LGPD

A Lei Geral de Proteção de Dados (LGPD) está chegando: a sua empresa está preparada? Confira tudo o que você precisa saber para se adequar a tempo e evite penalidades.

Day(s)

:

Hour(s)

:

Minute(s)

:

Second(s)

para entrar em vigor.

Jorge Lima, profissional de T.I há mais de 9 anos, formado em Análise e Desenvolvimento de Sistemas pelo IESB e Pós-Graduado em Defesa Cibernética. Evangelista de Segurança da Informação além de palestrante sobre LGPD e GDPR

Alisson Possa, advogado formado pela Universidade Federal de Pelotas com especialização em Proteção de Dados pela Academia de Direito Europeu. É também membro da Comissão de Direito Digital, Tecnologias Disruptivas e Startups da OAB/DF.

Natália Scalzaretto, jornalista formada pela Cásper Líbero com especialização em Comunicação Publicitária e Digital pela Anhembi Morumbi. Já trabalhou para empresas como Santander e Reuters. Atualmente é repórter de economia no site The Brazilian Report.

O que é a LGPD?

A Lei Geral de Proteção de Dados foi aprovada em agosto de 2018 pelo Congresso e estabelece um novo marco legal para coleta, tratamento, armazenamento e proteção de dados pessoais no Brasil e vale tanto para dados em formatos físicos ou digitais. De acordo com a lei, pessoas, empresas de todos os setores, brasileiras ou estrangeiras, e até o próprio governo estão submetidos às normas, desde que os dados tenham sido coletados no país e o tratamento seja realizado no território nacional. O objetivo da lei é garantir direitos fundamentais do cidadão, como a privacidade, e trazer mais segurança jurídica às empresas, uma vez que define regras e conceitos claros para as aplicações dos dados pessoais.

O surgimento da LGPD e sua relação com a GDPR

Desde 2014, com a publicação do Marco Civil da Internet, o Brasil já tem diretrizes que estabelecem os princípios, direitos e deveres para o uso da internet. A LGPD surge como uma adição à esta estrutura regulatória, em um contexto global de valorização da privacidade e segurança dos cidadãos na era digital. Seu texto é inspirado na lei de proteção de dados europeia, a General Data Protection Regulation (GDPR), que é considerada uma das mais avançadas do mundo em proteção de dados. Um conceito muito importante por trás destas normas é o de que o usuário é dono de seus dados e, por isso, tem poder sobre eles, resguardando direitos como a privacidade e a liberdade. Às empresas cabe adotar medidas para usar as informações de modo responsável e protegê-las de usos indevidos, vazamentos e outras ameaças, sempre atuando de forma transparente.

Em 2018, foi revelado o vazamento de 87 milhões de dados de usuários do Facebook para a empresa de consultoria política Cambridge Analytica, suspeita de ter usado as informações indevidamente e sem o consentimento das pessoas para manipular as eleições de 2016 nos Estados Unidos e o plebiscito para o Brexit no Reino Unido.
Foto por Matt McClain do The Washington Post

Por que a LGPD é importante

O uso massivo de dados pessoais é uma realidade há anos para empresas de todos os setores, mas em especial para as que lidam com tecnologia, como redes sociais e buscadores. Estas empresas têm acesso não apenas a informações sensíveis como nome, email e número de telefone dos usuários, mas também a dados de comportamento e uso da internet, que podem ter consequências perigosas caso caiam nas mãos erradas. Em 2018, foi revelado o vazamento de 87 milhões de dados de usuários do Facebook para a empresa de consultoria política Cambridge Analytica, suspeita de ter usado as informações indevidamente e sem o consentimento das pessoas para manipular as eleições de 2016 nos Estados Unidos e o plebiscito para o Brexit no Reino Unido. Com as provisões adotadas na LGPD, a ideia é coibir e punir este tipo de ação indevida, protegendo os direitos dos cidadãos.

Quem regulamenta a LGPD?

A Autoridade Nacional de Proteção de Dados – ANPD – será a responsável por garantir a aplicação da LGPD em território nacional, elaborando as diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade. A ANPD poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei. Um das principais funções da ANPD será orientar as empresas para que se adequem à essa nova realidade, por isso, também caberá a ela advertir as companhias e aplicar sanções em caso de irregularidades.

Direitos dos cidadãos

Um dos pontos-chave da nova lei é a necessidade de consentimento dos titulares – ou seja, as pessoas a quem se referem os dados – para o uso destas informações pelo chamado controlador – a pessoa, empresa, entidade ou governo que tomará decisões usando estes dados. Esse consentimento deve ser dado de forma clara, preferencialmente por escrito, e também pode ser retirado a qualquer momento. Além disso, se o controlador precisar compartilhar os dados, o consentimento deve ser solicitado novamente.

“O vício de consentimento, ou seja, alguma situação que possa levar o dono dos dados a se confundir na hora de concordar com o uso, invalida a autorização.”

A LGPD também dá ao titular o direito de obter informações sobre o tratamento de seus dados, como a forma em que ocorrerá o processo e sua duração, a identificação do controlador e suas informações de contato, bem como saber se seus dados foram compartilhados e porquê. Além disso, ele pode pedir ao controlador que seus dados sejam excluídos e/ou anonimizados, bem como solicitar a portabilidade dos dados a outro fornecedor de serviço ou produto, desde que esses pedidos não entrem em conflito com outras leis existentes – por exemplo, as leis que determinam que empresas devem guardar registros de funcionários por 5 anos.

Deveres das Empresas

A LGPD exige um esforço extra das empresas para garantir o bom uso dos dados do cidadão, sejam elas controladoras ou operadoras dos dados – que são as empresas que realizam o tratamento de dados. Cabe a elas garantir as condições para que todos os direitos sejam respeitados e seguir regras como:

h

Elaborar relatórios de impacto de suas operações de tratamento de dados à proteção de dados pessoais, inclusive de dados sensíveis, caso seja solicitado pela Autoridade Nacional de Proteção de Dados. O relatório deve conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

l

Manter registro das operações de tratamento de dados pessoais que realizarem.

O controlador deverá indicar um encarregado pelo tratamento de dados pessoais (popularmente conhecido nas empresas como Data Protection Officer (DPO) e divulgar seu contato publicamente, de preferência em seu site. Ele ficará responsável por aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

As empresas devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

LGPD na prática: tudo o que você precisa saber para implantar as novas regras

Uma estratégia abrangente para a LGPD envolve não apenas soluções técnicas para a proteção de dados, mas um acompanhamento jurídico, além de mudanças organizacionais para criar uma cultura voltada à segurança. O prazo para realizar esta transformação varia de empresa para empresa, considerando fatores como o volume de dados pessoais que a companhia processa e também qual o nível de sua segurança de dados atual. A FastHelp estima um prazo de pelo menos 6 meses para que empresas de pequeno porte se adequem e, claro, quanto maior a organização e mais complexa a estrutura, mais tempo levará para atingir a conformidade.

Veja aqui o passo a passo para tornar a sua empresa mais segura mais rápido e garantir a conformidade com a LGPD:

Organizacional e Jurídico

Gap Analysis

O primeiro passo é identificar as fraquezas e o grau de maturidade da companhia quanto aos requerimentos da LGPD. A partir disso, é possível verificar se a empresa já tem políticas de segurança e privacidade ou mesmo soluções implantadas, ou se é preciso iniciar o trabalho a partir do zero.

Se este for o caso da companhia, um bom começo é estudar as normas ISO 27001 e 27002, que estabelecem boas práticas de segurança da informação e funcionam como uma certificação da política de segurança da empresa. A partir disso, é preciso elaborar as políticas de segurança e de privacidade, além de um relatório de análise de impacto de proteção de dados. Este documento avalia todos os riscos que um vazamento pode trazer ao titular dos dados e, com estas informações em mãos, fica mais fácil criar uma política para mitigar eventuais danos.

Organizacinal

Proteção por Padrão

Adequar as práticas da empresa à LGPD é também um trabalho jurídico, afinal, o estabelecimento de padrões de segurança deve vir antes mesmo da coleta dos dados. Se a empresa operar com parceiros, é preciso verificar o tipo de relação contratual: se houver transferência de dados pessoais para uma prestadora de serviços, é necessário identificar quem é controlador e quem é o operador para aquele processo. Uma vez identificados os agentes de tratamento, o contrato deve estabelecer as cláusulas de responsabilidade e obrigações previstas conforme o artigo 42 da LGPD, que prevê as responsabilidades de controladores e operadores de dados. Também devem existir cláusulas de obrigação de conformidade da outra empresa com a LGPD.

Para coletar dados diretamente dos titulares, normalmente os sites utilizam cookies ou formulários. Vale lembrar que, se a empresa optar por cookies, deve apresentar uma política de cookies a ser aceita no pelo usuário logo no primeiro acesso. Ela deve definir os tipos de cookies utilizados e as finalidades. No caso de cookies opcionais, devem estar desativados por padrão. E quando os dados são coletados dentro do site é importante informar o usuário para qual finalidade os dados serão utilizados antes da coleta.

Organizacional

Mapeamento do Fluxo dos Dados

Uma vez que as políticas de segurança estejam estabelecidas, é preciso conhecer todo o caminho que os dados pessoais percorrem em sua empresa, desde a coleta – por exemplo, em um cadastro – até o armazenamento. É importante saber quem tem acesso a estes dados dentro da empresa e de qual forma este acesso ocorre para identificar potenciais focos de vulnerabilidade e evitar riscos.

Operacional

Implantando Soluções

Com o plano de segurança já desenhado, é preciso adotar a infraestrutura para proteger os dados. A LGPD não determina se há um nível mínimo de proteção ou quais ferramentas devem ser adotadas, portanto, cabe à empresa decidir como protegerá seus dados baseada em suas necessidades – por exemplo, o volume de dados pessoais que trata.

No entanto, algumas soluções são consideradas básicas pelos especialistas, como firewalls para evitar ataques pela rede, antivírus em todos os dispositivos – como computadores e celulares – e o sistema Data Loss Prevention (DLP), que permite monitoramento e backup em caso de ataques, evitando a perda de dados. Outras medidas úteis são a criptografia dos dados, garantindo que não sejam facilmente acessíveis mesmo em caso de invasão da rede e processo de anonimização das informações, uma vez que dados anônimos não estão sujeitos às regras da LGPD (desde que não seja possível reverter o processo e identificar os titulares).

Lembrando que, como as empresas são obrigadas a garantir também os direitos do consumidor, quanto mais organizados forem os registros de consentimento, mais fácil será lidar com um pedido de remoção de dados ou retirada de consentimento. Para facilitar esse processo, ferramentas de automatização de armazenamento podem ser úteis.

Organizacional

Criando uma Cultura de Proteção de Dados

A segurança da empresa não passa apenas pelas ferramentas tecnológicas. Por isso, a lei estabelece que a necessidade de um DPO, que será o responsável por coordenar os esforços de segurança de dados. No entanto, como este profissional tem função mais gerencial e consultiva, muitas vezes a melhor opção é criar um comitê com profissionais de todos os setores – desde o marketing, que costuma ser responsável pela captação de dados, até o RH, departamento jurídico e TI. Desta forma, o DPO consegue ter uma ideia de todos processos da empresa e, juntos, os profissionais podem adotar ações mais efetivas.

Além disso, vale lembrar que a proteção de dados é um trabalho constante, que precisa envolver também a formação da equipe por meio de atividades educativas (como palestras). Por isso, ter uma consultoria com especialistas em segurança da informação pode ajudar a consolidar uma cultura de proteção de dados e tornar a empresa ainda mais segura.

O que acontece em caso de descumprimento?

A ANPD definirá as punições para as empresas que infringirem as regras da LGPD levando em conta critérios como a gravidade e tamanho do dano causado e reincidência do infrator. Dependendo da situação, a empresa pode receber uma advertência, com um prazo para corrigir os problemas, ou ser multada em 2% do faturamento (limitado a R$50 milhões) por infração, além de multas diárias, também limitadas a este valor. A empresa também pode ser obrigada a bloquear ou excluir os dados envolvidos em infrações, além de tornar pública a ocorrência,o que pode levar a severos prejuízos reputacionais.

Por outro lado, fatores atenuantes como a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas também serão considerados pela ANPD. o que comprova a que empresas têm apenas a ganhar com medidas de proteção, mesmo em caso de falhas.

Terceirização: para quem precisa de rapidez e qualidade

Faltando menos de um ano para a LGPD entrar em vigor, não há tempo a perder. Por isso, não basta começar o processo de adequação o mais rápido possível: é preciso fazê-lo com assertividade e qualidade para evitar atrasos e falhas. A FastHelp conta com profissionais habilitados para ajudar a sua empresa a navegar por todos os processos de adequação, técnicos ou organizacionais, além das melhores e mais modernas soluções de segurança de TI, disponíveis para empresas de todos os portes.

Proteção de Endpoint

Defesa avançada contra todo o espectro de ameaças do sistema operacional e acessos periféricos, como computadores e tablets.

NGFW

Appliances de segurança de última geração que abrangem desde escritórios remotos a data centers de alta velocidade.

Backup

Plataforma convergente e com gerenciamento centralizado baseado em políticas.

Anti-Spam

Filtra e-mails indesejados, neutraliza ataques direcionados e previne a perda de dados com criptografia e IA.

Wireless

Gerenciamento via rede e roteamento/VPN eliminam o custo com controladoras e pontos únicos de falha.

Data Loss Prevention

Monitoramento de uso de dados armazenados em núvem, dentro e fora da rede da empresa.

Precisa adequar a sua empresa?

3 + 2 =

Leonardo Castro, seu currículo resumido aqui. Seu currículo resumido aqui. Seu currículo resumido aqui. Seu currículo resumido aqui. Seu currículo resumido aqui. Seu currículo resumido aqui. Seu currículo resumido aqui. Seu currículo resumido aqui. Seu currículo resumido aqui. Seu currículo resumido aqui.