As empresas que não estiverem com seus sistemas, políticas e processos adequados poderão sofrer penalidades com multas de até 2% sobre o faturamento bruto anual, com o teto de R$ 50 milhões. A Lei Geral de Proteção de Dados entrará em vigor a partir de fevereiro de 2020.
Publicado em 15/10/2018
A Lei Geral de Proteção de Dados (LGPD) cria uma regulamentação para o uso, proteção e transferência de dados pessoais no Brasil, nos âmbitos privado e público, e estabelece de modo claro quem são as figuras envolvidas e quais suas atribuições, responsabilidades e penalidades no âmbito civil. A legislação se aplica a qualquer operação de tratamento de dados pessoais de qualquer cidadão que viva no Brasil, realizada por pessoa física ou jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados. Se a lei não for cumprida, as organizações enfrentarão multas de até 2% do faturamento bruto, com um teto de R$ 50 milhões.
Os elementos-chaves da LGPD são os seguintes:
Consentimento explícito e retrátil
O termo de aceite deve ser legível e facilmente acessado, usando linguagem simples e direta. O mesmo deve ser observado no método para revogação do consentimento.
Direitos do usuário
O usuário pode requisitar informações sobre como seus dados estão sendo processados, onde e qual a finalidade. Adicionalmente, eles podem solicitar que os dados sejam esquecidos, o que implica a remoção total das informações.
Privacidade a partir do conceito
Agora, um requisito legal para a inclusão de proteção de dados desde o início do projeto de sistemas, em vez de uma adição retrospectiva.
Inventário de dados
As organizações devem manter um registro das atividades de processamento sob sua responsabilidade. O inventário deve incluir os vários tipos de informações, como a finalidade do processamento.
Data privercy protect officer
Profissional nomeado em certos casos para facilitar a necessidade de demonstrar conformidade com a LGPD.
Impacto nas empresas
A nova legislação impacta três áreas de uma organização: Jurídica e Compliance, Tecnologia e Dados.
Novos requisitos e desafios são introduzidos para funções legais e de conformidade. Muitas organizações exigirão um diretor de Proteção de Dados (DPO), cujo papel na garantia de conformidade é fundamental. A ação de execução se estenderá a outros países. Uma ênfase renovada na responsabilidade organizacional exigirá governança de privacidade proativa e robusta, exigindo que as empresas (públicas ou privadas) analisem como escrevem políticas de privacidade para facilitar o entendimento.
Novos requisitos da LGPD significarão mudanças nas maneiras pelas quais as tecnologias são projetadas e gerenciadas. Avaliações de risco de privacidade documentadas serão necessárias para implantar novos sistemas e tecnologias importantes. O conceito de “Privacy By Design” agora está consagrado na lei, com a Avaliação de Impacto da Privacidade. Espera-se que se torne comum nas organizações nos próximos anos e que as mesmas analisem mais o mascaramento, a pseudonimização e a criptografia de dados.
Equipes encarregadas do gerenciamento de informações serão desafiadas a fornecer uma visão mais clara sobre armazenamento de dados, jornadas e linhagem. Uma melhor compreensão de quais dados são coletados e onde são armazenados facilitará o cumprimento dos (novos) direitos dos titulares de dados: direitos de exclusão de dados e sua portabilidade para outras organizações.
O foco é que as organizações tenham uma visão mais proativa e abrangente de seus dados e sejam capazes de demonstrar que estão em conformidade com a LGPD.
As organizações que processam dados pessoais em larga escala são agora obrigadas a nomear um profissional qualificado como responsável pela proteção de dados. Isso representará um desafio para empresas de médio a grande porte, já que indivíduos com habilidades e experiência estão atualmente em escassez.
Construir suas políticas de privacidade voltadas ao público, com informações detalhadas de forma clara e objetiva, sem uso de jargões jurídicos, deverá ser uma meta de toda empresa. Além disso, a LGPD manterá a noção de consentimento como uma das condições para o processamento dos dados, com as empresas obrigadas a obter uma permissão livre, específica, informativa e não ambígua, enquanto seja capaz de demonstrar que esses critérios foram cumpridos.
Usuários
Os usuários terão direitos de optar por não fornecer seus dados e de fazer o perfil e rastreamento on-line, afetando significativamente os negócios que usam essas técnicas para entender melhor seus clientes. Isso se aplica não apenas a websites, mas também a outros ativos digitais, tais como aplicativos para dispositivos móveis, dispositivos vestíveis e tecnologias emergentes.
A LGPD reconhece formalmente os benefícios de privacidade da criptografia, incluindo a isenção de notificar os indivíduos sobre violações de dados quando estes são criptografados. No entanto, isso não significa que as organizações possam ser complacentes, e punidas quando utilizarem uma criptografia fraca. Dadas as possíveis multas, as organizações terão que aumentar ainda mais seu foco em um sistema robusto de segurança e informação cibernética.
O conceito de Privacy by Design (PbD) não é novidade, mas agora está consagrado na LGPD. As organizações precisam construir uma mentalidade que tenha privacidade na vanguarda do design, criação e implantação de novas tecnologias. O resultado é um processo de design que leva em conta a privacidade (e segurança!) desde o início. Dessa forma, as organizações são capazes de gerenciar com eficiência e eficácia os riscos de privacidade quando novos usuários são desenvolvidos.
Violações de dados significativos terão agora de ser reportadas aos reguladores e, em algumas circunstâncias, também aos indivíduos afetados. Isso significa que as organizações precisarão revisar com urgência os procedimentos de gerenciamento de incidentes e considerar os processos para testar, avaliar e revisar regularmente seus processos de gerenciamento de incidentes de ponta a ponta.
As organizações precisarão tomar medidas para demonstrar que sabem quais dados contêm, onde são armazenados e com quem são compartilhados, criando e mantendo um inventário de atividades de processamento de dados. Os líderes de dados terão que trabalhar de perto com os colegas de privacidade para garantir que todas as bases necessárias sejam cobertas. Um sistema completo para a manutenção de estoques precisa ser implementado.
Um novo direito à "portabilidade de dados" significa que os indivíduos têm o direito de solicitar cópias de seus dados em um formato legível e padronizado. A interpretação desse requisito é discutível, mas, em geral, os desafios podem ser numerosos – entre eles, obter clareza sobre quais dados precisam ser fornecidos, extrair dados de maneira eficiente e fornecer dados em um formulário padronizado pelo setor.
Um novo "direito de ser esquecido" é mais uma prova de que o consumidor está no controle quando se trata de usar seus dados. Dependendo da interpretação regulamentar, as organizações podem revisar por atacado processos, arquitetura do sistema e controles de acesso a dados de terceiros. Além disso, a mídia de arquivamento também pode precisar ser revisada e os dados, excluídos.
A LGPD fornece uma definição ampla de quais dados devem ser classificados como pessoais. Isso também reconhece expressamente o conceito de pseudonimização e, ao mesmo tempo, reconhece que os dados pessoais sob pseudônimo ainda estão sujeitos aos requisitos da LGPD. Portanto, a ênfase é colocada na classificação e governança de dados adequada.
Ao longo dos últimos anos, temos presenciado a tecnologia ganhar cada vez mais espaço. De um elemento secundário há uma ou duas décadas, é hoje uma peça-chave no mundo corporativo. O Blockchain entra neste contexto e já é uma referência de disrupção no sistema financeiro
O mundo está se transformando em alta velocidade. Então, transforme-se na mesma velocidade. O que você planejou hoje provavelmente terá de ser completamente modificado amanhã.
Últimas notícias
Mazars Em Foco | 7ª Edição
Vivemos um ano chave no Brasil, em que as possibilidades de desenvolvimento são atraentes, mas dividem os debates com um cenário de incertezas e preocupações. Em sua 7ª edição, a revista Mazars Em Foco traz a análise de especialistas renomados sobre as tendências para os próximos anos e a agenda econômica que aguarda o novo governo brasileiro. Este é o carro chefe da nova edição, que chega com conteúdo cada vez mais técnico, profundo, assertivo e inspirador, abordando ainda temas como estratégias de inovação, mercado de Fusões & Aquisições e gestão em Healthcare. Confira! Não se trata apenas de ser facilmente acessível, mas, sobretudo, de ser a maior referência do mercado em expertise empresarial.
Transações para empresas de pequeno e médio porte
Compensação cruzada
A compensação tributária unificada, novidade do eSocial, vai liberar de modo quase imediato créditos que antes poderiam demorar anos para serem disponibilizados; o benefício tende a se tornar uma relevante ferramenta no planejamento econômico das empresas.
Quer saber mais?
Eder Mutinelli Partner & Executive Committee Member - Sao Paulo