LGPD - Sua empresa está preparada?

Apresentação da LGPD.

A Lei Geral de Proteção de Dados Pessoais (LGPD ou LGPDP), Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet.

O Brasil passou a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos. Outros regulamentos similares à LGPD no Brasil são o Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia, que passou a ser obrigatório em 25 de maio de 2018 e aplicável a todos os países da União Europeia (UE), e o California Consumer Privacy Act of 2018 (CCPA), nos Estados Unidos da América, implementado através de uma iniciativa em âmbito estadual, na Califórnia, onde foi aprovado no dia 28 de junho de 2018 (AB 375).

A legislação se fundamenta em diversos valores, como o respeito à privacidade; à autodeterminação informativa; à liberdade de expressão, de informação, comunicação e de opinião; à inviolabilidade da intimidade, da honra e da imagem; ao desenvolvimento econômico e tecnológico e a inovação; à livre iniciativa, livre concorrência e defesa do consumidor e aos direitos humanos de liberdade e dignidade das pessoas.

A LGPD cria um conjunto de novos conceitos jurídicos (e.g. "dados pessoais", "dados pessoais sensíveis"), estabelece as condições nas quais os dados pessoais podem ser tratados, define um conjunto de direitos para os titulares dos dados, gera obrigações específicas para os controladores dos dados e cria uma série de procedimentos e normas para que haja maior cuidado com o tratamento de dados pessoais e compartilhamento com terceiros.

Principais pontos da LGPD:

1 – O que muda com a nova LGPD?

Uma regra para todos. Cria-se um cenário de segurança jurídica válido em todo o país independentemente de que os usuários sejam brasileiros ou estrangeiros, mesmo em passagem.

2 – Mais para o cidadão!

O consentimento é a base para que dados possam ser tratados. Os usuários de produtos que necessitem de coleta de dados devem estar cientes da finalidade de uso de suas informações pessoais.

3 – Definição do Conceito

Estabelece, de maneira clara, o que são dados pessoais, dados sensíveis, consentimento, encarregado de dados, anonimização e compliance.

4 – As exceções

Sem consentimento, o uso de dado só é admissível se for indispensável para cumprir critérios legais. (art.4)

5 – Abrangências extraterritorial

Não importa se a organização ou o centro de dados estão dentro ou fora do Brasil.

6 – Transferências internacional

Permite o compartilhamento com outros países que também protejam dados.

7 – Fiscal Centralizado

Ficará a cargo da Autoridade Nacional de Proteção de Dados (ANPD).

8 – Responsabilidade

Define os agentes de tratamento de dados e suas funções.

9 – Gestão de riscos e falhas

Quem administra a base de dados pessoais terá que fazer sua gestão buscando melhorar processos e impedir o vazamento de informações.

10 – Transparência

Se ocorrer vazamento de dados, a ANPD e indivíduos afetados devem ser avisados.

11 – Penalidades Rígidas

Falhas de Segurança podem gerar multas pesadas.

12 – Finalidade e necessidade

São quesitos do tratamento que devem ser previamente informados ao cidadão.

Novos conceitos criados pela LGPD.

1 – Compliance

O termo "compliance", diz respeito a "estar em conformidade com". No âmbito empresarial é muito usado para garantir que as empresas estejam sempre de acordo com leis e obrigações. O comitê compliance vai garantir que toda a sua empresa - colaboradores, diretoria e parceiros - estejam de acordo com a legislação.

Em relação à LGPD, o compliance não deve ser um assunto somente de TI ou do Jurídico. Como você já deve saber, a LGPD diz respeito aos dados e aos dados sensíveis de pessoas físicas, e, em uma empresa muitas áreas lidam com esses dados. Por isso, é importante envolver todas as áreas, para entender em cada uma delas, como está sendo tratados esses dados sensíveis, quem tem acesso a eles, como são armazenados, etc.

2 – Dados

São considerados dados pessoais as informações que podem ser atreladas a uma pessoa (titular) identificável, como nome, CPF ou número de telefone, por exemplo.

3 - Dados Sensíveis

Os seguintes dados pessoais são considerados «sensíveis» e estão sujeitos a condições de tratamento específicas:

• Dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas;

• Filiação sindical;

• Dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano;

• Dados relacionados com a saúde;

• Dados relativos à vida sexual ou orientação sexual da pessoa.

4 - Encarregado de proteção de dados ou DPO (Data Protection Officer)

É a pessoa nomeada, ou empresa terceirizada, que será o guardião da compliance em relação à LGPD na empresa. O DPO será o responsável por disseminar a cultura de proteção de dados na empresa, além de criar normas e procedimentos adequados à lei. Algumas atividades relacionadas à figura do DPO:

• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

• Receber comunicações da autoridade nacional e adotar providências;

• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Obs.: Se a empresa não quiser nomear um funcionário para está função, temos a opção de terceirização das funções do encarregado de dados (DPO), através de assinatura mensal da prestação de serviços.

5 – Consentimento

Conforme disposto no artigo 5º, XII da Lei Geral de Proteção de Dados (LGPD), consentimento é a manifestação livre, informada e inequívoca do titular para que seja realizado o tratamento dos seus dados pessoais.

6 – Anonimização

A Lei Geral de Proteção de Dados Pessoais cita ainda o dado anonimizado, que é aquele que, originariamente, era relativo a uma pessoa, mas que passou por etapas que garantiram a desvinculação dele a essa pessoa. Se um dado for anonimizado, então a LGPD não se aplicará a ele.

Alcance da LGPD

A abrangência da Lei 13.709/2018: ela diz respeito a organizações públicas e privadas. Isso por si só já seria suficiente para trazer uma série de dificuldades. Toda estruturação e princípios que direcionam os dois setores são distintos. A forma de se responsabilizar (e cobrar) as organizações públicas e privadas, por exemplo, são diferentes (títulos executivos/precatórios), e a LGPD não as diferencia. Certamente, dificuldades práticas virão por tratar organizações distintas em sua essência, de forma igual.

1 – Aspecto Administrativo

A LGPD atinge diretamente os quatro princípios básicos da governança corporativa: Transparência, Equidade, Prestação de contas e Responsabilidade social. O art° 50 § 3° comenta sobre a reformulação das boas práticas de governança corporativa.

2 – Aspecto Jurídico

Sim! O apoio jurídico será importante e necessário principalmente para adequação de contratos, entendimento legal e correto da forma como se coletam os dados, revisão de termos de consentimento, revisão de documentos que porventura venham a ser exigido por lei e também, algo que vejo como de extrema importância, questões jurídicas relacionadas à política de segurança da informação (PSI).

3 – Aspecto Técnico

Todas as empresas precisarão implantar um sistema de gestão de segurança da informação, que nada mais é do que a adoção de um processo para estabelecer e implementar a segurança dentro de uma organização afim de estabelecer confidencialidade, integridade e disponibilidade. Faz parte do time de gestão de segurança da informação:

• criar uma política de segurança da informação;

• coordenar as atividades de segurança da informação;

• fazer a gestão de ativos;

• proteger e classificar a informação;

• garantir a segurança lógica e física do ambiente;

• acompanhar a gestão de mudanças;

• gerenciar a segurança e o controle de acesso;

• detectar atividades não autorizadas por meio do monitoramento do

ambiente;

• fazer a análise de vulnerabilidades;

• fazer a gestão de incidentes de segurança;

• implementar um plano de continuidade do negócio;

• manter conformidade com normas e leis.

Essas e outras técnicas podem ser aplicadas por uma boa empresa de informatica, que através de um contrato de manutenção de micros, pode atuar como suporte de TI, e torna sua empresa mais segura.

Byte Soluções em Tecnologia é uma empresa de informatica especializada em suporte de TI e Segurança da informação, e está pronta para lhe ajudar em suas demandas. Entre em contato conosco.

Para saber mais informações sobre Adequação a LGPD: Entre em contato conosco.

📞 (31) 2555-5529