Existe uma solução única para o compliance da Nova Lei Geral de Proteção de Dados?
Claro que não!
O que existem são projetos que podem ser implementados de maneira integral ou parcial pela grande maioria das empresas.
E não só de tecnologia, mas também de assessoria especializada em direito digital, gestão e proteção de dados para o compliance com as novas regras da LGPD.
Vamos analisar alguns números importantes do Brasil em relação à LGPD:
- 43% é a chance de enfrentarmos uma violação. É a maior do mundo (~27%)
- 46% das violações foram ataques maliciosos ou criminosos, sendo 54% vazamento de informação por colaboradores das empresas;
- 240 dias é o tempo médio para identificar uma violação, principalmente quando existem códigos maliciosos dentro da aplicação;
- 100 dias é o tempo necessário para conter cada violação.
Dados estão em toda parte.
Informações pessoais e sensíveis estão sendo armazenadas por todos os tipos de infraestrutura, dispositivos e tecnologias, apoiando os negócios que se tornam mais complexos a cada dia. Podemos afirmar que o dado é o novo petróleo e a IOT é a mais impactante tecnologia da transformação digital.
Por outro lado, o número de hackers e ataques cibernéticos cresce exponencialmente, assim como as suas tecnologias e métodos cada vez mais difíceis de identificar e controlar.
O principal alvo dos hackers: INFORMAÇÕES CONFIDENCIAIS.
Frente a este cenário, as organizações precisam estar sempre um passo a frente para proteger e governar o ciclo de vida completo de dados pessoais e sensíveis para estar em compliance com a LGPD.
Ferramentas isoladas não são suficientes para identificar corretamente e eliminar os riscos de vazamento de dados, já que os ataques estão se tornando mais sofisticados.
No entanto, existem algumas questões (se não várias) que precisam ser compreendidas para que seja possível iniciar a implementação de um projeto aderente e que permita o compliance com a LGPD.
Chegou a hora de você entender a Nova Lei Geral de Proteção de Dados!
1. A NOVA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
OBJETIVO DA LGPD
A Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº13.709 AGO/2018 – foi criada com o objetivo de proteger a livre formação da personalidade de cada indivíduo assim como os direitos fundamentais de liberdade e de privacidade.
Essa nova lei dispõe sobre o tratamento de dados feito por pessoa física ou jurídica de direito privado ou público e cerca um amplo conjunto de operações efetuadas em meios digitais e manuais.
APLICAÇÃO DA LGPD
Sua aplicação envolve dados relacionados à:
- pessoa (brasileira ou não) que esteja no Brasil, no momento da coleta;
- dados tratados dentro do território nacional, independentemente do meio aplicado, do país-sede do operador ou do país onde se localizam os dados;
- dados usados para fornecimento de bens ou serviços.
EXCEÇÕES DA LGPD
A LGPD possui exceções já que ela não se aplica para fins exclusivamente:
- particulares (só se aplica para PF e PJ com fins ditos econômicos)
- jornalísticos e artísticos;
- de segurança pública;
- defesa nacional;
- segurança do Estado;
- investigação e repressão de infrações penais.
E a nova lei não se aplica a dados de fora do Brasil e que não sejam objeto de transferência internacional.
2. OS FUNDAMENTOS DA LGPD
A Nova Lei Geral de Proteção de Dados possui alguns fundamentos em relação ao tema proteção de dados pessoais, são eles:
PRIVACIDADE E INTIMIDADE
O respeito à privacidade, ao assegurar os direitos fundamentais de inviolabilidade da intimidade, da honra, da imagem e da vida privada.
LIBERDADE E AUTODETERMINAÇÃO
A liberdade de expressão, de informação, de comunicação e de opinião, que são direitos previstos na Constituição brasileira.
A autodeterminação informativa, ao expressar o direito do cidadão ao controle, e assim, à proteção de seus dados pessoais e íntimos.
DESENVOLVIMENTO E INOVAÇÃO
O desenvolvimento econômico e tecnológico e a inovação, a partir da criação de um cenário de segurança jurídica em todo o país.
CONCORRÊNCIA E DEFESA DO CONSUMIDOR
A livre iniciativa, a livre concorrência e a defesa do consumidor, por meio de regras claras e válidas para todo o setor privado.
CIDADANIA E DIGNIDADE
Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas.
3. OS PRINCIPAIS CONCEITOS DA LGPD
Agora que você já conhece os fundamentos dessa nova lei, vamos entender mais alguns conceitos da LGPD.
O QUE MUDA COM A LGPD?
Os cidadãos poderão saber como as empresas tratam os dados pessoais:
- como e por que coletam
- como armazenam
- por quanto tempo guardam
- com quem compartilham
Do lado das empresas, o trabalho será fornecer essas informações de forma clara, inteligível e simples.
QUAL DADO DEVE SER PROTEGIDO?
DADOS PESSOAIS
Qualquer informação relacionada à pessoa natural identificada ou identificável, obtidos em qualquer tipo de suporte (papel, eletrônico, informático, som, imagem, etc.) como: nome, gênero, RG, CPF, data e local de nascimento, telefone, endereço residencial, histórico de pagamento, cartão bancário, renda, hábitos de consumo, cookies e endereço de IP, entre outros.
DADOS SENSÍVEIS
Dados pessoais da origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicatos ou organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
CONHEÇA A NOMENCLATURA DA LGPD
É importante entender os nomes e as palavras usadas, principalmente nesse momento no qual muita gente ainda fica confuso com o grande número de informações.
TITULAR: A pessoa natural a quem se referem os dados pessoais;
AGENTES DE TRATAMENTO: o controlador e o operador;
CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
CONSENTIMENTO: Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
TRATAMENTO: Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
TRANSFERÊNCIA INTERNACIONAL DE DADOS: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
AUTORIDADE NACIONAL (ANPD): órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.
DATA PROTECTION OFFICER (DPO): Profissional responsável pela gestão dos dados pessoais e sensíveis dentro da organização e ponto focal de contato da ANPD.
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS (RIPD ou DPIA): Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
4. OS IMPACTOS DA LGPD
A cada dia, os cidadãos deixam uma trilha de dados pessoais nas suas interações corriqueiras, tanto as analógicas quanto as digitais.
Nos últimos anos, o uso indevido de cadastros financeiros de consumidores provocou um número enorme de reclamações, por exemplo.
Estabelecer princípios e critérios para a coleta de dados é essencial para garantir que eles não sejam utilizados para atender a interesses comerciais, contra a vontade dos cidadãos, ultrapassando limites éticos e legais.
O QUE A LGPD VAI IMPACTAR?
- os custos de segurança;
- a comunicação digital das empresas;
- a maneira como os dados são analisados;
- a relação dos consumidores com o comércio;
- as ferramentas que oferecem solução de gestão de dados assim como os profissionais da área.
OCORRÊNCIAS DE GRANDE IMPACTO
- Brasil multa Facebook em 6,6 milhões de reais pelo vazamento de dados no caso Cambridge Analytica
- Vivo pode ser multada em R$ 10 milhões por vazamentos de dados
- Multas a empresas por vazamentos de dados passaram de R$ 1,8 bi em 2019 na Europa
- Vazamento de dados em site adulto atinge seis mil pessoas, incluindo brasileiros
- As multas do GDPR se espalham pela Europa
Essas são só algumas ocorrências de grande impacto na indústria que já mostram o perigo da LGPD dentro das empresas e funcionam como exemplo do que pode acontecer com quem não estiver preparado.
5. COMO AS EMPRESAS PODEM SE PREPARAR E EVITAR MULTAS?
A LGPD não é apenas um tema de TI, de Segurança ou de Compliance.
Ela afeta todo o negócio e pode gerar problemáticas que se aplicam a diferentes indústrias, como o risco de perda da credibilidade da marca ou até perda financeira com multas ANPD e mais ações jurídicas.
Será que é seguro permitir ao seu DBA ter acesso irrestrito às informações de produção?
Veja o que as empresas podem fazer para se preparar e evitar multas como essas que vimos anteriormente neste artigo:
- Entenda as obrigações da LGPD;
- Estabeleça uma equipe multidisciplinar;
- Saiba onde estão os dados pessoais na sua organização (Discovery);
- Implemente processos de gestão de documentos;
- Documente as atividades de cumprimento da Lei;
- Implemente e documente medidas apropriadas de segurança;
- Implemente processos de gestão de consentimento;
- Treine os colaboradores;
- Implemente uma abordagem de Privacidade (e Segurança) by Design;
- Assegure orçamento e patrocínio executivo para suportar as mudanças.
O caminho rumo à conformidade não é fácil mas pode ser menos doloroso quando se tem alguém com experiência e apto a não apenas implementar bem como sustentar um projeto em suas várias fases.
Até porque nem sempre é possível implementar 100% das fases de uma só vez, mas o importante é começar o projeto com um parceiro confiável e as plataformas mais robustas.
Clique aqui para conhecer uma solução robusta e com metodologia comprovada criada pela ST3Tailor.
