É a Lei Geral de Proteção de Dados (Pessoais) – Lei nº 13.709/2018 – 28/12/18. Serve para regular as atividades de tratamento de dados pessoais. A previsão é que possíveis sanções serão aplicadas a partir de agosto de 2021, mas a LGPD está em vigor. Prepare sua empresa!
Quem fiscalizará a LGPD?
A fiscalização e a regulação da LGPD ficarão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD).
A LGPD foi inspirada na Lei Europeia GDPR – General Data Protection Regulation – Regulamento Geral de Proteção de Dados, que está em vigor desde 25/05/2018.
A proteção de dados pessoais é uma tendência mundial sem volta, e todas as empresas terão que se adequar a essa realidade.
A LGPD visa proteger dados pessoais. Mas o que são dados pessoais?
Dados pessoais:
Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.
Dados pessoais sensíveis:
São os dados que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
Que áreas da empresa serão afetadas pela LGPD?
Todas as áreas que envolvem tratamento de dados pessoais serão afetadas.
O que não faz parte do escopo da LGPD?
• Dados anonimizados;
• Dados criptografados;
• Setor público e cartórios;
• Dados jornalísticos, artísticos, acadêmicos;
• Dados para fins exclusivamente particulares e não econômicos;
Quais são as sanções em caso de descumprimento da LGPD?
• Multa de 2% do faturamento bruto até R$ 50 milhões (por infração);
• Impedimento do uso das bases de dados;
• Publicidade negativa em caso de violação do tratamento dos dados pessoais;
Em caso de ocorrência, possivelmente a multa poderá diminuir caso a empresa comprove que tomou medidas de segurança adequadas, utiliza as melhores práticas de acordo com o mercado, possui certificações como ISO 27001, ou tenha sido alvo de uma vulnerabilidade que até então era desconhecida (0-day).
Quais são os direitos do titular segundo a LGPD?
• Propriedade: o titular é quem tem a propriedade desses dados.
• Consentimento: para tratar os dados pessoais é necessário consentimento explícito de cada titular.
• Informação: é necessário informar a finalidade do tratamento dos dados pessoais de cada titular.
• Livre Acesso: o titular tem direito de saber quais dados a empresa possui sobre ele.
• Segurança: o titular dos dados tem o direito de ter seus dados armazenados de forma segura pela empresa.
• Responsabilidade: o titular tem o direito de responsabilizar a empresa em caso de problemas na proteção de dados.
• Revisão de decisões automatizadas: o titular tem o direito de solicitar revisão de uma decisão automatizada.
• Não-discriminação: o titular dos dados pessoais tem direito de não ser discriminado com base nos dados pessoais informados.
• Retificação, anonimização e eliminação: o titular dos dados tem direito de corrigir algum dado incorreto, solicitar a eliminação dos dados e sempre que possível os dados devem ser anonimizados.
• Portabilidade: o titular pode solicitar que seus dados sejam portados para outro prestador de serviços.
Quem vai garantir que a empresa está cumprindo a LGPD?
• Para isso a empresa vai contar com a figura do Encarregado pelo Tratamento de Dados Pessoais (DPO – Data Protection Officer).
• É a pessoa indicada pela empresa para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
• É função dele garantir que a empresa esteja em compliance com as regras e boas práticas do setor;
• Deve aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• Vai receber comunicações da autoridade nacional e adotar providências;
• Tem que orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• Vai executar as demais atribuições determinadas pela empresa ou estabelecidas em normas complementares.
As empresas que trabalham com desenvolvimento de software terão que trabalhar pensando em segurança e proteção de dados para se adequar a LGPD. Existem dois conceitos que devem ser aplicados sempre que possível:
Privacy by design: a privacidade deve ser um pilar exercido desde a concepção de cada produto/serviço.
Privacy by default: todas as configurações de segurança já vêm ativadas por padrão no produto, sendo opcional para quem for utilizar esse produto diminuir o quão rígidas essas configurações são.
O que fazer para adequação à LGPD?
A empresa deve identificar cada área que faz tratamento de dados pessoais e fazer um mapeamento de todos os dados pessoais que são tratados por cada área. O sucesso depende da colaboração de todos.
Para fazer o mapeamento, deve-se reunir com o representante de cada área e entender os processos que envolvam tratamento de dados.
Terão que ser respondidas questões como:
1. Onde são armazenados os dados pessoais?
1.1. O armazenamento é digital ou também existem dados pessoais armazenados em papel?
1.2. O armazenamento digital é feito em servidores próprios ou externamente a sua infraestrutura?
1.3. No caso do armazenamento em papel, como é feita a guarda e controle desses dados?
2. Que dados pessoais são armazenados?
3. São armazenados dados de menores de idade?
4. São armazenados dados sensíveis?
5. Em caso de solicitação do direito de esquecimento, qual é o procedimento para atender a essa demanda?
6. Qual é o prazo mínimo que os dados pessoais devem ser armazenados para atender a legislação específica da área?
7. Os dados solicitados são minimizados (apenas o necessário)?
8. As bases de dados de desenvolvimento são todas anonimizadas ou existe alguma com dados pessoais?
Posteriormente, a partir desse mapeamento, deve ser feito um relatório de impacto do tratamento de dados pessoais.
Com base no relatório são feitas as devidas adequações. Depois a empresa tem que manter tudo em ordem e estar preparada para atender qualquer direito do titular dos dados pessoais.
Por: Heitor Henrique Hernandez Matos
Recentemente a Prime IT Solutions e seus parceiros promoveram um evento sobre a Lei Geral de Proteção de Dados. Veja na íntegra informações que contribuirão para a adequação de sua empresa.