Proteção de dados: o que diz a nova legislação

As empresas que não estiverem com seus sistemas, políticas e processos adequados poderão sofrer penalidades com multas de até 2% sobre o faturamento bruto anual, com o teto de R$ 50 milhões. A Lei Geral de Proteção de Dados entrará em vigor a partir de fevereiro de 2020.

 

Publicado em 15/10/2018

 

A Lei Geral de Proteção de Dados (LGPD) cria uma regulamentação para o uso, proteção e transferência de dados pessoais no Brasil, nos âmbitos privado e público, e estabelece de modo claro quem são as figuras envolvidas e quais suas atribuições, responsabilidades e penalidades no âmbito civil. A legislação se aplica a qualquer operação de tratamento de dados pessoais de qualquer cidadão que viva no Brasil, realizada por pessoa física ou jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados. Se a lei não for cumprida, as organizações enfrentarão multas de até 2% do faturamento bruto, com um teto de R$ 50 milhões.

Os elementos-chaves da LGPD são os seguintes:

 

Consentimento explícito e retrátil

O termo de aceite deve ser legível e facilmente acessado, usando linguagem simples e direta. O mesmo deve ser observado no método para revogação do consentimento.

 

Direitos do usuário

O usuário pode requisitar informações sobre como seus dados estão sendo processados, onde e qual a finalidade. Adicionalmente, eles podem solicitar que os dados sejam esquecidos, o que implica a remoção total das informações.

 

Privacidade a partir do conceito

Agora, um requisito legal para a inclusão de proteção de dados desde o início do projeto de sistemas, em vez de uma adição retrospectiva.

 

Inventário de dados

As organizações devem manter um registro das atividades de processamento sob sua responsabilidade. O inventário deve incluir os vários tipos de informações, como a finalidade do processamento.

 

Data privercy protect officer

Profissional nomeado em certos casos para facilitar a necessidade de demonstrar conformidade com a LGPD.

 

Impacto nas empresas

A nova legislação impacta três áreas de uma organização: Jurídica e Compliance, Tecnologia e Dados.

Novos requisitos e desafios são introduzidos para funções legais e de conformidade. Muitas organizações exigirão um diretor de Proteção de Dados (DPO), cujo papel na garantia de conformidade é fundamental. A ação de execução se estenderá a outros países. Uma ênfase renovada na responsabilidade organizacional exigirá governança de privacidade proativa e robusta, exigindo que as empresas (públicas ou privadas) analisem como escrevem políticas de privacidade para facilitar o entendimento.

Novos requisitos da LGPD significarão mudanças nas maneiras pelas quais as tecnologias são projetadas e gerenciadas. Avaliações de risco de privacidade documentadas serão necessárias para implantar novos sistemas e tecnologias importantes. O conceito de “Privacy By Design” agora está consagrado na lei, com a Avaliação de Impacto da Privacidade. Espera-se que se torne comum nas organizações nos próximos anos e que as mesmas analisem mais o mascaramento, a pseudonimização e a criptografia de dados.

Equipes encarregadas do gerenciamento de informações serão desafiadas a fornecer uma visão mais clara sobre armazenamento de dados, jornadas e linhagem. Uma melhor compreensão de quais dados são coletados e onde são armazenados facilitará o cumprimento dos (novos) direitos dos titulares de dados: direitos de exclusão de dados e sua portabilidade para outras organizações.

O foco é que as organizações tenham uma visão mais proativa e abrangente de seus dados e sejam capazes de demonstrar que estão em conformidade com a LGPD.

As organizações que processam dados pessoais em larga escala são agora obrigadas a nomear um profissional qualificado como responsável pela proteção de dados. Isso representará um desafio para empresas de médio a grande porte, já que indivíduos com habilidades e experiência estão atualmente em escassez.

Construir suas políticas de privacidade voltadas ao público, com informações detalhadas de forma clara e objetiva, sem uso de jargões jurídicos, deverá ser uma meta de toda empresa. Além disso, a LGPD manterá a noção de consentimento como uma das condições para o processamento dos dados, com as empresas obrigadas a obter uma permissão livre, específica, informativa e não ambígua, enquanto seja capaz de demonstrar que esses critérios foram cumpridos.

 

Usuários

Os usuários terão direitos de optar por não fornecer seus dados e de fazer o perfil e rastreamento on-line, afetando significativamente os negócios que usam essas técnicas para entender melhor seus clientes. Isso se aplica não apenas a websites, mas também a outros ativos digitais, tais como aplicativos para dispositivos móveis, dispositivos vestíveis e tecnologias emergentes.

A LGPD reconhece formalmente os benefícios de privacidade da criptografia, incluindo a isenção de notificar os indivíduos sobre violações de dados quando estes são criptografados. No entanto, isso não significa que as organizações possam ser complacentes, e punidas quando utilizarem uma criptografia fraca. Dadas as possíveis multas, as organizações terão que aumentar ainda mais seu foco em um sistema robusto de segurança e informação cibernética.

O conceito de Privacy by Design (PbD) não é novidade, mas agora está consagrado na LGPD. As organizações precisam construir uma mentalidade que tenha privacidade na vanguarda do design, criação e implantação de novas tecnologias. O resultado é um processo de design que leva em conta a privacidade (e segurança!) desde o início. Dessa forma, as organizações são capazes de gerenciar com eficiência e eficácia os riscos de privacidade quando novos usuários são desenvolvidos.

Violações de dados significativos terão agora de ser reportadas aos reguladores e, em algumas circunstâncias, também aos indivíduos afetados. Isso significa que as organizações precisarão revisar com urgência os procedimentos de gerenciamento de incidentes e considerar os processos para testar, avaliar e revisar regularmente seus processos de gerenciamento de incidentes de ponta a ponta.

As organizações precisarão tomar medidas para demonstrar que sabem quais dados contêm, onde são armazenados e com quem são compartilhados, criando e mantendo um inventário de atividades de processamento de dados. Os líderes de dados terão que trabalhar de perto com os colegas de privacidade para garantir que todas as bases necessárias sejam cobertas. Um sistema completo para a manutenção de estoques precisa ser implementado.

Um novo direito à "portabilidade de dados" significa que os indivíduos têm o direito de solicitar cópias de seus dados em um formato legível e padronizado. A interpretação desse requisito é discutível, mas, em geral, os desafios podem ser numerosos – entre eles, obter clareza sobre quais dados precisam ser fornecidos, extrair dados de maneira eficiente e fornecer dados em um formulário padronizado pelo setor.

Um novo "direito de ser esquecido" é mais uma prova de que o consumidor está no controle quando se trata de usar seus dados. Dependendo da interpretação regulamentar, as organizações podem revisar por atacado processos, arquitetura do sistema e controles de acesso a dados de terceiros. Além disso, a mídia de arquivamento também pode precisar ser revisada e os dados, excluídos.

A LGPD fornece uma definição ampla de quais dados devem ser classificados como pessoais. Isso também reconhece expressamente o conceito de pseudonimização e, ao mesmo tempo, reconhece que os dados pessoais sob pseudônimo ainda estão sujeitos aos requisitos da LGPD. Portanto, a ênfase é colocada na classificação e governança de dados adequada.

 

 

Receba nossas nesletters

* : mandatory fields

Your personal data is collected by Mazars in Brazil, the data controller, in accordance with applicable laws and regulations.
Fields marked with an asterisk are required. If any required field is left blank, it will not be possible to process your request.
Your personal data is collected for the purpose of processing your request.

You have a right to access, correct and erase your data, and a right to object to or limit the processing of your data. You also have a right to data portability and the right to provide guidance on what happens to your data after your death. Finally, you have the right to lodge a complaint with a supervisory authority and a right not to be the subject of a decision based exclusively on automated processing, including profiling, that produces legal effects concerning you or significantly affects you in a similar way.

Share