A LGPD determina que as organizações sigam os 65 artigos que regulam todo o ciclo de vida dos dados, como a coleta, o tratamento, as divulgações e a exclusão de dados pessoais. Na lei contém definições sobre dados pessoais, sobre a utilização destes dados, bem como, mediante possíveis regulamentações da ANPD (Autoridade Nacional de Proteção de Dados).
As empresas terão a chance de ganhar a confiança desses titulares de dados. Além disso, elas poderão evitar penalidades, bem como possíveis danos à reputação causados pelo tratamento incorreto ou inseguro dos dados.
Uma visão ampla do que é a LGPD
Em 2018 o Brasil aprovou a Lei Geral de Proteção de Dados Pessoais (LGPD). A legislação estabelece e protege os direitos e liberdades das pessoas e proporciona maior transparência aos titulares de dados pessoais abrangidos. Embora a LGPD tenha entrado em vigor em 18 de setembro de 2020, a aplicação de sanções administrativas foi adiada e começou a vigorar apenas em 1º de agosto de 2021, devido à pandemia da COVID-19. A LGPD é a primeira estrutura abrangente do país que regula de forma concentrada as atividades de dados pessoais tratados pelas empresas.
Diversas organizações que não estão sujeitas aos regulamentos globais existentes, como o GDPR, CCPA e outros, devem se atentar quanto antes as diretrizes da LGPD. Isso significa que mesmo as organizações que adotam voluntariamente os princípios do GDPR e/ou CCPA, ou aquelas que ainda não começaram a utilizá-los, possuem um longo caminho para ficar em conformidade com a LGPD.
Veja aqui as definições que vêm da legislação:
Controlador de dados – pessoa física ou jurídica que toma decisões referentes a qualquer tipo de tratamento dos dados pessoais.
Operador de dados – pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome de um controlador.
Dados pessoais – qualquer informação relacionada a uma pessoa real, sejam estes dados identificados ou identificáveis.
Dados pessoais sensíveis – informações pessoais que podem incluir origem racial ou étnica, crença religiosa, opinião política, filiação sindical ou afiliação religiosa. Os dados sensíveis também abrangem dados relativos à saúde ou à vida sexual, e dados genéticos ou biométricos.
Pseudonimização – o tratamento de dados de uma forma em que, mesmo removendo algumas associações diretas ou indiretas a um indivíduo, possa ser decodificado usando meios razoáveis.
Anonimização – o tratamento de dados pessoais que utiliza meios técnicos para eliminar a possibilidade de associações diretas ou indiretas a um titular de dados.
Encarregado da proteção de dados (também conhecido como responsável pela proteção de dados – DPO) – facilita a comunicação entre controladores, titulares de dados e a ANPD. Pode ser um indivíduo, um grupo ou uma empresa que o controlador indica.
A LGPD se aplica à sua empresa?
Para saber se de fato a LGPD se aplica à sua organização, é extremamente importante que sue equipe revise o escopo material da lei, ou seja, se a LGPD cobre seus tipos de atividades de tratamento. Bem como, saber se sua organização figura como Controlador ou Operador no tratamento dos dados pessoais. Precisará também considerar o escopo territorial da LGPD. Para isso, você precisará avaliar se o local de seus clientes, as atividades de coleta e tratamento de dados, entre outras atividades, serão regidas pela LGPD.
A LGPD é pertinente para indivíduos ou organizações que realizam o tratamento de dados pessoais:
No Brasil. Isso inclui todo o tipo de processamento de dados, dentre eles a coleta, o tratamento e o armazenamento de dados dentro das fronteiras do país.
Fora do Brasil. É onde se realiza a operação de tratamento fora do território nacional. A atividade de tratamento se destina à oferta ou prestação de bens, ou serviços, ou ao tratamento de dados de pessoas localizadas no território nacional; ou onde os seus dados pessoais que estão sendo tratados tenham sido coletados no território nacional.
A LGPD se aplica ao tratamento de dados pessoais realizado por uma pessoa física, uma entidade pública ou uma organização privada. Isso significa que empresas de todos os portes devem estar em conformidade com a LGPD.
Conforme o artigo 4.º da lei, existem poucas exceções ao escopo material da LGPD:
Atividades de tratamento usadas para atividades privadas e não econômicas.
Fins jornalísticos e artísticos.
Motivos acadêmicos cobertos pela lei.
Segurança pública, defesa nacional, segurança do Estado ou investigação e fins processuais.
Atividades de tratamento de dados pessoais originadas fora do Brasil, de países que fornecem um nível adequado de proteção de dados.
Direitos dos titulares de dados sob a LGPD
As organizações cobertas devem oferecer total liberdade aos titulares dos dados para eles exercerem os seguintes direitos:
Direito a:
Ser informado – A LGPD fornece o direito de acesso aos titulares de dados para que eles saibam como as empresas tratam seus dados pessoais. Isso também se aplica quando um terceiro obtém dados pessoais de um controlador.
Ao acesso – A LGPD concede aos indivíduos o direito de solicitar uma cópia ou qualquer tipo de acesso aos seus dados pessoais por qualquer meio razoável. Isso inclui e-mail, telefone, carta escrita ou via portal on-line.
Á retificação – Os titulares dos dados têm o direito de que as empresas corrijam informações incompletas, inexatas ou desatualizadas sobre eles. Não há restrições quanto ao formato ou à natureza das solicitações de retificação feitas por indivíduos.
Eliminação dos dados – Os indivíduos solicitarem a eliminação por completo de seus dados pessoais. As empresas devem cumprir as solicitações de eliminação desde que tenham consentimento e tenham verificado a identidade do titular dos dados, bem como, após observado se não existe nenhuma outra lei que obrigue a manutenção daquele, dado e por quanto tempo.
Oposição – Os titulares de dados podem pedir às empresas que bloqueiem a coleta ou o tratamento de dados desnecessários, ou excessivos. Isso se aplica principalmente quando as práticas de dados não estão em conformidade com a LGPD.
Portabilidade dos dados – Os titulares de dados têm o direito de portabilidade de seus dados por meio de solicitação expressa.
Não estar sujeito à tomada de decisões automatizadas – Os titulares dos dados podem solicitar a revisão das decisões tomadas sobre eles como exclusivamente resultado da automação. Isso se aplica especialmente a qualquer decisão que defina seu perfil pessoal, profissional, de consumo e de crédito, bem como sua personalidade.
Principais etapas para a conformidade com a LGPD
- Indicação de um DPO
- Criação de um mapa de dados
- Análise de gaps
- Processo para gestão de DSAR (solicitações dos titulares de dados)
- Implementação de um processo para notificação de violação de dados
- Avaliações de riscos
A ANPD vai sempre exigir que as organizações tenham uma documentação atualizada e precisa dos fluxos de dados. O mapeamento de dados com suporte para fluxos de trabalho automatizados ajuda as equipes a desenvolver e manter informações atuais sobre sistemas de TI, transferências de dados e atividades relevantes de terceiros.
A legislação não prevê um período maior para altos volumes de solicitações, expondo os controladores de dados a possíveis penalidades se não conseguirem operacionalizar DSARs rapidamente.
Trabalhar com um portal que automatiza o tratamento de DSAR simplificará os esforços para facilitar a conformidade com a LGPD, ao gerenciar o recebimento e a resolução de DSAR, a partir de uma plataforma centralizada.
Execute um processo para notificação de violação de dados
Conforme a legislação, as organizações devem notificar imediatamente a ANPD e os titulares de dados afetados sobre incidentes, existindo uma recomendação da própria ANPD para que esta comunicação seja feita em até 48 horas úteis a partir do momento em que o controlador tenha ciência do incidente de segurança. Em casos de grande dano aos titulares de dados e à sociedade, poderá haver um requisito adicional para fornecer a divulgação pública do incidente por meio da mídia, se considerado necessário pela ANPD.
Até o momento, a LGPD não estabeleceu um limite da gravidade dos incidentes de dados para que seja necessário a notificação aos titulares dos dados pelas organizações que sofreram algum tipo de violação. Porém, é prudente que as equipes de segurança se preparem para as exigências mais rigorosas de notificação de violação de dados emitidas pela LGPD.
A Conformidade com a LGPD precisa ser contínua
Quem já está habituada a LGPD sabe que essa é uma tarefa diária, e que precisa ser incluída na rotina da empresa. Para as organizações que estão começando a aderir ao mundo da regulamentação de dados pessoais, vale a pena observar que o cumprimento das leis de privacidade não é uma tarefa única.
Veja algumas práticas que podem ajudar sua equipe a manter-se em dia com a conformidade com a LGPD:
Pesquisas, Atualizações e Treinamentos.
Incentivar a pesquisa e o aprendizado contínuo ajudará a desenvolver a experiência necessária em toda a sua equipe, entre as pessoas que tomam as decisões e em toda a empresa para melhorar os resultados da privacidade dos dados. Seja o primeiro a saber sobre desenvolvimentos regulatórios e monitorar novas orientações da autoridade regulatória emitidas pela ANPD. Essa prática o ajudará a manter o controle de suas políticas e processos internos, pois eles provavelmente precisarão evoluir com o tempo. Treinamentos para todos os funcionários da empresa são uma ótima maneira de garantir que todos entendam os impactos da tomada de decisões diária em relação às políticas de privacidade de dados.
A Contego Security pode ajudar sua empresa na adequação a LGPD, desde a implementação até o tratamento continuo dos dados coletados. Conte conosco para cada etapa desse processo.