LGPD: Entenda a nova lei de proteção de dados no Brasil que impactará direta ou indiretamente todas as empresas
A NOVA LEI GERAL DE PROTEÇÃO DE DADOS.
Você sabe o que é a LGPD? É a sigla para Lei Geral de Proteção de Dados, sancionada pelo presidente Michel Temer com o objetivo de aumentar a privacidade de dados pessoais e o poder das entidades reguladoras para fiscalizar organizações. O documento altera o Marco Civil da Internet e chega em uma época propícia, marcada por grandes vazamentos de informações e escândalos que envolvem justamente o uso indevido de informações pessoais.
A partir de agora, as empresas têm 13 meses para se adaptarem à lei. O não cumprimento dessas obrigações pode acarretar, por exemplo, em multas altíssimas que chegam até mesmo a R$ 50 milhões por infração. Ainda que essa prática coloque o Brasil no grupo dos países considerados adequados na proteção à privacidade dos cidadãos, a expectativa é que os próximos meses serão de dificuldade e planejamento dentro das corporações. Confira dez pontos para entender mais a LGPD:
1 – Objetivos: a principal meta é garantir a privacidade dos dados pessoais das pessoas e permitir um maior controle sobre eles. Além disso, a lei cria regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações, ajuda a promover o desenvolvimento tecnológico na sociedade e a própria defesa do consumidor.
2 – Motivações da LGPD: há um grande debate no setor desde 2010 sobre a proteção dos dados. Entre os fatores que levaram à aprovação do projeto de lei brasileira foi o GPDR, regulamento aprovado pela União Europeia em maio de 2018. Como este documento tem aplicabilidade extraterritorial, muitas empresas brasileiras já tiveram que se adequar para esta nova realidade.
3 – Principais pontos: a lei é aplicada a todos os setores da economia; possui aplicação extraterritorial, ou seja, toda empresa que tiver negócios no país deve se adequar a ela; consentimento do usuário para coletar informações pessoais; os titulares podem retificar, cancelar ou até solicitar a exclusão desses dados; criação da Autoridade Nacional de Proteção aos Dados (ANPD); e a notificação obrigatória de qualquer incidente.
4 – Data Protection Officer: a partir de agora, as organizações deverão ter um profissional exclusivo para a proteção dos dados e responsável pelo cumprimento da nova lei (Próprio ou terceiro).
5 – Avaliação da Maturidade dos processos e Impacto de Riscos: é o levantamento de quais situações devem ser corrigidas pela empresa para a garantia de que a LGPD seja cumprida em todos os departamentos.
6 – Redução da exposição ao risco: aqui, é a etapa de implementação das medidas para proteger os dados pessoais na base da empresa. Elas podem ser de segurança, técnicas e administrativas, que evitam, combatem ou minimizam a perda ou indisponibilidade de ativos de informação devido a ameaças que atuam sobre algumas vulnerabilidades.
7 – Adoção do Privacy by Design: aborda a proteção desde a concepção do produto ou sistema, sendo incorporada diretamente às estruturas tecnológicas, ao modelo de negócio e à infraestrutura física. Ou seja, a privacidade está presente na própria arquitetura, permitindo que o próprio usuário seja capaz de preservar e gerenciar a coleta e o tratamento de seus dados pessoais.
8 – Cumprimento dos subcontratantes: a LGPD estende-se também aos subcontratantes de uma empresa, como fornecedores e parceiros de tecnologia. Eles também ficam sujeitos às obrigações e podem realizar pagamentos de indenização, por exemplo.
9 – Multas: a nova lei prevê sanções para quem não tiver boas práticas. Elas englobam advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. As multas podem variar de 2% do faturamento do ano anterior até a R$ 50 milhões, passando por penalidades diárias.
10 – Parceiro especializado: lidar com esta situação enquanto tenta administrar o negócio não é fácil. Um parceiro especializado pode auxiliar nesse período de transição, possibilitando um maior conhecimento e aplicação de medidas eficientes para o cumprimento da lei.
Qual o objetivo da Lei Geral de Proteção de Dados? A lei objetiva garantir ao cidadão:
• Direito à privacidade: garantir o direito à privacidade e à proteção de dados pessoais dos cidadãos ao permitir um maior controle sobre seus dados, por meio de práticas transparentes e seguras, visando garantir direitos e liberdades fundamentais;
• Regras claras para empresas: estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais para empresas;
• Promover desenvolvimento: fomentar o desenvolvimento econômico e tecnológico numa sociedade movida a dados;
• Direito do consumidor: garantir a livre-iniciativa, a livre concorrência e a defesa do consumidor;
• Fortalecer confiança: aumentar a confiança da sociedade na coleta e uso dos seus dados pessoais;
• Segurança jurídica: aumentar a segurança jurídica como um todo no uso e tratamento de dados pessoais.
Quanto à importância da Lei Geral de Proteção de Dados, podemos destacar:
• Unificar regras: regras únicas e harmônicas sobre o uso de dados pessoais, independente do setor da economia;
• Adequar as regras no Brasil: tornar o Brasil apto a processar dados oriundos de países que exigem um nível de proteção de dados adequados, o que pode fomentar, principalmente, os setores de tecnologia da informação;
• Portabilidade: indivíduos poderão transferir seus dados de um serviço para outro, aumentando a competitividade no mercado.
A LGPD tem aplicação tanto no âmbito público e privado quanto on-line e offline. Ela versa sobre o conceito de dados pessoais:
• Lista as bases legais que autorizam o seu uso, com o consentimento do titular dos dados pessoais, permitindo o uso de dados com base nos legítimos interesse do controlador;
• Trata de princípios gerais, direitos básicos do titular — como acesso, exclusão dos dados e explicação sobre uso —, obrigações e limites que devem ser aplicados a toda entidade que se vale do uso de dados pessoais, seja como insumo do seu modelo de negócio, seja para a atividade de seus colaboradores.
Eis os 10 princípios/razões que devem ser levados em consideração no tratamento de dados pessoais:
• Finalidade: propósito legítimo para uso dos dados pessoais;
• Adequação: compatibilidade de tratamento com a finalidade;
• Necessidade: uso e tratamento dos dados ser restrito ao mínimo necessário;
• Livre acesso: garantia de consulta facilitada e gratuita sobre a integralidade de dados, forma e duração do tratamento;
• Qualidade dos dados: garantia de exatidão, clareza, relevância e atualização dos dados de acordo com a finalidade de seu tratamento;
• Transparência: garantia de informação precisa sobre o tratamento dados;
• Segurança: utilização de medidas técnicas capazes de garantir a segurança do tratamento;
• Prevenção: adoção de medidas para prevenir a ocorrência de danos, em função do tratamento inadequado;
• Não discriminação: impossibilidade de tratamento para fins discriminatórios, ilícitos e abusivos;
• Da responsabilização e prestação de contas, que obriga o responsável pelo tratamento dos dados pessoais a demonstrar de forma cabal e transparente a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados.
Quanto aos principais pontos da Lei Geral de Proteção de Dados, temos:
• Aplicação transversal, multissetorial, a todos os setores da economia, tanto no âmbito público quanto privado, on-line e offline;
• Aplicação extraterritorial: em moldes similares à regulamentação europeia, a General Data Protection Regulation (GDPR), a lei geral, ou seja, o dever de conformidade superará os limites geográficos do país. Toda empresa estrangeira que, com filial no Brasil, ou oferecer serviços ao mercado nacional e coletar e tratar dados de pessoais naturais localizadas no país estará sujeita à nova lei;
• Traz conceito amplo do que deve ser considerado dado pessoal informação relacionada à pessoa natural/física, identificada ou identificável. Ou seja, qualquer dado que isoladamente ou agregado a outro possa permitir a identificação de uma pessoa natural, ou sujeitá-la a um determinado comportamento;
• Define dados pessoais sensíveis como aqueles que, pela sua própria natureza, podem sujeitar o seu titular a práticas discriminatórias, tais como dados sobre a origem racial ou étnica, a convicção religiosa, a opinião política, dado referente à saúde ou à vida sexual; ou permitir a sua identificação de forma inequívoca e persistente, tais como dado genético ou biométrico;
• Conceitua dados anonimizados que seriam os relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Dados efetivamente anonimizados são essenciais para o funcionamento de tecnologias e da Internet das Coisas, inteligência artificial, machine learning, smart cities;
• Fala também de dados públicos, tais como os constantes de bases geridas por órgãos públicos, publicações oficiais e cartórios, ou os expressamente tornados públicos pelos seus titulares, como em perfis públicos em redes, ficando o uso desses dados limitado às finalidades.
Proteção dos dados pessoais de crianças
Objetivando manter a integridade dos pequenos, como nome, endereço e escolaridade, entre outros, que só poderão ser usados pelas empresas após consentimento dos responsáveis dos menores de 12. Maiores de 12 anos poderão consentir, desde que entendam do que se trata aquele termo. Por isso, eles devem ter linguagem clara e acessível.
Os direitos básicos dos titulares de dados
Dentre os direitos listados, destaca-se o de acesso aos dados, retificação, cancelamento ou exclusão, oposição ao tratamento, de informação e explicação sobre o uso dos dados.
O direito à portabilidade dos dados, que, similar ao que pode ser feito entre diferentes empresas de telefonia e bancos, permite ao titular não só requisitar uma cópia da integralidade dos seus dados que facilite a transferência destes para outros serviços, mesmo para concorrentes.
Responsabilidade dos agentes de tratamento: os diferentes agentes envolvidos no tratamento de dados — o controlador e o operador — podem ser solidariamente responsabilizados por incidentes de segurança da informação e/ou o uso indevido e não autorizado dos dados, ou pela não conformidade com a lei. Ressalte-se que a LGPD, determina a a nomeação de um Data Protection Officer (DPO), cuja tradução e “encarregado”, responsável pelo tratamento de dados pessoais dentro da organização.
Qual o impacto nos negócios e atividades?
A LGDP não afeta somente os grandes players do setor de tecnologia e serviços on-line, como aqueles oferecidos pelo Google e Facebook, mas também qualquer organização que realize uma operação de coleta, uso, processamento e armazenamento de dados pessoais, no âmbito de atividades de bancos, corretoras, seguradoras, clinicas médicas, hospitais, e-commerce, varejo, hotéis, companhias aéreas, agências de viagens, restaurantes, academias, entre muitas outras, podem estar sujeitas à aplicação da lei, ainda que tais atividades ocorram exclusivamente fora do ambiente digital.
Quem está sujeito a LGPD? Quais regras devem ser observadas pelas empresas do setor publico e privado?
• A definição e documentação da base legal que autoriza o tratamento de dados (que podem incluir, mas não se limitam, a definir se o tratamento é realizado com base no consentimento, para fins de cumprimento de obrigação legal, para a execução de contrato, ou com base no interesses legítimo);
• O atendimento aos direitos concedidos aos titulares de dados, como o direito de obter informações sobre o tratamento de dados, realizar o acesso, retificação e eliminação de dados, direito à portabilidade a outro fornecer de produtos e serviços e obter a revisão de decisões automatizadas, dentre outros;
• A nomeação de um encarregado ou Data Protection Officer (DPO), responsável pelo tratamento de dados pessoais dentro da organização;
• A notificação a autoridade competente, em caso de incidente (divulgação e/ou uso não autorizado de dados pessoais);
• A adoção de medidas de (organizacionais e técnicas para) proteção de dados, a partir da criação de qualquer nova tecnologia ou produto (privacy by design); e
• Adequação às hipótese que autorizam a transferência de dados para fora do país, quando aplicável.
Quais informações são consideradas como dados pessoais?
Dados pessoais podem compreender qualquer informação relacionada a uma pessoa natural, identificada ou identificável. Neste sentido, dados de pessoas jurídicas não são cobertos pela LGPD, mas somente informações relacionadas às pessoas físicas. Um segundo aspecto importante é relacionado ao fato de que dados pessoais podem consistir em qualquer informação de pessoas identificadas ou identificáveis. Dados pessoais de indivíduos identificados são aquelas informações que imediatamente podem identificar uma pessoa, como o nome, número de CPF e RG e informações de documentos pessoais.
A LGPD regula o tratamento de dados pessoais em relações de clientes e fornecedores de produtos e serviços, prestadores e tomadores de serviços, empregados e empregadores, e demais relações nas quais dados pessoais sejam recebidos, enviados e/ou processados.
As atividades de processamento de dados dentro e fora do país estão sujeitas a lei?
Operações de tratamento de dados realizadas dentro do território brasileiro estão sujeitas a aplicação da LGDP. Além de operações de tratamento realizadas dentro do país, quando o tratamento tiver por objetivo a oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território brasileiro, a lei também pode se aplicar, ainda que a organização responsável por essa atividade esteja sediada ou localizada fora do país. Assim, o local onde os dados são tratados não é requisito único ou preponderante para aplicação da lei, sendo também importante identificar a localização do indivíduo cujos dados serão coletados.
Quem não está sujeito à lei?
O uso pessoal para fins particulares e não econômicos, para fins jornalísticos, artísticos ou acadêmicos, não estão dentro do escopo da lei e, portanto, aos requisitos de tratamento de dados. Da mesma forma, o tratamento de dados para fins de segurança pública, defesa nacional, segurança do estado e/ou atividades de investigação e repressão de infrações penais também não estão sujeitos a LGPD, e estão sujeitos a regulação de legislação específica no tema. Dados provenientes e destinados a outros países, que apenas transitem pelo território nacional, sem que aqui seja realizada qualquer operação de tratamento podem eventualmente não estar sujeitos a aplicação da lei.
Qual o risco do não cumprimento da lei?
As penalidades por descumprimento da LGPD incluem advertência, obrigação de divulgação do incidente, eliminação de dados pessoais, bloqueio, suspensão e/ou proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pessoais, multa, chegando ao valor limite de R$ 50 milhões por infração.
Por fim, desde o último dia 14 de agosto o Brasil passou a ter não somente uma importante legislação específica que regulamenta o tratamento de dados pessoais, tanto pelo poder público quanto pela iniciativa privada que traz as novas regras criadas como meio de fortalecer a proteção da privacidade dos usuários , como também um grande desafio técnico, jurídico e cultural. O vacatio legis é de 18 meses de sua publicação oficial, isto quer dizer que o interregno para a estruturação empresarial privado e publico acontece nos próximos 18 meses, quando entrará em vigor a lei , mais precisamente, em fevereiro de 2020.
A SEGURANÇA DA INFORMAÇÃO NA LGPD
Vamos ver o que a Lei nos fala?
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
Sobre a comunicação em caso de incidentes:
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Atualmente uma das mais modernas ferramentas para atendimento de regulamentações como a Lei Geral de Proteção de Dados Brasileira e a Européia, é a ISO 27001/27002. Esta ISO é conhecida por ser a mais completa normatização de Segurança. Apesar de ser uma normatização complexa de se implementar como um todo, muitas empresas se utilizam de sua base para conseguir montar uma estrutura básica de segurança para se adaptar a leis e regulamentações que impõe a Segurança da Informação, como a LGPD e outras leis internacionais.
A ISO 27001/27002 traz controles e boas práticas, como por exemplo:
– Controles emSegurança da Informação (Controle A5 – 27001 | 12 – 27002).
Analise de Vulnerabilidade (Periódicas – 12.6.1 27002) em Servidores, sistemas e aplicações, Implantação de sistemas Anti Intrusão (A13.1.1 – 27001), Políticas em Segurança da informação, entre outros.
– Controles em Segurança Patrimonial (Controle A11 – 27001 | 9 – 27002).
Medidas de Segurança em Ambiente físico, como: Vigilância, Monitoramento, Controles de acesso, entre outros.
– Controles em Tratamentos de riscos (Controle 4 – 27002).
Aplicação de controles, contratação de Seguros, entre outros.
Conclusão
Assim, o Brasil conta com uma robusta legislação em termos de proteção de dados pessoais, o que possivelmente aprimorará o desenvolvimento tecnológico, práticas de negócios, crescimento do mercado digital e ao mesmo tempo proteção aos dados pessoais dos cidadãos em nosso país.
