BR +55 11 3069 3925 | USA +1 469 620 7643

LGPD o que é?

por | dez 11, 2018 | Blog

A Lei Geral de Proteção de Dados (LGPD), lei 13.709/18, sancionada pelo presidente Michel Temer em agosto de 2018, tem como objetivo aumentar a privacidade de dados pessoais e o poder das entidades reguladoras para fiscalizar organizações nesse tema.

A legislação adequa o Brasil às melhores práticas globais de gestão de dados e abrange todas as empresas estabelecidas em território nacional, bem como as organizações com sede no exterior que ofereçam serviços ou tenham operações no País envolvendo tratamento de dados.

O documento altera o Marco Civil da Internet (Lei 12.965/14) e chega em uma época marcada por grandes vazamentos de informações que envolvem o uso indevido de informações pessoais.

O processo de elaboração da lei começou em 2010, com a abertura de uma consulta pública sobre o tema, promovida pelo Ministério da Justiça, que resultou no PL 5276/2016, anexado ao PL 4060/2012, perante a Câmara dos Deputados. Após 2 anos de trâmite no Congresso Nacional, duas consultas públicas, mais de 2500 contribuições de diversos os setores e inúmeros eventos, obteve a sanção presidencial em 13/08/2018, data em que entrou em vigor, com um período de adaptação de 18 meses. Ou seja, a partir de fevereiro de 2020 as empresas estarão sujeitas as sanções e multas previstas na lei.

O texto estabelece bases legais para legitimação do tratamento de dados pessoais e garante direitos aos titulares dos dados como: acesso, correção, eliminação, portabilidade e revogação do consentimento. Desta forma, traz poder ao consumidor e garante a indenização na ocorrência de danos causados ao titular.

A lei estabelece que o dado pessoal é toda informação relacionada a pessoa natural “identificada” ou “identificável” e determina que o tratamento desses dados deve considerar os 10 princípios de privacidade descritos na lei:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Ao seguir estes princípios as empresas demonstrarão que os dados pessoais coletados são necessários, mínimos, corretos, de qualidade e atendem a uma finalidade de negócio válida, entre outras características.

Além disso, as empresas deverão garantir a segurança dos dados pessoais tratados e comunicar incidentes de segurança da informação ao órgão regulador. Em algumas situações, o titular dos dados também deverá ser comunicado.

A lei estabelece condições específicas para tratamento de dados pessoais “sensíveis” que abrangem registros sobre raça, opiniões políticas, crenças, dados de saúde e características genéticas e biométricas.  Dados pessoais de crianças e adolescentes também exigirão atenção especial, como por exemplo, a obtenção de consentimento de um dos pais antes da coleta dos dados.

A LGPD estabelece de modo claro quem são as figuras envolvidas e quais são suas atribuições, responsabilidades e penalidades no âmbito civil. As multas previstas para o descumprimento variam de 2% do faturamento bruto até R$ 50 milhões (por infração).

As únicas exceções à aplicação da lei são as hipóteses de tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, além daqueles realizados exclusivamente para:

– Fins jornalísticos, artísticos ou acadêmicos (entretanto, não se dispensa o consentimento);

– Fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;

– Dados em trânsito, ou seja, aqueles que não tem como destino Agentes de Tratamento no Brasil.

De forma geral, muitas organizações já possuem processos implementados para atendimento de outras regulamentações, como a GDPR, que poderão ser adaptados para a LGPD. Todavia, inúmeras empresas deverão estruturar novos programas de implementação para garantir a conformidade dentro do prazo estabelecido.

O primeiro passo para adequação é realizar um mapeamento dos dados pessoais tratados e o seu ciclo de vida. Saber onde estão, como estão armazenados, quem tem acesso, se os dados são compartilhados com terceiros no Brasil ou exterior e quais riscos associados ao ciclo de vida, são algumas perguntas essenciais que todas as organizações devem responder antes estabelecer o programa de implementação.

As tecnologias também são um dos componentes importantes, uma vez que a lei traz desafios de gestão e governança de privacidade tais como: a gestão de consentimentos (e respectivas revogações), gestão das petições abertas por titulares (que, em alguns casos, devem ser respondidas imediatamente), gestão do ciclo de vida dos dados pessoais, implementação de técnicas de anonimização, etc.

O recente escândalo envolvendo a empresa Cambridge Analytica demonstrou as graves consequências que podem advir do uso não autorizado e indevido de dados pessoais, ao ponto de repercutir nos rumos democráticas de uma nação, como se suspeita que tenha acontecido com a eleição do Presidente Donald Trump nos EUA e com a saída do Reino Unido da União Europeia.

No Brasil, onde a empresa já pretendia atuar no pleito eleitoral para a presidência da república por meio de oferecimento de conteúdos e propagandas direcionadas à eleitores, baseadas nos interesses inferidos dos seus dados pessoais, o escândalo teve tal repercussão que uma investigação foi aberta pelo Ministério Público para averiguar se realmente houve coleta e uso não autorizado de dados pessoais. Na ausência de uma lei geral, uma zona interpretativa cinzenta prevalece quanto à ilegalidade no uso dos dados, uma vez que inexistiria, em alguns contextos, limitações claras ao tratamento destes. Com a chegada da LGPD, esta dúvida passa a ser endereçada e punida em caso de infração.

Com a nova Lei Geral de Proteção de Dados brasileira, todas as empresas de todos os portes terão que investir em segurança e implementar processos e tecnologias efetivos para prevenir, detectar e remediar violações de dados pessoais, notadamente porque a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante em caso de penalidades.

Quer saber mais sobre a LGPD? Baixe o nosso Whitepaper exclusivo, e entenda os principais pontos da nova lei de proteção de dados brasileira e o como o senhasegura pode ajudar a sua empresa.

Baixar o Whitepaper LGPD. 

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Verizon Data Breach Investigation Report 2021: o que você precisa saber sobre esse relatório

A interação humana com as estruturas de TI representa uma das principais ameaças cibernéticas enfrentadas por organizações dos mais diversos portes e segmentos.  Essa é apenas uma das importantes informações extraídas do Verizon Data Breach Investigation Report 2021,...

Construindo uma indústria digital através do PAM

Com o avanço da tecnologia, os setores industriais encontram-se cada vez mais digitalizados por meio de soluções que otimizam os processos realizados nesses ambientes, reduzindo custos, eliminando falhas humanas e gerando mais produtividade.  Entre as tecnologias que...

O que fazer para diminuir os valores de seguro cibernéticos?

Quando se trata de segurança da informação, os riscos para as organizações estão cada vez maiores por uma série de fatores. Como exemplo, podemos mencionar o aumento no número de ataques cibernéticos, especialmente após a pandemia de covid-19, que acelerou a adoção em...

Alcançando a conformidade com a Lei Sarbanes-Oxley (SOX) usando controles de segurança cibernética

A Lei Sarbanes-Oxley (SOX) está associada principalmente à transparência da empresa e ao uso de controles contábeis e financeiros para proteger os investidores de relatórios financeiros fraudulentos. No entanto, é sempre importante lembrar o papel fundamental cada vez...

Gestão de Acesso Privilegiado (PAM): guia completo

Em 2021, houve um aumento de 50% no número de ataques em redes corporativas em relação ao ano anterior. É o que aponta a Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point. E muitos desses ataques envolvem a exploração desse tipo de...
Copy link
Powered by Social Snap