SUA EMPRESA ESTÁ PREPARADA PARA O LGPD?

Gerenciamento de Riscos, Auditoria e Compliance

SUA EMPRESA ESTÁ PREPARADA PARA O LGPD?

Angélica Ribeiro | jun 26, 2020

Em uma pesquisa realizada pela empresa de consultoria em compliance ICTS, podemos ver que 84% das organizações continuam despreparadas para atender às exigências da nova Lei 13.709/18 – Lei Geral de Proteção de Dados (LGPD).

Esta lei, conhecida como LGPD, havia sido postergada para maio de 2021 pela Medida Provisória 959, publicada no dia 29 de abril. Porém, na noite do dia 19/05/2020, o Senado voltou a alterar a data de vigência da LGPD. Segundo a nova redação, a lei começa a vigorar em agosto de 2020, mas os artigos que tratam das sanções só entrarão em vigor em agosto de 2021. Essa alteração foi feita por meio de um destaque do senador Weverton (PDT-MA).

Neste cenário de crise atípico, muito diferente daquele que o mercado enfrentou nos últimos anos, o novo adiamento da entrada da LGPD em vigor seria até compreensível. No entanto, os dados da pesquisa sinalizam que as empresas não estão utilizando a ampliação do prazo para se prepararem, mas sim protelando suas ações. De acordo com especialistas, é importante começar o quanto antes, porque a norma provoca alterações profundas, fazendo quase um raio-x de como as empresas trabalham internamente. A lei altera todas as esferas do negócio: pessoas, processos e tecnologia.

Quem se adaptar mais rápido desfrutará de mais competitividade no mercado.

Conheça um pouco sobre a Lei, seus benefícios e suas penalidades para as organizações e cidadãos. Boa leitura!

O que é a LGPD?

LEI Nº 13.709, DE 14 DE AGOSTO DE 2018: 
“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Para contextualizar um pouco sobre o surgimento desta Lei, vamos fazer um breve overview!

A Tramitação no Congresso Nacional deu início em novembro de 2010 com o debate sobre a proteção de dados pessoais, com o propósito de se elaborar uma lei específica sobre o tema. Até abril de 2011 foram colhidas manifestações por meio de um blog mantido pelo Ministério da Justiça na plataforma Cultura Digital, do Ministério da Cultura. O resultado desse primeiro debate nunca chegou a ser enviado pelo Poder Executivo ao Congresso Nacional.

Em junho de 2012, o Deputado Milton Monti (PR-SP) apresentou à Câmara dos Deputados o Projeto de Lei nº 4060, como produto das discussões do V Congresso Brasileiro da Indústria da Comunicação. E em 2012, o Senador Vital do Rêgo apresentou o PLS 181/2014.

Em janeiro de 2015 o governo federal reiniciou, sob a gestão da Secretaria Nacional do Consumidor do Ministério da Justiça, o debate público para a elaboração de um anteprojeto de lei. As duas consultas públicas somaram 2.500 contribuições nacionais e internacionais, de todos os setores, além de incontáveis eventos presenciais de debate. O texto resultante foi apresentado publicamente em outubro do mesmo ano.

Em maio de 2016, na véspera de seu afastamento do governo, a então presidente Dilma Rousseff encaminhou ao Congresso, em regime de urgência, o anteprojeto de lei, recebido como Projeto de Lei nº 5.276/2016. Em julho de 2016, o presidente interino Michel Temer retirou o regime de urgência e o PL 5.276/2016 tramitou formalmente na Câmara dos Deputados apensado ao 4060/12.

Em julho de 2018 o Projeto Lei da Câmara 53/2018 foi aprovado no plenário do Senado. A Lei Geral de Proteção de Dados foi sancionada em 14 de agosto de 2018, publicada no Diário Oficial da União em 15 de agosto de 2018, e republicada parcialmente no mesmo dia, em edição extra. O início da vigência seria em 18 meses desde a publicação.

O projeto sofreu vetos. Sob a alegação, bastante questionada, de vício de iniciativa, Temer vetou a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão de fiscalização.

Em dezembro de 2018, Temer editou a Medida Provisória nº 869, de 27 de dezembro de 2018, prevendo a criação da ANPD e alterando o início da vigência da lei para agosto de 2020.

Por que precisamos falar sobre a LGPD AGORA?

Precisamos falar sobre a LGPD pois a grande maioria das empresas e as organizações tem grandes responsabilidades em relação à proteção de todos os dados pessoais de seus funcionários, fornecedores e clientes.

Segundo uma pesquisa da empresa de cibersegurança Kaspersky, o Brasil concentra 92% dos casos de ransomware na América Latina. Além disso, o país foi o quinto mais afetado pelo Ransomware WannaCry em 2016 e também o quinto colocado na lista de dispositivos vulneráveis, de acordo com estudo da Avast (empresa de segurança que utiliza tecnologias de próxima geração (next-gen) para lutar contra ataques cibernéticos em tempo real).

Ao longo dos anos tivemos vários crimes cibernéticos, alguns deles bem famosos como: nRanson, Bad rabbit, ExPetr entre vários outros que derivam do ransomware. Então, nos últimos anos vários países colocaram em xeque como anda a segurança da informação de pessoas físicas e jurídicas. Muitos escândalos e vazamentos de dados de empresas que são familiares a nós, como o Facebook, tiveram grandes proporções na mídia.

Este é um assunto tão sério que, em maio de 2018, a União Europeia transformou a proteção de dados em lei – a GDPR (General Data Protection Regulation), e, três meses depois, foi a vez do Brasil, por meio da Lei nº 13.709/2018.

A nossa Lei Geral de Proteção de Dados (LGPD) regulamenta o uso e tratamento dos dados pessoais, tanto pela iniciativa privada quanto do poder público, na tentativa de protegê-los contra vazamentos e uso indevido.
Nesse caso, caberá a todas as empresas e órgãos públicos que lidam com dados pessoais (estejam elas em meio digital ou não) algumas responsabilidades.

Ou seja, se a sua empresa realiza um simples cadastro de CPF, por exemplo, você precisa se ajustar à nova lei de dados. Se você tem um cadastro com os dados pessoais de seus funcionários também.

Pontos Importantes sobre a LGPD

 

info-lgpd-serpro

  1. Definições Estabelecidas pela LGPD

    • Dados pessoais - é toda informação relacionada a pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail, etc. O dado pessoal é aquele que permite, sozinho ou em conjunto com outros, a identificação de seu titular. Por meio dele, é possível descobrir nome, apelido, endereço de residência, e-mail, endereço IP, números de cartões e cookies. São dados que as empresas devem garantir proteção, sendo utilizados somente para os fins autorizados pelo dono desses dados. Dados relativos a uma pessoa jurídica (tais como razão social, CNPJ, endereço comercial, etc.) não são considerados dados pessoais.
    • Dados pessoais sensíveis - A lei também visa à proteção dos dados sensíveis, que contêm características ainda mais reveladoras sobre uma pessoa e que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
    • Titular - pessoa natural a quem se referem os dados pessoais. Titular dos dados é qualquer pessoa física que tenha passado dados e informações pessoais, de maneira virtual ou não. O titular dos dados tem direitos sobre os seus dados, incluindo o direito ao seu esquecimento. Se a pessoa estiver com dados sendo expostos em algum site, por exemplo, ainda que ela tenha autorizado a exposição no passado, se quiser retirar, ela tem direito à remoção imediata do conteúdo. Outros direitos fundamentais da LGPD ao usuário é o direito ao acesso e o direito da informação, que permitem que ele saiba quais dados estão sendo armazenados pela empresa e o porquê.

O artigo 18 da LGPD prevê que o titular dos dados pode solicitar, a qualquer momento e sem necessidade de justificativas:

  • Confirmação da existência de tratamento dos seus dados;
  • O acesso aos seus dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD;
  • Portabilidade dos dados a outro fornecedor de serviço ou produto;
  • Eliminação dos dados pessoais tratados;
  • Informações das entidades públicas e privadas com as quais o controlador compartilhou os dados do usuário;
  • Informações sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • Revogação do consentimento;
  • Revisão por pessoa natural de decisões automatizadas.

O objetivo de dar ao titular os dados o controle total sobre suas informações é evitar que empresas se utilizem de brechas legais (ou desconhecimento dos usuários) para utilizar os dados a seu favor, como aconteceu no famoso caso da Cambridge Analytica.

  • Tratamento - toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  • Controlador - pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O controlador tem como responsabilidade tomar decisões relacionadas ao tratamento de dados. Para a LGPD, o controlador poderá ser a empresa ou a pessoa física que cumpre este papel, sendo responsabilizadas em caso de alguma infração.
  • Encarregado - pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
  • Operador - pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. O operador é aquele que executa o tratamento dos dados, de acordo com as orientações do controlador. Também pode ser uma pessoa física ou jurídica, e igualmente responde juridicamente em caso de descumprimento de alguma norma prevista em lei.
  • Consentimento - manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Quando falamos em dados, não temos como fugir do setor de TI. Afinal, é nessa área que as informações são processadas, armazenadas e tratadas. Portanto, a responsabilidade de seus profissionais aumenta a partir da lei. Um dos fatores primordiais será a adoção do Privacy by Design. Ou seja: a privacidade passa a ser incorporada à arquitetura dos sistemas, dando acesso ao titular dos dados e permitindo o gerenciamento, a coleta e o tratamento de modo autônomo. Caberá ao setor de TI disponibilizar e incorporar esse novo modelo aos negócios. A governança em TI é uma estratégia que irá dar o suporte necessário às empresas, garantindo suas políticas de segurança digital, privacidade e manutenção de ativos.
  • Anonimização - processos e técnicas por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Uma das formas que a empresa tem que garantir a privacidade dos dados pessoais é utilizando técnicas de anonimação dos dados. O processo envolve criptografar as informações, impossibilitando a ligação direta da informação com um usuário específico. Para fins de LGPD, dados anônimos não são considerados dados pessoais.
  • Dado anonimizado - dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado anonimizado não é considerado dado pessoal para fins de aplicação da LGPD.
  • Pseudoanonimização - processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado pseudoanonimizado é considerado dado pessoal para fins de aplicação da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural.

2. Encarregado pelo Tratamento de Dados Pessoais


A LGPD estabeleceu a existência do encarregado pelo tratamento de dados pessoais mais comumente chamado de DPO – Data Protection Officer. A lei determina que "a identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador" (artigo 41, § 1º).

3. 10 Princípios da Proteção de Dados

blog_lgpd

A LGPD introduz 10 princípios de proteção de dados, o que inclui a prestação de contas demonstrando que a empresa está cumprindo a lei.

  • Ela também inclui empresas que não possuem estabelecimentos aqui no Brasil;
  • Todos os dados pessoais que a empresa tem sobre pessoas físicas e jurídicas precisam ter o consentimento delas para serem guardados e utilizados pela empresa;
  • Os titulares dos dados têm direito ao acesso, informação, cancelamento, retificação, oposição e portabilidade de seus dados;
  • A nova lei de dados também tem regras específicas para tratar dados sensíveis, dados de crianças e adolescentes, e, ainda, transferência internacional de dados;
  • Toda empresa que for responsável pelo tratamento de dados deverá nomear uma pessoa encarregada pela proteção de dados pessoais.
  • As atividades de tratamento de dados devem ser registradas em relatório;
  • A lei também trata da realização de avaliação de impacto à proteção de dados (muito semelhante ao Data Protection Impact Assessment, o DPIA);

4. Sanções

As sanções administrativas para o descumprimento da LGPD estão previstas no art. 52 e estão previstas de serem aplicadas a partir de agosto/21. São elas:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% do faturamento líquido da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração;
  • Multa diária;
  • Publicação da infração após devidamente apurada e confirmada a sua ocorrência;
  • Bloqueio dos dados pessoais envolvidos na infração até a sua regularização;
  • Eliminação dos dados pessoais envolvidos na infração.

5. Autoridade Nacional de Proteção de Dados

Após o veto às disposições relacionadas à Autoridade Nacional de Proteção de Dados (ANPD) originalmente previstas na Lei Geral de Proteção de Dados, o então presidente Michel Temer editou a medida provisória nº 869, de 27 de dezembro de 2018, que criou a ANPD e tratou do tema separadamente.

Antes da aprovação pelo Congresso Nacional, a medida provisória sofreu várias alterações, nos termos do Projeto de Lei de Conversão nº 7 de 2019. Em julho de 2019 foi sancionada pelo presidente Jair Bolsonaro como Lei nº 13.853, com veto a nove dispositivos.

Na Lei nº 13.853, de 8 de julho de 2019, foi atribuída à Autoridade Nacional de Proteção de Dados natureza transitória de órgão da administração pública federal, vinculado à Presidência da República, podendo ser transformada em autarquia após dois anos, a critério do Poder Executivo.

Apesar da vinculação administrativa da ANPD à Presidência, a lei assegura sua autonomia técnica e decisória.

Quanto à organização interna da ANPD, esta deverá seguir a seguinte estrutura:

  • Um Conselho diretor (órgão máximo de direção).
  • Um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
  • Uma Corregedoria.
  • Uma Ouvidoria.
  • Um Órgão de assessoramento jurídico próprio.
  • Unidades administrativas e especializadas necessárias à aplicação do disposto na lei.

Os diretores, que integrarão o Conselho Diretor da ANPD, terão mandatos fixos e serão escolhidos pelo Presidente da república, embora sujeitos à aprovação pelo Senado Federal.

Dentre as competências da ANPD estabelecidas na legislação, estão:

  • Zelar pela proteção dos dados pessoais,
  • Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade,
  • Fiscalizar e aplicar sanções nos casos de descumprimento da legislação,
  • Promover o conhecimento das normas e políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
  • Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade;
  • Realizar auditorias
  • Celebrar compromissos para eliminação de irregularidades. 

    anpd-lgpd

Boas Práticas da LGPD

Se você leu este artigo até aqui, deve estar pensando ... Mas como adapto a minha empresa à LPGD?

Sob a ótica da tecnologia da informação, tratamos a LGPD como um projeto de proteção de dados e não apenas como segurança da informação.

Organizações em fase de implantação ou que já possuem um Sistema de Gerenciamento de Segurança da Informação implementado geralmente se baseiam em normas técnicas a exemplo da família ISO/IEC 27000 (em especial a 27001 e a 27002). Uma empresa com um SGSI bem implementado já está com boa parte do caminho percorrido para atingir a conformidade, porém normas como a ISO/IEC 27701, voltadas especificamente à Gestão da Privacidade, são uma extensão importante das anteriores tanto para a montagem de um SGPI (Sistema de Gestão da Privacidade da Informação) quanto para um programa de Governança em Privacidade e Proteção de Dados.

Com a LGPD, não basta estar em conformidade, é preciso demonstrar conformidade além de atentar-se a princípios importantes como a adequação, o livre acesso, a responsabilização e prestação de contas, a transparência, entre outros. Independentemente da organização ter condições de adquirir produtos e implementar as ISOs, nada disso funciona se a cultura não mudar.  

Os dados são ativos importantes, às vezes valem mais do que dinheiro. Os demais investimentos - como consultoria específica, softwares, etc - virão depois com itens e produtos recomendados dentro do processo de mapeamento de sua organização. Obviamente, esse trabalho depende da maturidade e dos recursos de cada empresa.

Falhas Comuns

Um dos principais erros cometidos pelas organizações, é atribuir o projeto de aplicação da lei a uma área específica, geralmente segurança ou a área jurídica (ou ambas, apenas).

 

A LGPD impacta toda a empresa, desde a guarita/recepção até o C-Level. É impensável não envolver as áreas de negócio, recursos humanos e marketing, por exemplo, além de outras áreas tão importantes quanto as citadas.

 

Outro ponto de atenção é a não especificação de um DPO desde o início, o que pode impactar negativamente em decisões importantes do projeto que exijam a sua atuação.

 

A última grande falha citada por vários especialistas, cometida pelas organizações, é achar que a lei “não vai pegar”.

Para o departamento de TI, fica o alerta para investir em:

  • Um parceiro de tecnologia e infraestrutura de TI especializado em Segurança da Informação para apoiar a sua empresa na preparação da TI para a LGPD, do Assessment de Vulnerabilidades, Construção do Roadmap de Ações priorizadas e Sustentação da Segurança da Informação;
  • NOC - (Network Operation Center) para manter seu ambiente monitorado;
  • Monitoramento do processo de tratamento de dados;
  • Monitoramento dos riscos de tratamento dos dados na empresa e em terceiros;
  • Gestão e mascaramento de dados;
  • Segurança e controle de acesso dos Bancos de dados;
  • Gestão de identidade de clientes e consumidores;
  • Arquiteturas tecnológicas para a proteção de dados incorporadas em todo novo ambiente e aplicação de TI por padrão (privacy by design): como o acesso controlado e a encriptação nativa de dados pessoais assim que forem coletados, bem como a guarda segura deles.

Conclusão

A LGPD é uma legislação nacional para regular a captação, armazenamento e tratamento de dados pessoais e sensíveis, garantindo a privacidade dos usuários.

Esta lei é aplicada dando ao titular dos dados o controle e direito total sobre suas informações, de forma que as empresas não possam mais se apoiar no desconhecimento do usuário, brechas legais ou estratégias para confundir o titular, utilizando os dados para seu próprio benefício.

É obrigatório, portanto, que as organizações que possuam atividades relacionadas ao tratamento de dados deixem claro ao usuário o objetivo da captura daquela informação, e a sua utilização. O usuário, então, pode autorizar ou não o compartilhamento ou tratamento daquele dado.

Além disso, o usuário também pode solicitar a remoção da informação do banco de dados da empresa, a qualquer momento.

O descumprimento da nova lei pode gerar grandes prejuízos às organizações, incluindo a interrupção total ou parcial das atividades relacionadas.

Prepare-se para a LGPD! A utilização de um sistema de automação e controle para seus departamentos de TI pode ser essencial para a gestão dos dados e facilitar as mudanças de processos. 

lgpd

Inscreva-se!