A Lei Geral de Proteção de Dados (LGPD) foi aprovada em 2018 e sancionada em Setembro de 2020.
As empresas que não realizarem a implementação da LGPD até o início do segundo semestre de 2021, estarão sujeitas às sanções previstas em lei.
Nunca antes na história tivemos tanta capacidade de capturar, armazenar e tratar dados. O que vem permitindo que negócios de todos os segmentos e tamanhos tenham acesso a ferramentas de gestão de alta precisão.
Nos próximos anos, com o desenvolvimento da Inteligência Artificial e da Internet das Coisas, esse cenário tende apenas a se aprofundar.
Mas, escândalos sobre o uso de dados pessoais por parte de alguns gigantes da tecnologia, apontam para a necessidade de maior transparência e regulação no uso destes.
Consequentemente, temos visto que no mundo todo surgem legislações que tratam desse tema em específico.
A LGPD brasileira foi inspirada na legislação da União Europeia que trata do tema – a principal referência em leis sobre proteção de dados da atualidade – e vem complementar o nosso importante Marco Civil da Internet, que entre outros avanços garantiu a neutralidade da rede em nosso território.
Lei Geral de Proteção de Dados Pessoais: Quais Empresas Precisam se Adequar?
O primeiro aspecto a entender sobre a Lei Geral de Proteção de Dados, é sobre que empresas precisam se adequar a lei e realizar sua implementação.
A resposta é: todas aquelas que realizam qualquer tratamento de dados, independente do tamanho ou área de atuação.
Para ficar mais claro:
Se no seu negócio você utiliza um sistema CRM onde cadastra os seus clientes, armazenando e utilizando esses dados para ações posteriores você já está dentro do escopo da lei.
Ou seja, você deve procurar conhecer seu funcionamento para evitar sofrer com as sanções previstas aqueles que não cumprirem a LGPD.
Para as organizações que já contam com setores de tecnologia da informação bem estruturados e profissionais qualificados na gestão da segurança da informação, a adequação possivelmente será simples e pouco trabalhosa.
Contudo, é preciso lembrar que hoje muitas empresas menores e profissionais liberais já utilizam os dados pessoais em seu dia a dia sem se atentar à questão da segurança.
Em muitos casos isso ocorre por desconhecimento ou falta de entendimento da importância dessas medidas.
Sendo assim, para que a LGPD pegue no Brasil, a informação é essencial.
Conheça abaixo as principais regras da nova Lei Geral de Proteção de Dados.
Acima de tudo para que possa realizar a implementação na sua empresa com sucesso!
Conhecendo as Principais Regras LGPD
1- Finalidade e consentimento
Um dos grandes objetivos pretendidos com a Lei Geral de Proteção de Dados é garantir maior transparência no uso dos dados pessoais por organizações. Sejam elas privadas ou públicas.
Dessa forma, o Princípio da Finalidade é a primeira regra da legislação.
A regra diz que os titulares dos dados devem sempre ser informados para qual finalidade suas informações serão utilizadas. Essa finalidade informada não pode ser alterada.
Assim, a coleta de dados deve atender dez requisitos para captura e processamento de dados. Entre eles o consentimento de uso.
Caso a organização pretenda mudar a finalidade do uso dos dados, ele deverá informar e solicitar novo consentimento junto aos titulares.
2- Dados Pessoais Sensíveis
Os dados pessoais são entendidos como aqueles que identificam uma pessoa natural. Como:
- nome,
- CPF,
- idade,
- gênero,
- condição de saúde,
- entre outros.
A LGPD, porém, também traz o conceito de dados pessoais sensíveis.
Os dados pessoais sensíveis são aqueles como:
- Filiação política;
- Crença religiosa;
- Raça;
- Orientação sexual;
- Dados de saúde;
- Dados Biométricos.
Esse tipo de informação é tratado com maior rigor pela lei.
E, para o seu uso e tratamento, é preciso cumprir uma série de obrigações mais extensas em comparação aos dados comuns.
Por exemplo, a redação de regulamento e proibição da saída dos dados para o processamento.
A Lei Geral de Proteção de Dados também inclui regras para o descarte desses dados após o tratamento.
Por fim, só é possível as organizações utilizarem os dados sensíveis necessários para um determinado fim.
3- Controlador, encarregado e operador
A Lei Geral de Proteção de Dados estabelece três novas figuras:
- Controlador de dados;
- Encarregado de dados;
- Operador de dados.
3.1- Controlador de dados: é o responsável pelo uso de dados na instituição, controlando a forma como os mesmos são utilizados.
3.2- Encarregado de dados: é o responsável pela comunicação com o titular dos dados. Essa figura deve ter o registro do uso de dados e repassar a informação quando solicitado.
3.3- Operador de dados: é o responsável por realizar efetivamente o tratamento de dados.
Essas figuras são essenciais na implementação da LGPD. Sendo assim, devem operar os quesitos burocráticos previstos na lei.
Por exemplo:
- estabelecer o processo de atendimento aos titulares de dados,
- matriz de risco de privacidade,
- estabelecer plano de contingência de incidente de privacidade,
- entre outros.
A legislação ainda estabelece a Agência Nacional de Proteção de Dados (ANPD), responsável por fiscalizar a aplicação da lei e realizar sanções.
4- Segurança, sigilo e governança
Segundo a nova lei de dados, a responsável por estabelecer os níveis mínimos de segurança e sigilo que devem ser cumpridos por empresas privadas e órgãos públicos é a ANPD.
Vale lembrar que a LGPD já proíbe de forma expressa a transferência e venda de dados.
Quem não cumprir os níveis de segurança exigidos estará sujeito a multa que pode chegar a 2% do faturamento da empresa. O valor será limitado a R$ 50 milhões.
Além da multa, a lei prevê uma série de hipóteses de responsabilização quando os dados não forem protegidos de forma adequada.
Para não correr riscos é importante investir em medidas e práticas de segurança da informação.
5- Privacy by Design
Outra regra que merece destaque é a que estabelece a Privacy by Design.
Esta exige que todo produto online ou off-line que envolva dados pessoais e pessoais sensíveis utilizem a metodologia da privacidade desde sua concepção.
A LGPD estabelece uma série de passos e documentos para orientar o planejamento do seu produto ou serviço. Bem como acompanhar sua execução enquanto for disponibilizado.
A privacidade deve orientar todos os projetos internos. E quando as soluções forem entregues ao mercado também devem conter configurações referentes à privacidade visando oferecer a melhor segurança aos usuários.
Passo a Passo LGPD: adequando sua empresa a Lei Geral de Proteção de Dados
Com essas cinco regras básicas em mente é possível começar a implementação da LGPD em sua organização.
Para isso, é possível seguir um passo a passo simples mais eficaz. Confira!
Análise de Cenário
O ponto de partida não poderia ser outro que a análise do cenário de sua empresa.
Existem organizações que pouco precisam fazer para estar adequadas à nova lei. Por outro lado, algumas empresas contam com muito trabalho pela frente.
Em qual desses cenários a sua empresa se encaixa é uma pergunta que só pode ser respondida depois de uma análise cuidadosa de dados.
Além disso, é fundamental analisar a tecnologia da informação utilizada em seu negócio.
Nesse momento, contar com um perito digital faz toda a diferença. Esse profissional será capaz de realizar um mapeamento assertivo de seu negócio para orientar as ações de adequação.
Definição do operador dos dados
É possível que sua empresa conte com mais de um operador de dados.
Um serviço de armazenamento em nuvem, por exemplo, se encaixa nessa categoria, assim como um cientista de dados contratado.
É muito importante reforçar que os operadores de dados também devem obediência a legislação. E, podem responder judicialmente. Seja de forma solidária ou mesmo integralmente caso realize o tratamento de dados de forma ilegal sem ordem direta do controlador.
Procure sempre profissionais e empresas idôneos e evite dores de cabeça e prejuízos.
Plano de segurança da informação
Após entender o cenário de sua empresa e definir os operadores dos dados, é o momento de estabelecer um programa de privacidade dos dados.
Nesse programa devem constar as medidas técnicas e administrativas para garantir a segurança da informação, evitando penalidades previstas na lei.
Programa de governança em privacidade
Por fim, sua empresa deve estabelecer um programa de governança em privacidade, onde irá definir as boas práticas no uso dos dados pessoais.
Nesse momento devem ser definidos:
- procedimentos,
- regime de funcionamento,
- normas de seguranças,
- padrões técnicos, ações educativas
- e órgãos de controle e monitoramento.
O programa de governança é o cérebro e o coração de adequação a LGPD.
É ele que vai definir as práticas para garantir que todos os tratamentos de dados pessoais estejam de acordo com as bases legais.
Não espere! Comece a implementação da LGPD em sua empresa hoje mesmo!
A Lei Geral de Proteção de Dados é um avanço no que diz respeito a transparência no uso de dados.
Acima de tudo, com respeito a privacidade dos usuários, sendo fundamental que todos abracem a nova legislação e garantam seu cumprimento.
Portanto, é muito importante reforçar que as empresas têm até o início do segundo semestre de 2021 para se adequar a legislação.
Quem não realizar a implementação da LGPD até a data limite estará sujeito a pesadas multas e sanções.
Não corra riscos! Comece agora mesmo a tomar as medidas que permitam o seu negócio a se organizar para se adequar a Lei Geral de Proteção de Dados.
Para saber mais sobre a segurança da informação e meios para proteger seu negócio dos ciberataques, siga nossas páginas nas redes sociais e continue acompanhando nosso blog!
Até a próxima!