de instalar certificados de segurança, como o SSL e o TSL, é a boa classificação conferida por motores de pesquisa ao site, o que garante melhores resultados de visualização e adequação às estratégias de SEO.
As legislações que asseguram a privacidade de dados de terceiros, como a LGPD, foram criadas para conceder às pessoas os direitos específicos em relação às comunicações eletrônicas.
Isso também se relaciona ao uso de cookies — um pequeno arquivo baixado no equipamento quando o usuário acessa um site — e a implementação do email marketing.
O uso de cookies permite que o site reconheça o dispositivo, as informações sobre as preferências e ações do usuário na Internet. Além disso, está diretamente relacionado ao Google Analytics. Por esses motivos, é importante que o proprietário do site:
- informe os usuários do site sobre o uso de cookies. Isso pode ser feito por meio da adição de um pequeno aviso de texto posicionado estrategicamente na parte superior ou inferior do site;
- explique os motivos desse uso;
- obtenha o consentimento da pessoa para aplicar essa estratégia.
De acordo com a Lei Geral de Proteção de Dados, o agente tem a obrigação de manter os dados dos usuários seguros.
Em caso de uma violação que resulte em danos à reputação do usuário, perda financeira, comprometimento de confidencialidade ou grande desvantagem social, o detentor deve notificar a Autoridade Nacional de Proteção de Dados. Para garantir adequação, algumas ações são imprescindíveis:
- nomeie um controlador de dados — um profissional qualificado que será responsável por todos os processos relacionados ao uso de dados em âmbito corporativo;
- verifique junto ao seu provedor de hospedagem a existência de medidas de segurança e rastreamento para detectar qualquer tentativa de invasão ao site;
- use ferramentas de segurança em dispositivos, como firewalls, antivírus, anti-spam e anti-spyware, para inibir tentativas de intrusão em infraestruturas de TI;
- confira as medidas de segurança adotadas pelo servidor de hospedagem para evitar ameaças como DNS hijacking e ataques DDos, que, a partir da injeção de malwares ou ransomwares, podem causar o comprometimento potencial dos dados de terceiros armazenados;
- tenha um plano de contingência, com ações práticas que devem ser realizadas em caso de violação;
- faça auditorias periódicas para identificar todos os dados processados e armazenados que, em caso de comprometimento, podem ser considerados críticos;
- exclua dados sem base legal para processamento;
- faça avaliações de risco do local em que os dados serão armazenados;
- tenha um sistema de exclusão automática de dados sensíveis e documentos críticos após o download, para que eles não sejam armazenados no CMS (Content Management System) do site;
- limpe regularmente dados e documentos armazenados no sistema de gerenciamento de conteúdo (WordPress, por exemplo).
A coleta de dados de menores de idade é mais sensível, devido à vulnerabilidade inerente às crianças. Outro problema no processamento desses dados é a dificuldade de provar a veracidade do consentimento dos responsáveis legais. Faça uma avaliação de risco para determinar:
- se a página é atraente para as crianças;
- se as crianças fazem parte da audiência;
- se o processo de registro dos dados reflete uma suposição de que os usuários estão acima da idade do consentimento digital.
Para evitar problemas, considere a oferta de serviços no site que não exijam a coleta ou processamento de dados de terceiros menores de idade, um jogo gratuito que não requer cadastro, por exemplo.
Em situações de baixo risco, exija o preenchimento da data de nascimento ou crie uma caixa de seleção que confirme a maioridade do usuário.
Ainda que os empreendedores se adequem a Lei Geral de Proteção de Dados, é necessário criar uma política para o uso continuado de informações obtidas dos usuários no site institucional e no blog corporativo, principais pontos de contato das empresas com o seu público.
É necessário conhecer toda a vida útil desses dados, desde a coleta até o armazenamento, a finalidade de uso, etc.
Um profissional especializado para prestar consultoria deste assunto é de grande valia neste momento.
Além disso, é preciso destacar o encarregado, responsável por fazer o contato com os clientes, com o seu público interno (funcionários) e com a recém-criada agência reguladora.
Novamente, a implementação dessa parte vai depender do estágio de desenvolvimento da empresa, pode ser necessário contratar pessoal para fazer essas funções, usar mão de obra terceirizada, especializada ou ainda adequar seus colaboradores atuais, dependendo, é claro, do perfil e da disponibilidade deles.
O clientes poderão questionar a qualquer momento a situação dos seus dados ou até mesmo pedir a exclusão de tudo.
Nada melhor, porém, que facilitar os canais de comunicação com o público e manter um diálogo aberto e claro.
A LGPD acompanha algumas das melhores práticas da lei européia, a GDPR, que entrou em vigor em 25 de maio de 2018.
Na Europa ela impõe multas pesadas em caso de não cumprimento da legislação [20 milhões de Euros ou 4% da receita anual].
Pode-se dizer que a LGPD aprofunda um tópico muito importante da Constituição Federal, que é o direito à intimidade.
O inciso X do artigo 5º dispõe que:
Bitrix24 e a LGPD
Como ele lida com dados de clientes, documentos, comunicação, formulários e outros, ele é um sistema que vai ao encontro das necessidades que as empresas procuram para gerir estes dados e política, e agora, alinhada à LGPD.
Desta forma, agora com a LGPD no Brasil, o Bitrix24 também atualizou seus serviços para garantir que esteja em conformidade com a diretrizes.
Abaixo, deixamos o comunicado da própria Equipe Bitrix24.
Atualizamos nosso Contrato de Processamento de Dados
Caro usuário,
Gostaríamos de informá-lo que atualizamos todos os nossos serviços para garantir que eles estejam em conformidade com as diretrizes da LGPD. E fizemos algumas mudanças em nossos acordos legais que se aplicarão a você.
A Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP) é a legislação brasileira que regula as atividades de tratamento de dados pessoais dos residentes da República Federativa do Brasil. Você pode conferir o texto da LGPD aqui.
Essas mudanças reafirmam o compromisso do Bitrix24 com os mais altos padrões de proteção de dados e o cumprimento de todas as leis e boas práticas aplicáveis, bem como a salvaguarda dos dados de nossos usuários.
Você não precisa tomar nenhuma outra medida em relação às mudanças estabelecidas neste e-mail se você já aceitou nosso Contrato de Processamento de Dados. As atualizações serão efetivadas automaticamente a partir de 17 de setembro de 2020 e, ao continuar a utilizar nosso serviço e acessar nossos recursos, você concorda com os termos atualizados.
Se você não aceitou nosso Contrato de Processamento de Dados antes, poderá fazê-lo nas configurações de sua conta de usuário, conforme descrito em nosso artigo no helpdesk.
Se você tiver dúvidas sobre qualquer uma destas mudanças ou sobre sua conta, não hesite em entrar em contato com nossa equipe de privacidade.
Obrigado por utilizar o Bitrix24!
Atenciosamente,
Equipe Bitrix24
(16/09/2020)
Use o Bitrix24 nesta jornada com a LGPD
Os preços do Bitrix24 variam: existe a versão grátis e os planos de assinatura. Todos eles oferecem ferramentas para carregamento, organização e compartilhamento de arquivos que variam de 5GB a espaço de armazenamento com 1TB, com possibilidades de upgrades de espaço.
Nos planos com assinatura, não há limites do número de tarefas e projetos nos quais os seus colaboradores podem colaborar. No entanto, os planos comerciais podem incluir ferramentas de módulos adicionais que estão ausentes no plano grátis.
Consulte a nossa tabela de planos e funcionalidades.
Somos parceiros Gold Bitrix24 aqui no Brasil e estamos prontos para te ouvir e auxiliar nos desafios do seu negócio!
O objetivo desta página é meramente informativo – não prestamos consultoria jurídica nem nos responsabilizamos por medidas que possam ser adotadas por terceiros.
Esses serviços podem lhe interessar
