A Lei Geral de Proteção de Dados (LGPD) lei n° 13.709/2018, é a legislação brasileira que estabelece normas reguladoras para proteger a privacidade dos usuários, gerando novas maneiras de se fazer negócio na internet com maior segurança jurídica.
Principais Objetivos
- Proteção à privacidade;
- Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais;
- Transparência;
- Estabelecer regras claras sobre o tratamento de dados pessoais.
- Estabelecer Padronização de normas
- Fornecer segurança jurídica
Mas não são apenas as empresas que fazem negócio na internet que precisam se enquadrar na nova lei, mas também as empresas que guardam esses dados eletronicamente. Ou seja, o simples fato do setor de RH guardar os dados pessoais dos usuários, já precisa se preocupar com a segurança e pode sofrer penalidades (Mesmo se o RH for terceirizado)
Quando a LGPD entrará em vigor?
Ela já está em vigor desde setembro de 2020, mas por conta da pandemia, empresas ganharam mais tempo para se adequar, então ela só vai começar a penalizar as empresas a partir de agosto de 2021.
Como chegarão até a empresa?
Assim como acontece quem usa software pirata, onde a Microsoft fiscaliza a utilização, a Agência Nacional de Proteção de Dados (ANPD) realizará fiscalizações por conta própria e através de denúncias (que geralmente ocorrem por funcionários, ex-funcionários, concorrentes ou apenas oportunistas)
A Quem essa lei se aplica?
A empresas que utilizem dados pessoais, como coleta, armazenamento, compartilhamento, Tratamento pela internet, relações de comércio, trabalhista entre muitas outras.
Quais os direitos dos usuários?
A LGPD concede ao titular de dados pessoais o direito de obter informações claras, adequadas e ostensivas a respeito do tratamento de seus dados.
As pessoas devem autorizar o uso dos seus dados, assinar ou aceitar os termos de uso.
Ex:
Se você vai fazer uma compra no shopping e a empresa pede seus dados (RG, CPF, telefone, Endereço etc.), você tem o direito de questionar os motivos da solicitação desses dados, para que a empresa quer esses dados, o que ela pretende fazer com esses dados. Você também tem o direito de solicitar a exclusão desses dados (incluindo backup)
Você também pode solicitar ao site o portal na internet sobre o uso de cookies de rastreio e até remoção completa do cadastro (vou abordar esse ponto em outros posts)
Quais as obrigações das empresas?
Não há uma regra clara e definida em relação a segurança, ou mesmo uma ferramenta que precise utilizar, porém toda empresa deverá adotar normas de segurança (Geralmente baseadas em ISO e certificações internacionais).
Essas empresas precisam se preocupar com realizar o assessment de impacto à proteção de dados:
- As empresas precisam avaliar a sua estrutura,
- Como funciona o processo de armazenamento;
- Como funciona a manipulação desses dados;
- Quais são as pessoas que acessam esses dados;
Demonstrar medidas adotadas para garantir a segurança
- Deverá mostrar que aplica regras de proteção de dados, práticas e políticas de proteção de dados
Ex:
- Os dados são armazenados com criptografia;
- Somente pessoas autorizadas tem acesso;
- Existe uma área para concessão de acesso;
- A empresa possui ferramentas de proteção? Tal como antivírus, firewall e mecanismos que protejam os dados, evitando que esses dados sejam subtraídos
- Treinamento de conscientização dos funcionários dentro da empresa (é importante a empresa se preocupar na capacitação dos funcionários em relação dos tratamentos dos dados)
A Empresa também deve notificar em casos de incidentes de segurança envolvendo dados:
- Vir a público informar, ou informar aos titulares dos dados,
- Deverá nomear um encarregado de proteção de Dados Pessoais.
(No Brasil é costumeiro uma empresa que teve seus dados vazados, esconder esse tipo de informação, apenas informar que vai abrir uma sindicância para apurar os dados. Já no mercado internacional isso não é o que acontece, você pode ver casos de grandes empresas como facebook que vem a público informar qualquer tipo de vazamento ou problema)
Encarregado dos dados DPO
O DPO ou Encarregado de Proteção de Dados é o responsável que intermediará a comunicação da empresa titular dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Ele pode ser interno ou mesmo uma empresa terceira que ficará responsável.
A empresa ou pessoa que será indicada pelo controlador, deverá atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
Penalidades previstas na LGPD
As penalidades aplicadas poderão ser desde advertência à multas
- Advertência com prazo para correção dos problemas apontados; (Geralmente um prazo após alguma denúncia)
- Multa simples, de até 2% do faturamento anual, podendo chegar a 50 Milhões;
- Multa diária, com limite total de 50 Milhões;
- Bloqueio dos dados pessoais até a regularização do problema;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração por um período até 12 meses
- Suspensão do exercício da atividade de tratamento de dados que se refere a infração;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados;
Nesse breve artigo já foi possível identificar que as empresas precisarão pelo menos, ter um plano de segurança bem estabelecido, buscar certificações e/ou empresas certificadas em segurança e ISO. Estabelecer regras de compliance, atendimento e treinamentos internos visando tornar o processo mais seguro.
Qualquer negligência em segurança digital ou cibersegurança, poderá sofrer grandes consequências.
No médio prazo, empresas que não estiverem em adequação a LGPD não poderão fazer negócios com outras empresas, pois já estamos vendo um movimento B2B onde empresas solicitam adequação LGPD antes de firmar qualquer acordo comercial.
É isso, no próximo artigo abordarei mais aspectos de cibersegurança e vazamento de dados quando se trata de LGPD.
Até mais 😉
Bacana ver esse movimento do estado brasileiro preocupado com a segurança de dados do consumidor.
Uma clara tendência de melhoria na direção certa 😃